אמת את התוספים של Google Chrome לפני התקנתם
- קטגוריה: גוגל כרום
תוספי Google Chrome יכולים להרחיב את הפונקציונליות של דפדפן האינטרנט או להקל על החיים בזמן הגלישה באינטרנט. אמנם זה המצב, הן עלולות להתעלל גם על ידי חברות כדי לעקוב אחר משתמשים ברחבי האינטרנט, להציג פרסומות או להוריד קוד זדוני למערכת המשתמשים.
מאמר זה מספק לך את האמצעים לאימות תוספים של Chrome לפני שתתקין אותם. חשוב לעשות זאת לפני שהתוסף יתקין בדפדפן כיוון שכבר מאוחר מדי לאחר ההתקנה.
אמנם אתה יכול להגדיר סביבת בדיקה עבור תוספי דפדפן, למשל בארגז חול ועם צג תנועה ברשת כמו Wireshark, אך זה לא יכול להיות משהו שרוב המשתמשים מרגישים בנוח איתו.
חלק 0: על מה אסור לסמוך
חנות האינטרנט של Chrome עשויה להופיע כמו מיקום מאובטח לכל צרכי התוסף שלך, אך היא לא. גוגל משתמשת בבדיקות אוטומטיות הסורקות תוספים שמפתחים מעלים לחנות. בדיקות אלה תופסים חלק אך לא כל צורות של פונקציות פולשניות לפרטיות או בעליל-זדוניות.
מגמת מיקרו גילתה למשל הרחבות דפדפן זדוניות בחנות האינטרנט הרשמית בשנת 2014, והיא אינה החברה היחידה שעשתה זאת.
שיטה נפוצה המשמשת תוספים כדי לעבור את כל בדיקות האבטחה היא לכלול סקריפט שיטען את העומס הזדוני.
התוסף עצמו אינו מכיל אותו כשהוא מוגש לחנות האינטרנט של Chrome. כך, התוסף עובר את הצ'ק ומתווסף לחנות בה כל משתמשי Chrome יכולים להוריד אותה.
אם אתה מעוניין בדוגמה אחת לא נעימה לאחרונה, בדוק את תוכנות זדוניות בדפדפן מאמר מאת מקסימה קייר.
התיאור נוצר על ידי מפתח התוסף ולכן אין לסמוך עליו ללא אימות.
הערות משתמשים עשויות להדגיש סיומות בעייתיות, אך זה לא תמיד המקרה. לכן אין לסמוך עליהם גם בעניין זה ללא אימות.
אחרון חביב, אל תסמכו על המלצות באופן עיוור, או מציעים להתקין תוסף מכיוון שהוא נדרש למשהו או שפורסם עבורכם.
חלק 1: התיאור
תוספים רבים המשתמשים בניתוח, מעקב אחר קליקים, מעקב אחר היסטוריית הגלישה וטפסי מעקב אחרים מדגישים את העובדה בתיאור התוסף.
יתכן שלא תראה מבט ראשון זה כיוון שגוגל מעדיף סגנון על פני חומר בחנות. שדה התיאור הוא זעיר ולעתים קרובות עליך לגלול כדי לקרוא את הכל.
בדוק את הפופולרי צילום מסך מדהים סיומת למשל. נראה לגיטימי נכון? הרבה ביקורות חיוביות, יותר מ -580,000 משתמשים.
אם תקדיש זמן ותגלול בתיאור, בסופו של דבר תפגע בקטע הבא:
השימוש בתוסף הדפדפן Awesome לתמונות מסך מחייב מתן הרשאה לתפוס נתוני זרם קליקים אנונימיים.
רוצים דוגמא אחרת? מה דעתך על רחף זום, סיומת עם יותר מ -1.2 מיליון משתמשים שקיבלה ביקורות בעבר על מעקב אחר האינטגרציה? גלול למטה ותגלה ..
הרחבת זום מחייבת שמשתמשים בהרחבה יתנו הרשאה לרחף הרחבה לאסוף פעילות גלישה שתשמש באופן פנימי ומשותפים עם צדדים שלישיים והכל לשימוש על בסיס אנונימי ומצטבר למטרות מחקר.
Flash Player + הוא סיומת נוספת שמדגישה בתיאור שהיא רושמת נתונים ומשתפת נתונים אלה עם צדדים שלישיים.
על מנת לתמוך ולשפר באופן רציף תוכנה זו, משתמשים שמתקינים אותה מאפשרים ל- Fairshare לאסוף ולשתף מידע אודותם ופעילות השימוש באינטרנט שלהם עם צדדים שלישיים למטרות עסקיות ומחקריות.
דרך מהירה למצוא תוספים אלה היא לחפש ביטויים המשמשים בתיאורים אלו. חיפוש אחר ביטול הסכמה למשל מגלה רבים מהם בתוצאות החיפוש (לצד תוספים לגיטימיים). רבים משתמשים באותו תיאור שפירושו שחיפוש אחר 'לאיסוף ושיתוף מידע עליהם' יגלה הרחבות המשתמשות במעקב מסוג זה למשל.
חלק ב ': מידע ישיר
המידע הבא מוצג בדף הפרופיל של התוספים בחנות האינטרנט של Chrome:
החברה או האדם שיצר / מציע אותה.
דירוג מצטבר, ומספר המשתמשים שדירגו אותו.
המספר הכולל של המשתמשים.
התאריך המעודכן האחרון.
הגרסא.
המידע נותן רמזים אך הם לא מספיקים כדי לשפוט הרחבה. רבים יכולים להיות מזויפים או לנפח באופן מלאכותי למשל.
גוגל לא מצליחה לספק קישור לכל התוספים של חברה או יחיד, ואין אפשרות לקבל אימות.
אמנם אתה עשוי להשתמש בחיפוש כדי למצוא תוספים אחרים של חברה או גורם, אך אין אחריות שהתוצאות מפרטות את כולן.
חלק 3: הרשאות
בדרך כלל לא ניתן לקבוע אם הרחבה היא לגיטימית, מעקב אחרך או זדוני על סמך ההרשאות שהוא מבקש לבד.
ישנם מדדים לכך. לדוגמה, אם תוסף המשפר את בקשות פייסבוק 'לקרוא ולשנות את כל הנתונים שלך באתרים שבהם אתה מבקר', אתה עלול להגיע למסקנה שעדיף שלא להתקין את התוסף בהתבסס על זה. מכיוון שהיא צריכה לעבוד רק בפייסבוק, אין צורך לתת לה הרשאות מרחיקות לכת לראות נתונים ולתמרן בכל האתרים.
זהו רק אינדיקטור, אך אם אתה משתמש בשכל ישר, ייתכן שתוכל להימנע מהתקנת תוספים בעייתיים. בדרך כלל, קיימת אלטרנטיבה זמינה שמציעה פונקציונליות דומה אך ללא בקשות ההרשאה הרחבות.
יתכן שתרצה לבדוק גם הרשאות אלה עבור כל התוספים המותקנים. טען כרום: // סיומות / ולחץ על קישור הפרטים שמתחת לכל תוסף. זה מציג שוב את כל בקשות ההרשאות של התוסף הזה כקופץ בדפדפן.
חלק 4: מדיניות הפרטיות
בתנאי שהסיומת קשורה לדף מדיניות פרטיות, ייתכן שתמצא בו מידע החושף אם משתמשים עוקבים אחריו או לא. זה לא יעבור באופן בלתי מודע עבור הרחבות זדוניות על הסף.
לדוגמה, אם אתה בודק את מדיניות הפרטיות של Fairshare המקושרת מהרחבות כגון Zoom Hover Zoom, אתה מוצא בה את הקטע הבא:
החברה רשאית להשתמש בעוגיות דפדפן, נתוני אחסון אינטרנט ו- DOM, קובצי Cookie של Adobe Flash, פיקסלים, משואות וטכנולוגיות מעקב ואיסוף נתונים אחרות, אשר עשויים לכלול מזהה ייחודי אנונימי.
ניתן להשתמש בטכנולוגיות אלה כדי לאסוף ולאחסן מידע אודות השימוש שלך בשירותים, כולל ללא הגבלה, דפי אינטרנט, תכונות ותכנים שאליהם הגשת, שאילתות חיפוש שהפעלת, מידע על כתובת אתר להפניה, קישורים עליהם לחצת ופרסומות אליך ראיתי.
נתונים אלה משמשים למטרות עסקיות כגון הצגת מודעות ותוכן רלוונטיים יותר, ומחקר שוק
חלק 5: קוד המקור
מעבר על קוד המקור עשוי להיות האפשרות הטובה ביותר שעליך לברר אם תוסף עוקב אחריך או זדוני.
יתכן וזה לא טכני כמו שזה נשמע ולעתים קרובות ניתן לקבוע כי עם כישורי HTML ו- JavaScript מבודדים.
הדבר הראשון שאתה צריך הוא סיומת המאפשרת לך לתפוס את קוד המקור של סיומת מבלי להתקין אותו. מציג המקור לתוסף Chrome היא סיומת קוד פתוח עבור Chrome שעוזרת לך בכך.
אלטרנטיבה לכך היא הפעלת Chrome בסביבת ארגזי חול, התקן בה תוספים כדי לקבל גישה לקבצים שלהם.
אם אתה משתמש במציג המקורות של התוסף, תוכל ללחוץ על סמל ה- crx בסרגל הכתובות בחנות האינטרנט של Chrome כדי להוריד את התוסף כקובץ zip או להציג את המקור שלו מייד בדפדפן.
אתה יכול להתעלם מייד מכל קבצי ה- .css והתמונות. קבצים שכדאי לבחון מקרוב הם בדרך כלל עם סיומת .js או .json.
אתה יכול לבדוק קודם את קובץ manifest.json ולבדוק את הערך content_security_policy כדי לראות שם רשימת דומיינים, אך בדרך כלל זה לא מספיק.
תוספים מסוימים משתמשים בשמות ברורים למעקב אחר קבצים, מודעות למשל כך שתרצה להתחיל שם.
יתכן שלא תוכל לדעת אם אינך מכיר JavaScript אולם אם זה לא המקרה.
עכשיו אתה : האם אתה מנהל תוספי Chrome? האם אימת אותם לפני ההתקנה?