我通过 Google 搜索(使用 Chromium)找到了一个 GNOME 扩展,并且非常惊讶我可以简单地切换开/关开关,让网站在我的计算机上安装完整的 GNOME 扩展,而无需任何其他手动步骤。(经过测试,这也适用于 Firefox。)当然,它确实会弹出一个对话框要求我确认安装,但是......
虽然这对于易用性和可用性来说非常好,但难道它不存在安全漏洞吗?我很想知道这个功能究竟是如何工作的,以及我是否应该担心任何“后门”,这可能会让黑客轻松地在我的计算机上安装可执行文件。
扩展是否GNOME 网站经过审查?有没有办法判断扩展是否安全?
GNOME 是否修改了 Chromium 和 Firefox 浏览器以支持此功能?还有其他用户应该了解的 GNOME Chromium/Firefox 自定义更改吗?
更新:了解了它的工作原理后,我现在相信这是一个非常棒的功能,特别是对于非技术用户来说,但当我第一次遇到它时,它确实让我有点担心。
答案1
是的,也不是。
首先,您单击以安装扩展的链接已编码,具体(我认为)是针对 gnome 3.2 的安装方法。因此从这个意义上讲,它是一个“受信任”的站点。
其次,gnome 扩展是用户脚本,仅供您的用户存储。它们无权访问用户无权访问的任何信息。因此,例如,不能有 shell 扩展将文件写入 /。
第三,浏览器没有被修改,但是 gnome shell 被修改了。
基本上,安装方法并不比向您提供 tar.gz 文件并告诉您手动将其提取到主目录中更不安全。各个扩展是否安全需要根据具体情况做出决定。不过,gnome.org 是一个合法网站,扩展子域也是如此。