웹 사이트를 통한 그놈 확장 프로그램 설치 : 보안 취약점?

Google 검색 (Chromium 사용)을 통해 그놈 확장 프로그램을 찾았으며, 수동으로 다른 단계를 거치지 않고 웹 사이트에서 내 컴퓨터에 전체 그놈 확장 프로그램을 설치하도록 켜기 / 끄기 스위치를 전환 할 수 있다는 것에 매우 놀랐습니다. (테스트 된 결과, Firefox에서도 작동합니다.) 물론 설치 확인을 요청하는 대화 상자가 나타나지만 ...

1. 사용하기 쉽고 사용하기 편리하지만 보안 취약점이 없습니까? 이 기능이 정확히 작동하는 방식과 해커가 내 컴퓨터에 실행 파일을 쉽게 설치할 수있는 "백도어"에 대해 걱정해야하는지 알고 싶습니다.

2. 그놈 사이트 의 확장 기능이 검사 되었습니까? 확장 프로그램이 안전한지 아닌지 알 수있는 방법이 있습니까?

3. 이 기능을 허용하기 위해 그놈이 Chromium 및 Firefox 브라우저를 수정 했습니까? 사용자가 알아야 할 다른 사용자 정의 그놈 크로뮴 / 파이어 폭스 변경 사항이 있습니까?

업데이트 : 이것이 어떻게 작동하는지 이해 한 후에는 이것이 기술이 아닌 사용자에게 특히 유용한 기능이라고 생각하지만 처음 만났을 때 조금 놀랐습니다.

예, 아니요

먼저 확장을 설치하기 위해 클릭 한 링크가 코드화되었습니다. 특히 주입 방법으로 3.2를 gnome합니다. 그런 의미에서 "신뢰할 수있는"사이트입니다.

둘째, gnome 확장명은 사용자 스크립트이며 사용자 용으로 만 저장됩니다. 사용자가 액세스 할 수없는 정보에 액세스 할 수 없습니다. 따라서 예를 들어 /에 파일을 쓰는 쉘 확장자는 없습니다.

셋째, 브라우저는 수정되지 않았지만 그놈 쉘은 수정되었습니다.

기본적으로 설치 방법은 tar.gz 파일을 제공하고 홈 디렉토리에서 수동으로 추출하도록 지시하는 것보다 안전하지 않습니다. 개별 확장이 안전한지 여부는 사례별로 결정해야합니다. 그러나 gnome.org는 확장 하위 도메인과 마찬가지로 합법적 인 사이트입니다.