Verifica le estensioni di Google Chrome prima di installarle

• Categoria: Google Chrome

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

Le estensioni di Google Chrome possono estendere la funzionalità del browser Web o semplificare la vita durante la navigazione sul Web. Anche se questo è il caso, possono anche essere abusati dalle aziende per tracciare gli utenti su Internet, visualizzare pubblicità o scaricare codice dannoso nel sistema dell'utente.

Questo articolo ti fornisce i mezzi per verificare le estensioni di Chrome prima di installarle. È importante farlo prima che l'estensione venga installata nel browser poiché potrebbe essere già troppo tardi dopo l'installazione.

Sebbene sia possibile configurare un ambiente di test per le estensioni del browser, ad esempio in una sandbox e con un monitor del traffico di rete come Wireshark, potrebbe non essere davvero qualcosa con cui la maggior parte degli utenti si sente a proprio agio.

Parte 0: di cosa non dovresti fidarti

Il Chrome Web Store potrebbe sembrare un luogo sicuro per tutte le tue esigenze di estensione, ma non lo è. Google utilizza controlli automatici che scansionano le estensioni che gli sviluppatori caricano nel negozio. Questi controlli catturano alcune ma non tutte le forme di funzioni invasive della privacy o addirittura dannose.

Trend Micro ha scoperto ad esempio estensioni del browser dannose nel Web Store ufficiale nel 2014, e non è l'unica azienda a farlo.

Un metodo comune utilizzato dalle estensioni per superare tutti i controlli di sicurezza consiste nell'includere uno script che caricherà il payload dannoso.

L'estensione stessa non lo contiene quando viene inviata al web store di Chrome. Pertanto, l'estensione supera il controllo e viene aggiunta allo store da cui tutti gli utenti di Chrome possono scaricarla.

Se sei interessato a un brutto esempio recente, controlla il file malware nel browser articolo di Maxime Kjear.

La descrizione viene creata dallo sviluppatore dell'estensione e quindi non è attendibile senza verifica.

I commenti degli utenti possono evidenziare estensioni problematiche, ma non è sempre così. Pertanto, non ci si deve fidare nemmeno a questo riguardo senza verifica.

Ultimo ma non meno importante, non dovresti fidarti ciecamente dei consigli o delle offerte di installare un'estensione perché è necessaria per qualcosa o pubblicizzata.

Parte 1: la descrizione

Molte estensioni che utilizzano analisi, tracciamento dei clic, tracciamento della cronologia di navigazione e altri moduli di tracciamento evidenziano il fatto nella descrizione dell'estensione.

Potresti non vederlo a prima vista poiché Google preferisce lo stile alla sostanza nel negozio. Il campo della descrizione è minuscolo e spesso è necessario scorrere per leggerlo tutto.

Dai un'occhiata al popolare Screenshot impressionante estensione per esempio. Sembra legittimo, vero? Molte recensioni positive, più di 580.000 utenti.

Se ti prendi del tempo e scorri la descrizione, alla fine ti imbatterai nel seguente passaggio:

L'utilizzo dell'estensione del browser Awesome Screenshot richiede la concessione dell'autorizzazione per acquisire dati di flusso di clic anonimi.

Vuoi un altro esempio? Che ne dici di Hover Zoom, un'estensione con più di 1,2 milioni di utenti che è stata criticata in passato per l'integrazione del monitoraggio? Scorri verso il basso e trovi ..

Hover Zoom richiede che gli utenti dell'estensione concedano l'autorizzazione di Hover Zoom per raccogliere l'attività di navigazione da utilizzare internamente e condivisa con terze parti, il tutto per l'utilizzo su base anonima e aggregata a fini di ricerca

Flash Player + è un'altra estensione che evidenzia nella sua descrizione che registra i dati e li condivide con terze parti.

Al fine di supportare e migliorare continuamente questo software, gli utenti che lo installano consentono a Fairshare di raccogliere e condividere informazioni su di loro e sulla loro attività di utilizzo del web con terze parti per scopi commerciali e di ricerca

Un modo rapido per trovare queste estensioni è cercare le frasi utilizzate in tali descrizioni. Una ricerca dell'opt-out, ad esempio, ne rivela molti nei risultati della ricerca (accanto alle estensioni legittime). Molti usano la stessa descrizione, il che significa che la ricerca di 'per raccogliere e condividere informazioni su di loro' rivelerà estensioni che utilizzano questo tipo di tracciamento, ad esempio.

Parte 2: informazioni dirette

Le seguenti informazioni vengono visualizzate nella pagina del profilo delle estensioni sul Chrome Web Store:

L'azienda o il soggetto che lo ha creato / lo offre.
Una valutazione aggregata e il numero di utenti che l'hanno valutata.
Il numero totale di utenti.
L'ultima data aggiornata.
La versione.
Le informazioni forniscono indizi ma non sono sufficienti per giudicare un'estensione. Molti possono essere falsificati o gonfiati artificialmente, ad esempio.

Google non riesce a fornire un collegamento a tutte le estensioni di un'azienda o di un individuo e non è possibile ottenere la convalida.

Sebbene sia possibile utilizzare la ricerca per trovare altre estensioni da un'azienda o da un individuo, non vi è alcuna garanzia che i risultati li elencino tutti.

Parte 3: autorizzazioni

Di solito non è possibile determinare se un'estensione è legittima, monitorandoti o addirittura dannosa in base alle autorizzazioni che richiede da sola.

Ci sono tuttavia indicatori di ciò. Ad esempio, se un'estensione che migliora Facebook richiede di 'leggere e modificare tutti i tuoi dati sui siti web che visiti', potresti giungere alla conclusione che è meglio non installare l'estensione in base a quello. Poiché dovrebbe funzionare solo su Facebook, non è necessario concedergli autorizzazioni di vasta portata per visualizzare e manipolare i dati su tutti i siti.

Questo è solo un indicatore tuttavia, ma se usi il buon senso, potresti essere in grado di evitare l'installazione di estensioni problematiche. Di solito, è disponibile un'alternativa che offre funzionalità simili ma senza le richieste di autorizzazione di vasta portata.

Potresti voler controllare queste autorizzazioni anche per tutte le estensioni installate. Carica chrome: // extensions / e fai clic sul link dei dettagli sotto ogni estensione. In questo modo vengono visualizzate nuovamente tutte le richieste di autorizzazione di tale estensione come popup nel browser.

Parte 4: l'Informativa sulla privacy

A condizione che l'estensione si colleghi a una pagina dell'Informativa sulla privacy, è possibile trovare informazioni al suo interno che rivelano se gli utenti sono tracciati da essa o meno. Questo non funzionerà inconsapevolmente per estensioni dannose.

Ad esempio, se controlli l'Informativa sulla privacy di Fairshare collegata da estensioni come Hover Zoom, troverai il seguente passaggio in essa:

La Società può utilizzare cookie del browser, dati di archiviazione Web e DOM, cookie Adobe Flash, pixel, beacon e altre tecnologie di tracciamento e raccolta dati, che possono includere un identificatore univoco anonimo.

Queste tecnologie possono essere utilizzate per raccogliere e archiviare informazioni sull'utilizzo dei Servizi, inclusi, a titolo esemplificativo ma non esaustivo, pagine Web, funzionalità e contenuti a cui hai avuto accesso, query di ricerca eseguite, informazioni sull'URL di riferimento, collegamenti su cui hai fatto clic e pubblicità su cui hai effettuato l'accesso aver visto.

Questi dati vengono utilizzati per scopi aziendali come la fornitura di annunci e contenuti più pertinenti e ricerche di mercato

Parte 5: il codice sorgente

Passare attraverso il codice sorgente potrebbe essere l'opzione migliore per scoprire se un'estensione ti sta monitorando o è dannosa.

Questo potrebbe non essere così tecnico come sembra ed è spesso possibile determinarlo con abilità HTML e JavaScript rudimentali.

La prima cosa di cui hai bisogno è un'estensione che ti permetta di prendere il codice sorgente di un'estensione senza installarla. Visualizzatore sorgente estensione Chrome è un'estensione open source per Chrome che ti aiuta in questo.

Un'alternativa a questo è eseguire Chrome in un ambiente sandbox, installare estensioni al suo interno per ottenere l'accesso ai loro file.

Se utilizzi il visualizzatore della sorgente dell'estensione, puoi fare clic sull'icona crx nella barra degli indirizzi sul Web Store di Chrome per scaricare l'estensione come file zip o visualizzarne subito la sorgente nel browser.

Puoi ignorare immediatamente tutti i file .css e di immagine. I file che dovresti esaminare più da vicino hanno solitamente l'estensione .js o .json.

Puoi prima controllare il file manifest.json e controllare il valore content_security_policy per vedere un elenco di domini lì, ma di solito non è sufficiente.

Alcune estensioni utilizzano nomi ovvi per il monitoraggio dei file, ad esempio gli annunci, in modo che tu possa iniziare da lì.

Potresti non essere in grado di dire se non conosci JavaScript, tuttavia se non è così.

Ora tu : Esegui estensioni di Chrome? Li hai verificati prima dell'installazione?