许多 Google Chrome 扩展程序都有权限读取我访问的网站上的数据。为了避免密码被盗,我非常谨慎地选择 Google Chrome 扩展程序。
现在我需要使用 Google Chrome 扩展程序,它看起来很可靠,但我并不是百分之百信任它。
我计划安装此扩展程序,使用几个小时后再将其卸载。此扩展程序能否访问我在安装之前访问的网站的密码/数据?还是只能访问我在安装后访问的网站的信息?
我的计划 b 是在虚拟机或旧笔记本电脑中安装扩展。
答案1
扩展可以不可以能够根据您的使用场景收集您之前保存的密码。我假设您的扩展程序请求权限”读取和更改您访问的所有网站上的数据“。
假设您已保存 ebay.com 的登录凭据。现在,如果您转到 ebay 登录页面,chrome 会自动填充该凭据。
现在,由于扩展可以读取所有网页上的所有元素,它可以提取密码字段的值。例如:在下面的屏幕截图中,显示了如何仅用一行代码就可以提取信息。
所以,你最好的选择是,安装扩展程序后,不打开任何已保存登录凭据的网站,也不登录任何网站因为扩展程序可以在您输入密码时窃取密码。
否则,扩展程序本身永远无法窃取您的密码,因为 chrome 会尝试加密您保存的密码并将其保存在您的计算机上。了解 Chrome 如何保存你的密码, 读这里。
答案2
我强烈建议您将操纵网站数据的扩展程序设置为点击访问级别。也就是说,与清单 v3 兼容的扩展程序可能无法访问凭据,因为声明式网络请求:
这种方法对用户安全和隐私以及性能都有好处。使用声明式方法,Chrome 无需向扩展程序公开任何敏感数据。浏览器可以执行扩展程序请求的操作,而无需向其发送与网络请求相关的所有数据,因为扩展程序已经指定了采取不同操作的条件。这使扩展程序能够执行内容阻止,而无需访问用户的所有个人信息。
您可以通过查看扩展程序的预算来检查清单 v3 合规性。特色徽章表示扩展程序遵循最佳实践,包括清单 v3 合规性。请参阅这:
特色扩展遵循我们的技术最佳实践,并满足高标准的用户体验和设计。
和这:
Manifest V3 是 Chrome 扩展平台的当前版本,所有高质量扩展都应使用它。