Google Chrome
C#
Browsers
Comments 13
0
Обычно в подобных статьях в конце пишут, как защититься от того, что в статье описано. Вы могли бы дописать такой раздел?
Я так понимаю, что намертво запретить все расширения не получится, да и не для всех это нормальный вариант.
0
Думаю что лаконичного и разумного решения кроме бдительности пользователя — нет, ведь везде присутствует человеческий фактор, есть вариант ставить наблюдение за записями в файл, но это легко обходиться патчем хрома.
0

Защититься от этого получится только если изменят механизм используя асинхронное шифрование, и подпись для расширения разработчика будет выдаваться онлайн на сайте.

0
проблема в том, что в данном случае мы грузили распакованное расширение, гугл сам дал нам такую возможность, если её выпилить — как дебажить расширения?
0
Так же как это делает Apple. Сервер выдает временный сертификат который надо постоянно продлевать.
0
Решение вполне разумное — но ведь выдача сертификатов и их проверка решается опять же простым патчем хрома — сорсы и pdbшки в открытом доступе. Вопрос времени.
0
Apple не проверяет временные сертификаты. Распространение подписанного расширения которое действует несколько дней мало эффективно. Полная проверка происходит только для подписей на долгий строк.
0
Не верно понял ваше сообщение.
Само собой запустив свой ехе в целевой машине можно делать что угодно.
Но цель таких способов в том чтобы не привлекать внимание антивирусов, делая патчи так не получится.
0
Ну, сейчас они сэндбоксят файлы — не думаю, что это сложно обходится, в своё время обходил созданием батника и вызовом от туда.
0
А зачем реверс, если можно взять сорцы хромиума и посмотреть? (ну или даже сбилдить хромиум, если очень хочется)
0
Ну, если очень интересно — можно перерыть, но в ЯБ, к примеру по-другому — и тут сорсы никак не помогут, браузер закрыт.
0
Простите, я не понял из статьи, как через расширение в хроме запустить exe? и как данное расширение появляется у пользователя…
0
Вы ничего не поняли. Мы ставим расширение через exe. Читайте внимательнее.
Only those users with full accounts are able to leave comments. , please.