Комментарии 26
Чак разочарован выбором фотографии…
Как обычно все сводится к одному правилу: Не доверяй входящим данным
Или: Если разрешаешь читать плагину твои личные данные, то этот плагин может эти данные прочесть! :) Ну и остослать куда надо.
Конечно тут не обошлось без Кэпа, но как показывает статистика, Кэп не всегда ко всем успевает вовремя и полно людей, которые когда их спрашивают «разрешаете ли этому плагину/приложению использовать ваши данные» как-то не задумываются о том, что эти данные могут быть использованны не только так, как описанно в информации о плагине/программы.
В общем, это извечная проблема, котоаря существуют, как мне кажется, с самых превых программ: как ни защищай дурака, он всегда найдет где лежат грабли чтоб на них наступить.
Конечно тут не обошлось без Кэпа, но как показывает статистика, Кэп не всегда ко всем успевает вовремя и полно людей, которые когда их спрашивают «разрешаете ли этому плагину/приложению использовать ваши данные» как-то не задумываются о том, что эти данные могут быть использованны не только так, как описанно в информации о плагине/программы.
В общем, это извечная проблема, котоаря существуют, как мне кажется, с самых превых программ: как ни защищай дурака, он всегда найдет где лежат грабли чтоб на них наступить.
Хотелось бы увидеть аналогичную статью касаемо FireFox и Opera, если такой до сих пор не существует.
Странно что в статье приведены примеры только по Google Chrome.
На сайте автора статьи есть слайды CSEDays 2011, «Безопасность расширений веб-браузеров» и в них упомянуты c примерами Google Chrome, Opera, Mozilla Firefox
На сайте автора статьи есть слайды CSEDays 2011, «Безопасность расширений веб-браузеров» и в них упомянуты c примерами Google Chrome, Opera, Mozilla Firefox
На сайте автора есть статья и про безопасность расширений для Opera http://oxdef.info/papers/ext/opera.html
дык в уязвимостях виноваты не разработчики браузеров, а разработчики расширений… они игнорят требования и рекомендации по security (кодю как могу, называется) — в итоге получаем дырявое расширение…
*в приступе паранои удалил все приложения, кроме адблока!*
Что ви знаете о паранойе?
У меня НЕТ ни одного расширения, и даже адблока.
У меня НЕТ ни одного расширения, и даже адблока.
Таким образом не нужно и систему инфицировать: достаточно подменить расширение в браузере на свое (или установить свое принудительно) и раствориться. Команды инфицированной машине можно передавать при посещении зловредной страницы. Тишь да гладь, никакого палева.
Вы что-то в терминологии, по-моему, напутали. Плагины (plugins) в Google Chrome — это Adobe Flash, IcedTea и т. п., тогда как то, о чём идёт речь в статье — это extensions (расширения). Или я что-то путаю, ибо сначала я решил, что речь пойдёт именно о дырках Flash или встроенного PDF Reader?
Я что то не понял причём тут платформа плагинов Google Chrome и криворукий кодер плагина Google Mail Checker Plus? В официальном плагине gmail точно такого нет…
А нельзя ли делать сообщество (или что-то типа этого) по проверке уязвимости расширений? У каждого расширения сколько тысяч пользователей, многим будет полезно. Даже разработчикам этих расширений.
Появилась статья в песочнице об этом: habrahabr.ru/sandbox/29741/ — Хабраэкспертиза для приложений из магазинов от Google
использовать переменные и функции, заданные непосредственно в коде страницы либо в других внедряемых скриптах;
В Хромовых расширениях внедряемые скрипты работаю в собственном виртуальном мире и доступ к переменным и функциям страницы полностью отсутствует. То есть, к примеру, покрывать код скрипта в анонимную функцию совершенно не обязательно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность плагинов Google Chrome