Проверьте расширения Google Chrome перед их установкой

• Категория: Гугл Хром

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Расширения Google Chrome могут расширить функциональные возможности веб-браузера или облегчить жизнь при просмотре веб-страниц. Хотя это так, компании также могут злоупотреблять ими для отслеживания пользователей в Интернете, отображения рекламы или загрузки вредоносного кода в пользовательскую систему.

В этой статье вы узнаете, как проверить расширения Chrome перед их установкой. Это важно сделать до того, как расширение будет установлено в браузере, поскольку после установки может быть уже слишком поздно.

Хотя вы можете настроить тестовую среду для расширений браузера, например, в песочнице и с помощью монитора сетевого трафика, такого как Wireshark, это может быть не совсем то, что большинство пользователей чувствует себя комфортно.

Часть 0: Чему не стоит доверять

Интернет-магазин Chrome может показаться безопасным местом для всех ваших расширений, но это не так. Google использует автоматические проверки, которые проверяют расширения, которые разработчики загружают в магазин. Эти проверки выявляют некоторые, но не все формы нарушающих конфиденциальность или явно злонамеренных функций.

Компания Trend Micro обнаружила например, вредоносные расширения для браузеров в официальном Интернет-магазине в 2014 году, и это не единственная компания, которая сделала это.

Обычный метод, используемый расширениями для прохождения всех проверок безопасности, - это включение сценария, который загрузит вредоносную полезную нагрузку.

Само расширение не содержит его при отправке в Интернет-магазин Chrome. Таким образом, расширение проходит проверку и добавляется в магазин, откуда его могут скачать все пользователи Chrome.

Если вас интересует один неприятный недавний пример, посмотрите вредоносное ПО в браузере статья Максима Кьира.

Описание создается разработчиком расширения и поэтому не заслуживает доверия без проверки.

Комментарии пользователей могут указывать на проблемные расширения, но это не всегда так. Следовательно, им в этом плане тоже нельзя доверять без проверки.

И последнее, но не менее важное: вам не следует слепо доверять рекомендациям или предложениям установить расширение, потому что оно вам для чего-то нужно или рекламируется.

Часть 1: Описание

Многие расширения, которые используют аналитику, отслеживание кликов, отслеживание вашей истории просмотров и другие формы отслеживания, выделяют этот факт в описании расширения.

Вы можете не заметить этого с первого взгляда, поскольку Google предпочитает стиль содержанию в магазине. Поле описания крошечное, и вам часто нужно прокручивать его, чтобы прочитать все.

Ознакомьтесь с популярными Потрясающий снимок экрана расширение, например. Выглядит законно, правда? Множество положительных отзывов, более 580 000 пользователей.

Если вы потратите время и пролистаете описание, вы в конце концов наткнетесь на следующий отрывок:

Для использования расширения браузера Awesome Screenshot необходимо предоставить ему разрешение на сбор анонимных данных потока кликов.

Хотите еще один пример? Как насчет Hover Zoom, расширения с более чем 1,2 миллиона пользователей, которое в прошлом подвергалось критике за интеграцию отслеживания? Прокрутите вниз и найдете ...

Hover Zoom требует, чтобы пользователи расширения предоставляли разрешение Hover Zoom для сбора данных о просмотре страниц для внутреннего использования и передачи третьим лицам для использования на анонимной и агрегированной основе в исследовательских целях.

Flash Player + - еще одно расширение, в описании которого подчеркивается, что он записывает данные и передает их третьим лицам.

Чтобы постоянно поддерживать и улучшать это программное обеспечение, пользователи, которые его устанавливают, разрешают Fairshare собирать и передавать информацию о них и их активности использования Интернета третьим сторонам в деловых и исследовательских целях.

Быстрый способ найти эти расширения - выполнить поиск фраз, используемых в этих описаниях. Например, поиск отказа показывает многие из них в результатах поиска (рядом с допустимыми расширениями). Многие используют одно и то же описание, что означает, что поиск по запросу «собрать и поделиться информацией о них» обнаружит расширения, которые, например, используют такой вид отслеживания.

Часть 2: Прямая информация

На странице профиля расширений в Интернет-магазине Chrome отображается следующая информация:

Компания или частное лицо, которые ее создали / предлагают.
Общий рейтинг и количество оценивавших его пользователей.
Общее количество пользователей.
Дата последнего обновления.
Версия.
Информация дает вам подсказки, но ее недостаточно, чтобы судить о продлении. Многие из них, например, могут быть подделаны или раздуты искусственно.

Google не может предоставить ссылку на все расширения компании или частного лица, и нет возможности получить подтверждение.

Хотя вы можете использовать поиск, чтобы найти другие расширения от компании или частного лица, нет никакой гарантии, что в результатах будут перечислены все они.

Часть 3: Разрешения

Обычно невозможно определить, является ли расширение законным, отслеживающим вас или явно вредоносным, только на основании разрешений, которые оно запрашивает.

Однако есть индикаторы этого. Например, если расширение, которое улучшает запросы Facebook на «чтение и изменение всех ваших данных на веб-сайтах, которые вы посещаете», вы можете прийти к выводу, что вам лучше не устанавливать расширение на основе этого. Поскольку он должен работать только на Facebook, нет необходимости давать ему далеко идущие разрешения на просмотр и управление данными на всех сайтах.

Однако это всего лишь индикатор, но если вы будете руководствоваться здравым смыслом, вы сможете избежать установки проблемных расширений. Обычно существует альтернатива, предлагающая аналогичную функциональность, но без обширных запросов на разрешение.

Вы также можете проверить эти разрешения для всех установленных расширений. Загрузите chrome: // extensions / и щелкните ссылку с подробностями под каждым расширением. Это снова отобразит все запросы разрешений этого расширения в виде всплывающего окна в браузере.

Часть 4: Политика конфиденциальности

При условии, что расширение ссылается на страницу Политики конфиденциальности, вы можете найти на ней информацию, которая показывает, отслеживаются ли пользователи с его помощью или нет. Это не сработает для откровенно вредоносных расширений.

Например, если вы ознакомитесь с Политикой конфиденциальности Fairshare, на которую ссылаются такие расширения, как Hover Zoom, вы найдете в ней следующий отрывок:

Компания может использовать файлы cookie браузера, данные веб-хранилища и DOM, файлы cookie Adobe Flash, пиксели, маяки и другие технологии отслеживания и сбора данных, которые могут включать анонимный уникальный идентификатор.

Эти технологии могут использоваться для сбора и хранения информации об использовании вами Сервисов, включая, помимо прочего, веб-страницы, функции и контент, к которым вы получили доступ, выполненные вами поисковые запросы, информацию о реферальных URL-адресах, ссылки, по которым вы переходили, и рекламные объявления, которые вы видел.

Эти данные используются в коммерческих целях, например, для предоставления более релевантной рекламы и контента, а также для исследования рынка.

Часть 5: Исходный код

Просмотр исходного кода может быть лучшим вариантом для определения того, отслеживает ли расширение вас или является вредоносным.

Это может быть не так технически, как кажется, и часто можно определить это с помощью элементарных навыков HTML и JavaScript.

Первое, что вам нужно, это расширение, которое позволит вам получить исходный код расширения, не устанавливая его. Программа просмотра исходного кода расширения Chrome - расширение с открытым исходным кодом для Chrome, которое поможет вам в этом.

Альтернативой этому является запуск Chrome в изолированной среде, установка в нем расширений, чтобы получить доступ к своим файлам.

Если вы используете программу просмотра исходных кодов расширений, вы можете щелкнуть значок crx в адресной строке Интернет-магазина Chrome, чтобы загрузить расширение в виде zip-файла или сразу просмотреть его исходный код в браузере.

Вы можете сразу игнорировать все файлы .css и изображения. Файлы, на которые следует обратить внимание, обычно имеют расширение .js или .json.

Вы можете сначала проверить файл manifest.json и проверить значение content_security_policy, чтобы увидеть там список доменов, но обычно этого недостаточно.

Некоторые расширения используют очевидные имена для файлов отслеживания, например рекламы, так что вы можете начать с них.

Возможно, вы не сможете определить, не знаете ли вы JavaScript, если это не так.

Теперь ваша очередь : Вы используете расширения Chrome? Вы их проверяли перед установкой?