我如何确定 Google Chrome 扩展程序没有做坏事?

我如何确定 Google Chrome 扩展程序没有做坏事?

我想安装此扩展,但我有安全方面的顾虑。

该扩展需要“访问所有网站上的数据”的权限。这是有道理的,但我推测这包括密码和信用卡字段、银行路由号码等。

这一页表示某些权限需要向用户显示警告,但某些权限不会触发警告。不会触发警告的权限包括“webRequest”。

我如何确定此扩展(或任何扩展)不会读取我的敏感数据并通过不可见的 Web 请求将其写回数据库?

答案1

Adblock 扩展需要能够访问和修改您访问的页面的完整 HTML 内容,以便元素阻止规则能够正常工作(例如隐藏所有<div id="advert">元素)。因此,它们当然可以滥用这种访问权限,而且很难通过编程来确定。

对于 Adblock Plus,您可以检查公开的源代码;但除此之外,您只能信任它。该扩展自 2006 年在 Firefox 和 2010 年在 Chrome 中推出以来一直存在,并且自那时起从未引起过安全问题,也从未从这两个程序的扩展商店中删除过。可以合理地假设它是值得信赖的。

答案2

最好的方法是查看源代码(如果有)。您也可以自己做一些调查。

您可以通过勾选 处的复选框来启用开发者模式,从而查看 Chrome 扩展程序的网络流量chrome://extensions/

此后,在每个扩展下,您应该会看到一个检查扩展的选项。

在此处输入图片描述

点击检查背景页面的链接会弹出一个开发者工具窗口。点击“网络”选项卡,并在使用扩展程序时将其保持打开状态,同时观察网络选项卡上是否有任何流量。

在此处输入图片描述

您还可以单击“资源”,查看“会话存储”、“本地存储”,查看扩展程序在本地存储了哪些数据(如果它们正在使用这些特定功能)。

此外,如果您单击“源”选项卡,您可以单击小箭头(左上角)并查看构成扩展的实际 JavaScript 文件。

在此处输入图片描述

相关内容