Если расширение Chrome установлено, но выключено, оно все еще шпионит за мной?

8751
Michael d

Скажем, расширение Chrome отключено и имеет разрешения: «Чтение и изменение всех ваших данных на посещаемых вами веб-сайтах» и «Чтение истории просмотров» или другие подобные разрешения на отслеживание.

Могут ли эти расширения Chrome по-прежнему получать доступ к этим разрешениям или шпионить за вами другими способами, даже если они отключены?

Допустим, вам нужно было отключить эти расширения, но затем включить их на 5 секунд или на 10 минут. Возможно ли, что они смогут загрузить всю историю посещенных страниц разработчикам за этот короткий промежуток времени, если они смогут «читать историю посещений»?

Этот вопрос касается и таких браузеров, как Firefox.

50
Вопрос заключается в том, может ли расширение изменить браузер таким образом, чтобы оно могло либо заставить кнопку выключения в основном ничего не делать (только «выключить»), либо включить само себя на более позднем этапе? Если ответ либо да, то и ответ на вышесказанное тоже да. (Я оставлю, возможно ли это для тех, кто более осведомлен, чем я). SSight3 5 лет назад 4
@ SSight3 Насколько мне известно, на странице расширений chrome: // нельзя запускать расширения, поэтому расширение не может подделать состояние включенного / отключенного переключателя. Josh 5 лет назад 6
Повседневное использование Google - Facebook, Twitter, что угодно - имеет гораздо больше возможностей для сбора информации, чем какое-то новое расширение Chrome. Не то чтобы у автора этого расширения не было грандиозных амбиций, но ... can-ned_food 5 лет назад 2
Пожалуйста, не отмечайте вопрос как ответивший, а через день как оставшийся без ответа, и отредактируйте его, чтобы задать новый вопрос. Если вы передумаете по этому вопросу, вам действительно следует задать новый отдельный вопрос, как только вы примете ответ. LPChip 5 лет назад 4
@ can-ned_food Стоит отметить, что если опасения связаны с распространением данных, MITM может быть развернут из любого места (сниффер HTTP, хитрый CA, плохой DNS, вредоносная точка доступа Wi-Fi, бэкдор-роутер и т. д.), а также, если человек обеспокоен браузером компанией, печально известной за анализ данных, «утечка моих расширений?» Я сильно подозреваю, что они могут упускать из виду гораздо большие проблемы. SSight3 5 лет назад 2
@ Майкл д, пожалуйста, прими мой ответ. LPChip 5 лет назад 0

1 ответ на вопрос

58
LPChip

Когда расширение отключено, оно не загружается в память и поэтому ничего не может сделать.

Когда вы включаете расширение, оно получает доступ ко всей истории вашего браузера, и, если расширение хочет, оно может отправить всю историю на сервер.

Это зависит от расширения, если это действительно будет делать это. Расширения типа шпионских программ будут, расширения, которые предназначены для того, чтобы помочь вам, обычно отправляют только веб-сайт, который вы просматриваете в настоящее время, но будет ли расширение делать это или нет, это чисто предположение.

Если вы хотите быть в безопасности и не хотите, чтобы расширение передавало ваши данные на их сервер, не включайте его никогда.

Также, возможно, пролистайте программирование и Ctrl-F в нем, возможно. Теперь они становятся довольно читабельными Varad Mahashabde 5 лет назад 1
@Varad Вы имеете в виду читать исходный код? wjandrea 5 лет назад 0
@wjandrea _ _ Можно прочитать исходный код расширений Chrome (пакеты `.crx`). rahuldottech 5 лет назад 2
@rahul Как бы ты это сделал? И что бы вы искали? wjandrea 5 лет назад 0
@wjandrea [Смотрите как] (https://www.howtogeek.com/198964/). Если вы подозреваете, что расширение выполняет вредоносный код, вы можете проверить исходный код, чтобы подтвердить свои подозрения. rahuldottech 5 лет назад 0
@wjandrea Что Chrome делает, так это загружает небольшие пакеты, похожие на tar-ball, которые затем распаковываются и затем либо собираются и загружаются с помощью браузера, либо сохраняются в каталоге установки, как сценарии CMD (не знаю, какие именно). В любом случае, источник загружается, который можно найти в% localappdata% или / var, или загрузить снова. Varad Mahashabde 5 лет назад 1
Что касается того, что искать, вы можете открыть все файлы одновременно в редакторе, а затем найти команду, которая вызывает функцию для использования соответствующего разрешения. Кроме того, людям нравится называть вещи правильно и оставлять комментарии, чтобы их было легче поддерживать, так что это половина вашей документации Varad Mahashabde 5 лет назад 1
@EricDuminil Да, потому что 1) у Google нет финансовых стимулов для обеспечения безопасности ваших данных и 2) Firefox полностью не копировал систему расширений Chrome, потому что это было безопаснее ... David Mulder 5 лет назад 0
@DavidMulder Чтобы быть педантичным, Firefox в основном копировал систему расширений Chrome, потому что она была * проще * - они переписывали большую часть своей базы кода, а существующие API расширения были тесно связаны с внутренними компонентами, так что трудно продолжать работать. Принудительное переписывание каждого расширения сделало их жизнь проще, и есть надежда, что им это больше не понадобится, поскольку новый API более ограничен и более отделен от внутренней реализации. Модель разрешений является хорошим бонусом, но, учитывая, что большинству расширений требуется доступ к DOM каждой просматриваемой страницы, это не мешает многим. IMSoP 5 лет назад 7
@DavidMulder: Вы предполагаете, что это нормально, что Google в первую очередь хранит все ваши данные. Eric Duminil 5 лет назад 2
@IMSoP API расширения chrome позволил гораздо более детальный контроль разрешений, что было очень важно для безопасности. Кроме того, это естественное расширение в песочнице, что было еще одним преимуществом безопасности В целом API расширения был разработан гораздо более безопасным и современным способом, который был желателен. David Mulder 5 лет назад 0
@EricDuminil За исключением случаев, когда Chrome никоим образом не передает ваши данные в Google. Вход в систему с учетной записью Google и / или с использованием Google DNS, по крайней мере, передаст некоторые ваши данные в Google, но это совершенно не связано с использованием Chrome. David Mulder 5 лет назад 0
@DavidMulder Мы не знаем, что делает Chrome, потому что мы не видим код. Сказать, что Chrome «никоим образом не передает ваши данные в Google», является явно ложным; при вводе URL-адреса в адресную строку я измерял трафик на серверы Google и обратно, даже не нажимая Enter! wizzwizz4 5 лет назад 4
@ wizzwizz4 Возможно, стоит отметить SRWare Iron (версию Chrome, ориентированную на конфиденциальность), которая подробно описывает некоторые ... [проблемные функции] (https://www.srware.net/en/software_srware_iron_chrome_vs_iron.php) Chrome. SSight3 5 лет назад 2
@ SSight3 Chrome имеет настройки, которые вы можете включать и выключать. SRWare Iron не имеет некоторых из этих настроек, поэтому вы застряли с его настройками по умолчанию. И это отстает с обновлениями безопасности; см. также [Почему вы не должны использовать (большинство) альтернативных браузеров на основе Google Chrome] (https://www.howtogeek.com/108384/6-alternative-browsers-based-on-google-chrome/). Mr Lister 5 лет назад 0
@ wizzwizz4 Только если у вас настроена служба прогнозирования, и это единственное переключение в настройках. Вот дополнительная информация, например: https://lifehacker.com/5763452/what-data-does-chrome-send-to-google-about-me David Mulder 5 лет назад 0
@DavidMulder Это одна настройка. Как, скажем, работает нормальная система Google? Что оно делает? wizzwizz4 5 лет назад 0

Похожие вопросы