Мне иногда кажется, что реализация "расширений" это какой-то сюр, всеобщий пранк или глобальный заговор создателей браузеров.
Всем известен факт, что расширения имеют огромную популярность и невероятно полезны (Добавляют полезный разным пользователям функционал, на который нет времени \ мотивации у официальных разработчиков)
Всем известен факт, что их текущая реализация сломана и АБСОЛЮТНО небезопасна. (Большинству расширений почему-то требуется иметь доступ, чуть ли не вообще ко всему, что есть у пользователя, как в браузере, так и вне его - при том, что само расширение может представлять из себя "приколюху для дорисовывания смайлика к картинкам с котятами". И это не косяк приложений. Почему приложение для скачивания видео не может иметь доступ ТОЛЬКО к видео? Почему оно обязательно должно иметь доступ ко всем данным с сайта?
Всем известно, что их монетизация сделана ужасно. И как следствие БУДЕТ много случаев всяких мошенничеств (т.к большинство хочет вознаграждение на свой труд)
Всем известно, что разработчики расширений могут менять исходный код уже после прохождения проверки в магазине приложений.
Хоть кто-нибудь с этим что-то делает или пытается что-либо предпринять? Нет. Есть этому какое-то логическое объяснение?
2021 год на дворе и уже невозможно смотреть на очередные новости с этой гигантской дырищей в безопасности браузеров под названием "Расширения", которые ещё и подаются от имени самих же разработчиков браузера (Chrome Extensions Store & т.д)
Даже в конце статьи этот мастер по кибербезопасности предлагает "читать требования расширений" и "удалять те, что имеют доступ ко всем данным", при том, что сам же выше пишет, что 70% расширений в магазине имеют доступ ко всем данным.
Вместо того, чтобы написать обращение к разрабам Google Chrome Store: А вы не а*уели? Сделайте БЕЗОПАСНУЮ реализацию - мужик предлагает лучше просто их не устанавливать))
Но.. код расширения открыт (!). Можно спокойнл посмотреть все что оно делает. Это сильно отличает расширения от тех же exe или apk.. Автор не привел ни одного вредного примера на сейчас..
Давно уже об этом всём думал. В прнципе, согласен, НО, если немного подумать о ситуации вцелом, то любое приложение, которое вы ставите локально, особенно не от больших компаний, может делать в текущем локальном окружении довольно многое и мало кто полезет проверять "что же оно там на самом деле делает", даже если это опенсорс.
Как разработчик, не знаю, как гугл может сделать безопасную реализацию расширений, не ограничив существенно при этом их возможности взаимодействия со страницей/браузером, в результате существенно уменьшив их полезность. В итоге, всё равно всё сводится к совести разработчика, а обычный пользователь всё равно нажмёт "Разрешить" на все предупреждения безопасности при установке приглянувшегося ему расширения (и да, некоторые расширения имеют избыточный список разрешений, в хроме уже можно принудительно ограничивать этот список некоторыми способами).
Мне иногда кажется, что реализация "расширений" это какой-то сюр, всеобщий пранк или глобальный заговор создателей браузеров.
Всем известен факт, что расширения имеют огромную популярность и невероятно полезны (Добавляют полезный разным пользователям функционал, на который нет времени \ мотивации у официальных разработчиков)
Всем известен факт, что их текущая реализация сломана и АБСОЛЮТНО небезопасна. (Большинству расширений почему-то требуется иметь доступ, чуть ли не вообще ко всему, что есть у пользователя, как в браузере, так и вне его - при том, что само расширение может представлять из себя "приколюху для дорисовывания смайлика к картинкам с котятами". И это не косяк приложений. Почему приложение для скачивания видео не может иметь доступ ТОЛЬКО к видео? Почему оно обязательно должно иметь доступ ко всем данным с сайта?
Всем известно, что их монетизация сделана ужасно. И как следствие БУДЕТ много случаев всяких мошенничеств (т.к большинство хочет вознаграждение на свой труд)
Всем известно, что разработчики расширений могут менять исходный код уже после прохождения проверки в магазине приложений.
Хоть кто-нибудь с этим что-то делает или пытается что-либо предпринять? Нет. Есть этому какое-то логическое объяснение?
2021 год на дворе и уже невозможно смотреть на очередные новости с этой гигантской дырищей в безопасности браузеров под названием "Расширения", которые ещё и подаются от имени самих же разработчиков браузера (Chrome Extensions Store & т.д)
Даже в конце статьи этот мастер по кибербезопасности предлагает "читать требования расширений" и "удалять те, что имеют доступ ко всем данным", при том, что сам же выше пишет, что 70% расширений в магазине имеют доступ ко всем данным.
Вместо того, чтобы написать обращение к разрабам Google Chrome Store: А вы не а*уели? Сделайте БЕЗОПАСНУЮ реализацию - мужик предлагает лучше просто их не устанавливать))
Но.. код расширения открыт (!). Можно спокойнл посмотреть все что оно делает. Это сильно отличает расширения от тех же exe или apk..
Автор не привел ни одного вредного примера на сейчас..
Давно уже об этом всём думал. В прнципе, согласен, НО, если немного подумать о ситуации вцелом, то любое приложение, которое вы ставите локально, особенно не от больших компаний, может делать в текущем локальном окружении довольно многое и мало кто полезет проверять "что же оно там на самом деле делает", даже если это опенсорс.
Как разработчик, не знаю, как гугл может сделать безопасную реализацию расширений, не ограничив существенно при этом их возможности взаимодействия со страницей/браузером, в результате существенно уменьшив их полезность. В итоге, всё равно всё сводится к совести разработчика, а обычный пользователь всё равно нажмёт "Разрешить" на все предупреждения безопасности при установке приглянувшегося ему расширения (и да, некоторые расширения имеют избыточный список разрешений, в хроме уже можно принудительно ограничивать этот список некоторыми способами).