Các tiện ích mở rộng phổ biến của Chrome có mức độ rủi ro lớn như thế nào?

Tôi sắp chuyển sang Chromium và tôi đã cài đặt một vài tiện ích mở rộng. Mỗi lần tôi cài đặt tiện ích mở rộng, tôi được thông báo về dữ liệu mà tiện ích mở rộng có quyền truy cập, ví dụ:

Tôi hiểu rằng việc truy cập vào dữ liệu đó là cần thiết để tiện ích mở rộng hoạt động, tuy nhiên tôi hơi lo lắng rằng một tiện ích mở rộng như vậy một ngày nào đó có thể quyết định cập nhật và đánh cắp ("nhà điện thoại") tất cả dữ liệu duyệt web của tôi.

Một ví dụ khác về một thông điệp đáng sợ (khi bật tiện ích mở rộng cho cửa sổ ẩn danh):

Cảnh báo: Chromium không thể ngăn các tiện ích mở rộng ghi lại lịch sử duyệt web của bạn. Để tắt tiện ích mở rộng này trong chế độ ẩn danh, bỏ chọn tùy chọn này.

Đó có phải là mối đe dọa có thể khi sử dụng các tiện ích mở rộng phổ biến của Chrome không? Thật đáng sợ khi phải tin tưởng một bên khác cho mỗi chức năng mới mà bạn thêm vào trình duyệt.

Bạn đang quên những điều sau đây:

Một tiện ích mở rộng càng phổ biến thì càng nhỏ là cơ hội không ai nhận thấy rằng tiện ích bổ sung này có tác dụng gì đó có hại.

Ngược lại, nếu bạn cài đặt một số tiện ích mở rộng mà trước đây chưa có ai sử dụng, bạn sẽ gặp rủi ro nhiều hơn, giả sử, cài đặt AdBlock. Xem xét rằng rất nhiều người đang sử dụng nó, gần như an toàn để nói: Ai đó sẽ nhận thấy lưu lượng truy cập bất thường.

Trên thực tế, tất cả các tiện ích mở rộng tiết lộ mã nguồn của chúng, vì vậy bất kỳ ai về cơ bản cũng có thể tiếp tục và tìm kiếm bất cứ điều gì đáng ngờ.

Các cảnh báo chỉ có ở đó để bạn không thể đổ lỗi cho các nhà cung cấp trình duyệt về bất kỳ thiệt hại nào xảy ra, trong trường hợp bạn cài đặt thứ gì đó không phù hợp với dữ liệu của bạn. Luôn đọc các đánh giá về các tiện ích bổ sung có vẻ nghi ngờ với bạn trước khi cài đặt chúng.

Cũng lưu ý rằng, ví dụ Google có thể kiểm tra nội dung gửi:

Mặc dù Google không bắt buộc phải giám sát Sản phẩm hoặc nội dung của chúng, nhưng bất cứ lúc nào Google cũng có thể xem xét hoặc kiểm tra Sản phẩm của bạn và mã nguồn của chúng để tuân thủ Thỏa thuận này, Chính sách chương trình của Cửa hàng Google Chrome và mọi điều khoản, nghĩa vụ, luật hiện hành khác hoặc quy định và có thể sử dụng các phương tiện tự động để tiến hành đánh giá đó

Việc xóa một phần mở rộng tất nhiên có thể gây ra một số rắc rối cho nhà phát triển.

Đó là một đánh giá rủi ro khó khăn để cố gắng làm. Sự phổ biến mang đến hai điều:

• Nhiều người đang cố gắng cải thiện nó (phát hiện mã xấu)
• Nhiều người cố gắng hack nó (và giới thiệu mã xấu) để tấn công một cơ sở người dùng lớn hơn

Giả sử những ví dụ này chúng ta đang nói về một dự án nguồn mở với mã được lưu trữ trong một cái gì đó như github.

Nếu một cái gì đó có một nhà phát triển, đó chỉ là một người kiểm tra mã. Nếu ai đó (không phải nhà phát triển) muốn thêm mã vào đó, họ cần phải lừa nhà phát triển thêm một bản vá độc hại (hoặc xảy ra) hoặc nhắm mục tiêu xác thực của nhà phát triển để họ có thể tự thêm mã (cũng xảy ra). Cơ hội của một trong hai điều này xảy ra phụ thuộc vào khả năng của nhà phát triển và bảo mật của họ.

Nếu có 10 nhà phát triển, số lượng vectơ tấn công gấp 10 lần. Nhưng cũng nhiều gấp 10 lần số người có thể phát hiện ra mã.

Tôi chắc chắn rằng có một điểm trong một dự án nơi nó đạt được đủ động lực để mọi người thực hiện kiểm toán bảo mật thường xuyên trên mã của nó. Nhưng bất cứ lúc nào trước đó, đó là sự dao động và bùng binh.

tl; dr Có quá khó để thực hiện ra. Có quá nhiều yếu tố con người. Nếu nó quan trọng, đừng tin tưởng nó trừ khi bạn có thể tự xác minh mã.