火狐扩展中心:没有传说中那么安全
任何人都可以在火狐的扩展中心 (AMO)发布扩展,如果你在通过审核前安装会有安全警告。每个扩展一般会在1-2周内被志愿者编辑审查。对于有远程加载运行脚本等常见安全问题的扩展,AMO 编辑 会不予批准“公开发布”,但是用户仍可以通过带警告提示的方式下载。
Chrome 扩展中心:鱼龙混杂,没有警察
1个多月前,im007boy 曾经在谷奥发表专稿“不可忽视的 Chrome 扩展安全性”。Chrome 扩展中心一般是不主动审查扩展的,即便是对那些用 NPAPI 接口的审查也是不严格的,所以任何人都可以提交几乎任何扩展,包括盗取帐号的、剽窃别人代码的、侵犯别人知识产权的等等。谷奥主要提供各种信息,不可能去代 Google 审查代码,所以难免推出臭鸡蛋,也请大家见谅。
下面是几个简单的自我保护的方法:
火狐:如果一个扩展的发布时间已经超过两周,但是仍显示“尚未经过Mozilla审核”,一般是这个扩展已经被 AMO 拒掉了。大家安装时,务必慎重。
Chrome:仔细看扩展安装提示框中的警告内容,是否提到“您计算机上的所有数据及您访问的网站”。如果提到,就要看扩展的功能是针对单一网站的,还是多个网站的。前者一般不应需要所有网站的权限,有很大嫌疑。还有一点是,看作者是否提供了个人网站、个人微博等个人信息。做恶的人一般不敢留下真实信息,而多数开发者都喜欢和用户互动。另外,由于 Chrome 扩展系统的历史原因,“您的浏览历史”这一个警告已经失去实际意义。
本文来源:cnbeta 作者:佚名