Наскільки ризикують популярні розширення Chrome?

Я збираюся перейти на Chromium, і я встановив пару розширень. Кожен раз, коли я встановлював розширення, мені було повідомлено, до яких даних має розширення, наприклад:

Я розумію, що доступ до цих даних необхідний, щоб розширення працювало, але я трохи переживаю, що таке розширення може одного дня вирішити оновити та викрасти всі "мої телефонні дані".

Ще один приклад страшного повідомлення (при ввімкненні розширень для анонімних вікон):

Попередження: Chromium не може запобігти розширенням запису вашої історії переглядів. Щоб відключити це розширення в режимі анонімного перегляду, зніміть цей параметр.

Чи можлива загроза при використанні популярних розширень Chrome? Трохи страшно довіряти іншій стороні за кожну нову функцію, яку ви додаєте до браузера.

Ви забуваєте таке:

Чим популярніше розширення, тим менший шанс, щоб ніхто не помітив, що надбудова робить щось шкідливе.

На відміну від цього, якщо ви встановите розширення, яке ніхто раніше не використовував, ви ризикуєте більше, ніж, скажімо, встановити AdBlock. Зважаючи на те, що так багато людей користується ним, майже сказати можна: хтось помітив би незвичний трафік.

Насправді всі розширення розкривають свій вихідний код, тож кожен бажаючий міг би вперед і шукати що-небудь підозріле.

Попередження якраз існують, тому ви не можете звинувачувати постачальників браузерів у завданих збитках, якщо ви встановите щось із неправдивими даними. Завжди читайте відгуки про додатки, на які ви підозрюєте, перш ніж встановлювати їх.

Також зауважте, що, наприклад, Google може перевірити матеріали:

Хоча Google не зобов’язаний контролювати Продукти чи їхній вміст, Google може в будь-який час переглянути чи протестувати Ваші Продукти та їх вихідний код на відповідність цій Угоді, Програмній політиці веб-магазину Google Chrome та будь-яким іншим застосовним умовам, зобов'язанням, законам. або положення, і можуть використовувати автоматизовані засоби для проведення такого огляду

Видалення розширення може, звичайно, заподіяти певні проблеми розробнику.

Це спробувати зробити важко. Популярність приносить дві речі:

• Більше людей намагаються покращити його (помічаючи неправильний код)
• Більше людей намагаються зламати його (і ввести неправильний код) для атаки на більшу базу користувачів

Припустимо, для цих прикладів ми говоримо про проект з відкритим кодом з кодом, розміщеним у чомусь на зразок github.

Якщо щось має один розробник, це лише одна людина, яка перевіряє код. Якщо хтось (а не розробник) хоче додати код до цього, він або повинен обдурити розробника над тим, щоб додати шкідливий патч (це трапляється), або націлити його на автентифікацію розробника, щоб вони могли самі додати код (теж трапляється). Шанс будь-якого з цих випадків залежить від здатності розробника та їх безпеки.

Якщо 10 розробників, то в 10 разів більше векторів нападу. Але також у 10 разів більше людей, які можуть помітити код.

Я впевнений, що в проекті є сенс, де він набирає достатньої сили, щоб люди регулярно проводили перевірки безпеки за його кодом. Але в будь-який час до цього - гойдалки та об'їзди.

tl; dr Є надто важко, щоб реально випрацювати. Занадто багато людських стихій. Якщо це має значення, не довіряйте йому, якщо ви не зможете перевірити код самостійно.