Разработчики проекта CRXcavator (https://crxcavator.io/) опубликовали результаты (https://duo.com/blog/crxcavator) анализа рисков при использовании браузерных дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:
- 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
- 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
- 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах.
- 9% дополнений имеют полномочия для чтения всех Cookie пользователя;
- 77.3% дополнений не имеют собственного сайта.
- 84.7% дополнений не определяют правила обработки конфиденциальных данных.
- 78.3% не определяют CSP (Content Security Policies).
- 99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.URL: https://duo.com/blog/crxcavator
Новость: https://www.opennet.ru/opennews/art.shtml?num=50192
https://crxcavator.io/report/cjpalhdlnbpafiamejdnhcphjbkeiag...
Некоторым дополнением это действительно нужно для работы.
А я напомню историю с модерацией Google. Которые не трогал фальшивые копии AdBlock Plus с измененными 1-2мя буквами в названии на манер китайских подделок. Но когда появился форк AdBlock Plus, который не только скрывал рекламу. Этот форк кликал на рекламные блоки автоматически, чтобы испортить статистику рекламодателям. Вот тогда Google буквально моментально вспомнил, что он оказывается еще и модерирует свой Store и удалил расширение. Вот это чудо https://addons.mozilla.org/ru/firefox/addon/adnauseam/
Ага, удалил только это расширение. А тем временем, в сторе полным-полно клонов адблока на любой вкус и цвет. Так что про модерацию - это громко сказано. Помойка еще та.
Вы ничего не понимаете. Гугель -- это корпорация ДОБРА! Это же всем известно!
Давайте пользоваться только сервисами от Гугеля. Они ведь САМЫЕ надёжные, САМЫЕ правильные, САМЫЕ безопасные, САМЫЕ-САМЫЕ за свободу ПО и всё такое! =)
ради того чтобы напакостить кому то жрать проц?
И 95% просто мутный мусор.
Ну а что тут странного ? У разработчика должна мотивация поддерживать разработку.
Юзвери хотят все эти дополнения бесплатно (под каждым платным дополнением комменты в стиле "а почему за деньги?") хотя в тех же эплсторах и плеймаркетах платить вроде уже как привыкли, а тут подавай все бесплатно, вот и получается мусор.
Гугл кстати даже на собственной странице дополнения (страница настроек например, не путать с инжектом рекламы во) запрещает использовать adsense. А потом создают "сенсации", когда очередной разраб продает права на свое дополнение и там появляются зонды.Хотите качества и уверенности в отсутствии зондов - пользуйтесь опенсорсными дополнениями.
Ты вообще лопочешь не о том! Речь не о деньгах, а о самой сути дополнений - я их ДЕСЯТКАМИ пролистываю и хоть бы одно было полезным! Вот зачем создавать этот шлак? Неужели без этого архиважного дополнения "курсы валют" нельзя жить? Или всякие калькуляторы, редакторы, прогнозы погоды... Всё это - отстой и должно выкидываться из каталога, если не набирает хотя бы тысячи голосов поддержки.
Попробуй найти себе более полезное занятие кроме как листать бесконечные списки дополнений.
Примеров того же СПО тоже тысячи различных програм, то что они не нужны тебе не значит что они не нужны другим.
Вообще непонятен твой баттхерт на ровном месте - нормальный человек видит проблему -> идет в стор -> находит нужное дополнение для себя -> использует его
Какая тебе разница сколько там этих дополнений, переживаешь о том что гугл хранит это на своих серверах или что?
Типичный летчик над гнездом кукушки^W^W^W^W писатель опеннеета, хрен еще пойми о чем и зачем он спорит.
Надо было немного в другом порядке:
Дуракам закон не писан
>78.3% не определяют CSP (Content Security Policies).Если писан, то не читан
>84.7% дополнений не определяют правила обработки конфиденциальных данных.Если читан, то не понят
>99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.Если понят, то не так
Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.
> Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.Если вы сомневаетесь в правильном понимании слова "Store" в названии гугло-свал^W магазина "Chrome Web Store", то:
https://developer.chrome.com/webstore/money
In-app payments
One-time charge
Subscription
Offering a limited trial version of your item
(если что, Гуглу скромный такой процентик перепадает).
Как говаривал кто-то из древних анонимов в не менее древних форумах:
"Aes non olet - деньги не пахнут".
Любой соседний магазин продуктов это свалка. Есть модерация государством. Есть отзывы пользователей. И все равно можно химии всякой нажраться очень просто. Ничего нового...
> 77.3% дополнений не имеют собственного сайта.84.7% дополнений не определяют правила обработки конфиденциальных данных.
78.3% не определяют CSP (Content Security Policies).
99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.Ну а чего вы ждали от ШИРПОТРЕБА?
Хуже всего что есть такие вне каталога. Например фиговое Passter Lite, афтар там ещё и домен профукал недавно. Несерьёзный человеГ вопщемта.
А зачем дополнениям CSP? Что там у них происходит внутри, что вот это вот нужно?Что значит «позволяющие полностью получить доступ к данным пользователя на любых сайтах»? Могут читать и/или модифицировать страничку? А если их для этого и ставят?
>Могут читать и/или модифицировать страничку? А если их для этого и ставят?Если бы речь шла о страничках с котиками и форумах с троллями то конечно проблем нет. Но Вам вряд ли понравится осознавать факт того, что данные Вашей кредитки в любой момент могут быть слиты третьим лицам. И Вам будет даже не на кого подать в суд по этому поводу.
А почему у операционной системы для телефонов от Гугла нет файрвола, это так сложно?
На рутовых - есть, для не рутовых - No root firewall (создает локальный прокси на телефоне и режет что сказано)
> ...получить доступ к данным пользователя на любых сайтах.Вот уж чего точно НЕ нужно 99%-ам дополнений! Какие-то туnоpылые "курсы валют", а запрашивают права чуть ли не как банковский клиент!
Браузеры уже давно перешли ту черту, когда "всё было можно" - уже давно пора завинчивать гайки.
>You need to enable JavaScript to run this app.И сразу же туда, куда вы подумали.
да, а что скажете про ето дополнение безопасно ли оно Polyfono. Beyond Web Audio?
А как c NPAPI плагинами то боролись? Целая пропагандистская компания была про небезопасность, чтобы их вырезать из фуррифокса и хромого. А здесь, хоть криптовалюту в браузере майни безнаказанно.