Chrome एक्सटेंशन लोकप्रिय होने का कितना बड़ा जोखिम है?

20

मैं क्रोमियम में जाने वाला हूं और मैंने कुछ एक्सटेंशन स्थापित किए हैं। हर बार जब मैंने एक एक्सटेंशन स्थापित किया था, तो मुझे सूचित किया गया था कि किस डेटा के एक्सटेंशन तक पहुंच है, जैसे:

यहाँ छवि विवरण दर्ज करें

मैं समझता हूं कि कार्य के विस्तार के लिए उस डेटा तक पहुंच आवश्यक है, फिर भी मैं थोड़ा चिंतित हूं कि इस तरह का एक्सटेंशन मेरे सभी ब्राउज़िंग डेटा को अपडेट करने और चोरी ("फोन होम") करने का फैसला कर सकता है।

एक डरावना संदेश का एक और उदाहरण (गुप्त विंडो के एक्सटेंशन सक्षम करते समय):

चेतावनी: क्रोमियम आपके ब्राउज़िंग इतिहास को रिकॉर्ड करने से एक्सटेंशन को रोक नहीं सकता है। इस एक्सटेंशन को गुप्त मोड में अक्षम करने के लिए, इस विकल्प को अचयनित करें।

क्या लोकप्रिय क्रोम एक्सटेंशन का उपयोग करते समय यह एक संभावित खतरा है? आपके द्वारा ब्राउज़र में जोड़े गए प्रत्येक नए फ़ंक्शन के लिए किसी अन्य पार्टी पर भरोसा करना थोड़ा डरावना है।

security  google-chrome-extensions 
htorque
स्रोत
स्टैक ओवरफ्लो पर एक संबंधित प्रश्न: stackoverflow.com/questions/249106/…
LeopardSkinPillBoxHat

जवाबों:

25

आप निम्नलिखित को भूल रहे हैं:

जितना अधिक लोकप्रिय एक विस्तार है, उतना ही छोटा है कि कोई भी इस बात पर ध्यान नहीं देता है कि एड-ऑन कुछ हानिकारक है।

इसके विपरीत, यदि आप कुछ ऐसे एक्सटेंशन इंस्टॉल करते हैं, जो पहले किसी और ने इस्तेमाल नहीं किए हैं, तो आप इससे अधिक जोखिम लेते हैं, आइए बताते हैं, AdBlock स्थापित करना। यह देखते हुए कि इतने सारे लोग इसका उपयोग कर रहे हैं, यह कहना लगभग सुरक्षित है: किसी ने असामान्य यातायात पर ध्यान दिया होगा।

वास्तव में, सभी एक्सटेंशन अपने स्रोत कोड का खुलासा करते हैं, इसलिए कोई भी मूल रूप से आगे बढ़ सकता है और स्वयं कुछ भी संदिग्ध लग सकता है।

चेतावनी सिर्फ इतनी है कि आप किसी भी नुकसान के लिए ब्राउज़र विक्रेताओं को दोष नहीं दे सकते हैं, यदि आप कुछ ऐसा स्थापित करते हैं जो आपके डेटा के साथ दुष्ट हो जाता है। हमेशा ऐड-ऑन की समीक्षाओं को पढ़ें जो उन्हें स्थापित करने से पहले आपके लिए संदिग्ध दिखते हैं।

यह भी ध्यान दें कि, उदाहरण के लिए Google सबमिशन की जाँच कर सकता है:

जबकि Google उत्पादों या उनकी सामग्री की निगरानी करने के लिए बाध्य नहीं है, Google किसी भी समय इस अनुबंध, Google Chrome वेब स्टोर प्रोग्राम नीतियों, और किसी भी अन्य लागू शर्तों, दायित्वों, कानूनों के अनुपालन के लिए अपने उत्पादों और उनके स्रोत कोड की समीक्षा या परीक्षण कर सकता है। , या नियम, और ऐसी समीक्षा करने के लिए स्वचालित साधनों का उपयोग कर सकते हैं

एक्सटेंशन को हटाने से डेवलपर को कुछ परेशानी हो सकती है।

slhck
स्रोत
2
इसलिए एक्सटेंशन मेरे डेटा को एकत्र और वापस भेज सकते हैं, लेकिन लोकप्रिय लोगों के साथ इसकी कम संभावना है क्योंकि स्रोत कोड जनता के लिए उपलब्ध है।
htorque
1
@htorque एक एक्सटेंशन ऐसा कर सकता है, हां - लेकिन चीजों की प्रकृति को देखते हुए, अगर बाहर देखने के लिए अधिक लोग हैं, तो कुछ बुरा होने की संभावना कम है।
slhck
3
डेटा को उनके सर्वर पर वापस भेजने के लिए उनके लिए "वैध" कारण हो सकते हैं। किस मामले में, यह बड़ी खबर होने की संभावना नहीं है अगर किसी को पता चलता है कि वे करते हैं।
स्टेफानो पलाज़ो
1
@Stefano यह सही है। अरे, कुछ एक्सटेंशन इसके बिना भी काम नहीं करेंगे।
स्लैक
1
हां, अधिक आँखें आमतौर पर बेहतर होती हैं। दुर्भाग्य से, इसका मतलब यह भी है कि जितने अधिक लोग इसका उपयोग करते हैं, उतने अधिक लोग यह मानेंगे कि कोई और इसे जांचने का ध्यान रखेगा, और स्वयं ऐसा नहीं करेगा, जिसके परिणामस्वरूप सुरक्षा का एक भड़का हुआ और कृत्रिम अर्थ निकलता है। :-(
सिंटेक
9

यह एक कठिन जोखिम-आकलन करने की कोशिश करना है। लोकप्रियता दो चीजें लाती है:

  • इसे सुधारने की कोशिश कर रहे अधिक लोग (खराब कोड को देखकर)
  • अधिक उपयोगकर्ता इसे (और खराब कोड को) हैक करने की कोशिश कर रहे हैं ताकि बड़े उपयोगकर्ता पर हमला किया जा सके

आइए इन उदाहरणों के लिए मान लें कि हम एक ओपन सोर्स प्रोजेक्ट के बारे में बात कर रहे हैं जिसमें कोड कुछ जीथब जैसा है।

यदि किसी चीज़ में एक डेवलपर है, तो वह कोड में सिर्फ एक व्यक्ति है। यदि कोई व्यक्ति (डेवलपर नहीं) उस पर कोड जोड़ना चाहता है, तो उन्हें या तो डेवलपर को दुर्भावनापूर्ण पैच (ऐसा होता है) जोड़ने की आवश्यकता है, या उस डेवलपर के प्रमाणीकरण को लक्षित करें ताकि वे स्वयं कोड जोड़ सकें (ऐसा भी होता है)। इनमें से किसी एक के होने की संभावना डेवलपर की क्षमता और उनकी सुरक्षा पर निर्भर करती है।

यदि 10 डेवलपर हैं, तो कई हमले वैक्टर के रूप में 10 गुना हैं। लेकिन यह भी 10 बार के रूप में कई लोग हैं कि कोड हाजिर कर सकते हैं।

मुझे यकीन है कि एक परियोजना में एक बिंदु है जहां यह लोगों को अपने कोड पर नियमित सुरक्षा ऑडिट करने के लिए पर्याप्त गति प्राप्त करता है। लेकिन इससे पहले किसी भी समय, यह झूलों और गोल चक्कर है।

tl; dr वास्तविक रूप से काम करने में बहुत कठिन हैं। बहुत सारे मानवीय तत्व हैं। यदि यह मायने रखता है, तो उस पर भरोसा न करें जब तक कि आप स्वयं कोड को सत्यापित न करें।

ओली
स्रोत
+1, एक बहुत अच्छी व्याख्या भी।
slhck
2
खैर, मुझे पहले से ही सैकड़ों कर्नेल हैकर्स पर भरोसा है ... माउस इशारा समर्थन जैसे सरल ब्राउज़र फ़ंक्शंस के लिए अतिरिक्त तीसरी पार्टियों में विश्वास करना 'अजीब' है। ?)।
htorque
ओली का दूसरा बिंदु बिल्कुल यही है कि लिनक्स और मैक उपयोगकर्ताओं का आग्रह है कि उनके प्लेटफॉर्म बेहतर हैं और विंडोज के लिए सुरक्षित है। अधिकांश हैकर्स लिनक्स या मैक को हैक करने से परेशान नहीं होते हैं क्योंकि ऐसा करने में पर्याप्त इनाम नहीं होता है। अगर वहाँ थे, तो शोषण की संख्या में विस्फोट होगा (शायद विंडोज के रूप में उच्च नहीं है , लेकिन अभी भी ...) यह एक्सटेंशन सहित किसी भी सॉफ्टवेयर के साथ भी ऐसा ही है । यह जितना लोकप्रिय है, इसे हैक करने के लिए उतना ही अधिक प्रोत्साहन है। (बस फेसबुक / ट्विटर / आदि हैक की बढ़ती संख्या को देखो।)
Synetech
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.