The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"31% дополнений к Chrome используют библиотеки с известн..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"31% дополнений к Chrome используют библиотеки с известн..."  +/
Сообщение от opennews (ok), 22-Фев-19, 12:51 
Разработчики проекта CRXcavator (https://crxcavator.io/) опубликовали результаты (https://duo.com/blog/crxcavator) анализа рисков при использовании браузерных дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что:


-  31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости.
-   35.4%  дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах.
-  15% применяют уязвимые библиотеки и имеют полномочия для доступа к  пользовательским данным на сайтах.
-  9% дополнений имеют полномочия для чтения всех Cookie пользователя;
-  77.3% дополнений не имеют собственного сайта.
-  84.7% дополнений не определяют правила обработки конфиденциальных данных.
-  78.3% не определяют CSP (Content Security Policies).
-  99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

URL: https://duo.com/blog/crxcavator
Новость: https://www.opennet.ru/opennews/art.shtml?num=50192

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "31% дополнений к Chrome используют библиотеки с известными у..."  –3 +/
Сообщение от Ilya Indigo (ok), 22-Фев-19, 12:51 
https://crxcavator.io/report/cjpalhdlnbpafiamejdnhcphjbkeiag...
Некоторым дополнением это действительно нужно для работы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "31% дополнений к Chrome используют библиотеки с известными у..."  +11 +/
Сообщение от Аноним (16), 22-Фев-19, 15:46 
А я напомню историю с модерацией Google. Которые не трогал фальшивые копии AdBlock Plus с измененными 1-2мя буквами в названии на манер китайских подделок. Но когда появился форк AdBlock Plus, который не только скрывал рекламу. Этот форк кликал на рекламные блоки автоматически, чтобы испортить статистику рекламодателям. Вот тогда Google буквально моментально вспомнил, что он оказывается еще и модерирует свой Store и удалил расширение. Вот это чудо https://addons.mozilla.org/ru/firefox/addon/adnauseam/
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "31% дополнений к Chrome используют библиотеки с известными у..."  +2 +/
Сообщение от Аноним (25), 22-Фев-19, 17:46 
Ага, удалил только это расширение. А тем временем, в сторе полным-полно клонов адблока на любой вкус и цвет. Так что про модерацию - это громко сказано. Помойка еще та.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

38. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от freehckemail (ok), 23-Фев-19, 11:56 
Вы ничего не понимаете. Гугель -- это корпорация ДОБРА! Это же всем известно!
Давайте пользоваться только сервисами от Гугеля. Они ведь САМЫЕ надёжные, САМЫЕ правильные, САМЫЕ безопасные, САМЫЕ-САМЫЕ за свободу ПО и всё такое! =)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

40. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от выфвы (?), 23-Фев-19, 14:41 
ради того чтобы напакостить кому то жрать проц?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

2. "31% дополнений к Chrome используют библиотеки с известными у..."  +16 +/
Сообщение от Аноним (2), 22-Фев-19, 12:57 
И 95% просто мутный мусор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "31% дополнений к Chrome используют библиотеки с известными у..."  –2 +/
Сообщение от Аноним (23), 22-Фев-19, 17:03 
Ну а что тут странного ? У разработчика должна мотивация поддерживать разработку.
Юзвери хотят все эти дополнения бесплатно (под каждым платным дополнением комменты в стиле "а почему за деньги?") хотя в тех же эплсторах и плеймаркетах платить вроде уже как привыкли, а тут подавай все бесплатно, вот и получается мусор.
Гугл кстати даже на собственной странице дополнения (страница настроек например, не путать с инжектом рекламы во) запрещает использовать adsense. А потом создают "сенсации", когда очередной разраб продает права на свое дополнение и там появляются зонды.

Хотите качества и уверенности в отсутствии зондов - пользуйтесь опенсорсными дополнениями.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "31% дополнений к Chrome используют библиотеки с известными у..."  –3 +/
Сообщение от Аноним (31), 22-Фев-19, 19:37 
Ты вообще лопочешь не о том! Речь не о деньгах, а о самой сути дополнений - я их ДЕСЯТКАМИ пролистываю и хоть бы одно было полезным! Вот зачем создавать этот шлак? Неужели без этого архиважного дополнения "курсы валют" нельзя жить? Или всякие калькуляторы, редакторы, прогнозы погоды... Всё это - отстой и должно выкидываться из каталога, если не набирает хотя бы тысячи голосов поддержки.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "31% дополнений к Chrome используют библиотеки с известными у..."  +2 +/
Сообщение от Аноним (34), 23-Фев-19, 00:32 
Попробуй найти себе более полезное занятие кроме как листать бесконечные списки дополнений.
Примеров того же СПО тоже тысячи различных програм, то что они не нужны тебе не значит что они не нужны другим.
Вообще непонятен твой баттхерт на ровном месте - нормальный человек видит проблему -> идет в стор -> находит нужное дополнение для себя -> использует его
Какая тебе разница сколько там этих дополнений, переживаешь о том что гугл хранит это на своих серверах или что?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним (2), 23-Фев-19, 01:50 
Типичный летчик над гнездом кукушки^W^W^W^W писатель опеннеета, хрен еще пойми о чем и зачем он спорит.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

3. "31% дополнений к Chrome используют библиотеки с известными у..."  +2 +/
Сообщение от Аноним (3), 22-Фев-19, 13:12 
Надо было немного в другом порядке:
Дуракам закон не писан
>78.3% не определяют CSP (Content Security Policies).

Если писан, то не читан
>84.7% дополнений не определяют правила обработки конфиденциальных данных.

Если читан, то не понят
>99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

Если понят, то не так

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним (7), 22-Фев-19, 13:52 
Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним84701 (ok), 22-Фев-19, 16:04 
> Ну конечно модерация это не по рангу гуглу. Создание свалок мусора в этом весь гугл.

Если вы сомневаетесь в правильном понимании слова "Store" в названии гугло-свал^W магазина "Chrome Web Store", то:
https://developer.chrome.com/webstore/money


In-app payments
One-time charge
Subscription
Offering a limited trial version of your item

(если что, Гуглу скромный такой процентик перепадает).
Как говаривал кто-то из древних анонимов в не менее древних форумах:
"Aes non olet - деньги не пахнут".
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

35. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от rshadow (ok), 23-Фев-19, 01:06 
Любой соседний магазин продуктов это свалка. Есть модерация государством. Есть отзывы пользователей. И все равно можно химии всякой нажраться очень просто. Ничего нового...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Анонимemail (14), 22-Фев-19, 14:51 
> 77.3% дополнений не имеют собственного сайта.

84.7% дополнений не определяют правила обработки конфиденциальных данных.
78.3% не определяют CSP (Content Security Policies).
99% не ограничивают источник загружаемых данных (default-src и connect-src) через CSP.

Ну а чего вы ждали от ШИРПОТРЕБА?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от robot228email (?), 22-Фев-19, 15:54 
Хуже всего что есть такие вне каталога. Например фиговое Passter Lite, афтар там ещё и домен профукал недавно. Несерьёзный человеГ вопщемта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним (21), 22-Фев-19, 16:35 
А зачем дополнениям CSP? Что там у них происходит внутри, что вот это вот нужно?

Что значит «позволяющие полностью получить доступ к данным пользователя на любых сайтах»? Могут читать и/или модифицировать страничку? А если их для этого и ставят?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "31% дополнений к Chrome используют библиотеки с известными у..."  –1 +/
Сообщение от Аноним (39), 23-Фев-19, 14:09 
>Могут читать и/или модифицировать страничку? А если их для этого и ставят?

Если бы речь шла о страничках с котиками и форумах с троллями то конечно проблем нет. Но Вам вряд ли понравится осознавать факт того, что данные Вашей кредитки в любой момент могут быть слиты третьим лицам. И Вам будет даже не на кого подать в суд по этому поводу.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним (27), 22-Фев-19, 18:36 
А почему у операционной системы для телефонов от Гугла нет файрвола, это так сложно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от OpenEcho (?), 22-Фев-19, 18:53 
На рутовых - есть, для не рутовых - No root firewall (создает локальный прокси на телефоне и режет что сказано)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "31% дополнений к Chrome используют библиотеки с известными у..."  +1 +/
Сообщение от Аноним (31), 22-Фев-19, 19:33 
> ...получить доступ к данным пользователя на любых сайтах.

Вот уж чего точно НЕ нужно 99%-ам дополнений! Какие-то туnоpылые "курсы валют", а запрашивают права чуть ли не как банковский клиент!

Браузеры уже давно перешли ту черту, когда "всё было можно" - уже давно пора завинчивать гайки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от Аноним (32), 22-Фев-19, 21:11 
>You need to enable JavaScript to run this app.

И сразу же туда, куда вы подумали.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "31% дополнений к Chrome используют библиотеки с известными у..."  –1 +/
Сообщение от Аноним34email (?), 23-Фев-19, 10:47 
да, а что скажете про ето дополнение безопасно ли оно Polyfono. Beyond Web Audio?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "31% дополнений к Chrome используют библиотеки с известными у..."  +/
Сообщение от глш (?), 27-Фев-19, 20:36 
А как c NPAPI плагинами то боролись? Целая пропагандистская компания была про небезопасность, чтобы их вырезать из фуррифокса и хромого. А здесь, хоть криптовалюту в браузере майни безнаказанно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру