LINUX.ORG.RU

Анализ браузерных расширений

 , , ,


0

1

Любой безопасник повторяет мантру: не ставь расширения в браузер, они имеют доступ ко всему, ууууу, несекурно. А чего в реале, кто копался? Ну, иметь-то оно имеет, но чтобы сливало - это ж надо подключаться к чему то левому или править страницы так, чтобы потом товарищ майор другими средствами мог это забрать… Код расширения на жабаскрипте, там такое должно быть видно, как и загрузки другого кода.

Может есть тулзы которые можно натравить на код расширения с целью выявления вот этого всего?

Ответ на: комментарий от t184256

Как будто ему кто-то мешает

Не мешает, но в коде это должно быть видно

Че

Например, подкладывать скрытые инпуты с base64 в формы, отправляющиеся туда, где у товарища майора есть доступ. Пишешь ты втентакле «привет вася» а вместе с этим уходят твои порно предпочтения

DumLemming ★★★
() автор топика
Последнее исправление: DumLemming (всего исправлений: 1)
Ответ на: комментарий от DumLemming

Не мешает, но в коде это должно быть видно

Ты собрался вручную каждый апдейт каждого расширения проверять? Да проще запретить.

Например, подкладывать скрытые инпуты с base64 в формы, отправляющиеся туда, где у товарища майора есть доступ.

Омг, да проще так заслать.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от t184256

Хотелось бы не вручную а статистическим анализатором.

Так заслать не получится. У товарища майора только втентакль, а он имеет меньше прав в браузере чем расширение

DumLemming ★★★
() автор топика
Ответ на: комментарий от DumLemming

Обфусцировать URL есть куча способов в JavaScript. Анализатором ты поймаешь только «честные» запросы, которые делают что заявлено. Например в случае блокировщика рекламы - обновления списков.

А малварь запрятана

nebularia ★★★
()
Ответ на: комментарий от DumLemming

а статистическим анализатором

Тут же найдётся хитрый ход, который его надурит.

Так заслать не получится. У товарища майора только втентакль

Во-первых, мы только что обсуждали, как сливают данные злонамеренные расширения.

Во-вторых, на дворе 2023, и у товарища майора ТСПУ, корневой сертификат и свой обязательный к предустановке браузер.

t184256 ★★★★★
()

Да вся экосистема вокруг всего - полностью небезопасная куча мусора. Расширение может состоять из огромного количества кода, плюс часть кода может динамически подгружаться из других мест.

Проанализировать это вручную - титаническая задача, и когда проанализируешь первые 25% кода, автор расширения опубликует новую версию, в которой «439 коммитов», и начинай всё сначала.

Я вообще не могу понять, как современная цивилизация работает. Потому что дыры везде: в браузерах, расширениях, node_modules, pypi, cargo, и т.д. и т.п.

Кода везде просто мегамиллионные кучи, и оно всё подгружается непрерывно. В простейшем проекте не обойтись без сотен зависимостей, которые транзитивно подгружают ещё десятки тысяч.

Когда я начинал писать код, любой проект можно было сделать почти без использования стороннего кода, кроме, разве что, libc. Более того, многие проекты так и были написаны.

А современное состояние дел вызывает лишь головную боль… Но и назад вернуться не вариант.

emorozov
()