我即将切换到 Chromium,并且安装了几个扩展程序。每次安装扩展程序时,我都会收到有关该扩展程序可以访问哪些数据的通知,例如:
我确实知道访问这些数据对于扩展程序的运行是必要的,但我有点担心这样的扩展程序有一天可能会决定更新和窃取(“打电话回家”)我的所有浏览数据。
另一个令人恐惧的消息示例(启用隐身窗口扩展时):
警告:Chromium 无法阻止扩展程序记录您的浏览历史记录。若要在隐身模式下禁用此扩展程序,请取消选择此选项。
使用流行的 Chrome 扩展程序时,这是否是一种潜在威胁?对于浏览器添加的每项新功能,都必须信任另一方,这有点可怕。
答案1
您忘记了以下内容:
扩展程序越受欢迎,没人注意到该扩展程序造成危害的可能性就越小。
与此相反,如果你安装了一些以前没有人使用过的扩展程序,那么你面临的风险比安装 AdBlock 更大。考虑到有这么多人在使用它,几乎可以肯定地说:有人会注意到异常流量。
事实上,所有扩展都会公开其源代码,因此任何人基本上都可以继续自行寻找任何可疑的内容。
警告只是为了防止您安装了一些对您的数据造成损害的插件,因此您不能将任何损害归咎于浏览器供应商。在安装您认为可疑的插件之前,请务必阅读其评论。
另请注意,例如 Google 可以检查提交内容:
虽然 Google 没有义务监控产品或其内容,但 Google 可能会随时审查或测试您的产品及其源代码,以确保其符合本协议、Google Chrome 网上应用店计划政策以及任何其他适用条款、义务、法律或法规,并且可能会使用自动化方式进行此类审查
删除扩展当然会给开发人员带来一些麻烦。
答案2
这是一项艰难的风险评估。受欢迎程度会带来两件事:
- 更多人尝试改进它(发现错误代码)
- 更多人试图破解它(并引入坏代码)来攻击更大的用户群
对于这些例子,我们假设我们正在讨论一个开源项目,其代码托管在 github 之类的地方。
如果某项功能只有一名开发人员,则说明只有一个人签入了代码。如果有人(不是开发人员)想要添加代码,他们要么需要欺骗开发人员添加恶意补丁(这种情况会发生),要么针对该开发人员的身份验证,以便他们自己添加代码(这种情况也会发生)。这两种情况发生的可能性取决于开发人员的能力及其安全性。
如果有 10 名开发人员,那么攻击媒介的数量就会增加 10 倍。但可能发现代码的人也会增加 10 倍。
我确信,一个项目在某个阶段会获得足够的发展势头,让人们定期对其代码进行安全审计。但在此之前的任何时候,情况都是起伏不定的。
总结这些问题很难解决。其中有太多人为因素。如果这很重要,除非你能自己验证代码,否则不要相信它。