Si desea ejecutar un software que no sea de confianza, debe ejecutarse en un entorno aislado tanto como sea posible. Como mínimo, esto significa que tiene que usar una Máquina Virtual, pero también que no debe conectarla a una interfaz de red, y no compartir recursos si no es necesario (por ejemplo, portapapeles, almacenamiento). Si necesita conectividad de red, asegúrese de que la red esté protegida contra servicios confidenciales accesibles en su computadora y en la red local.
Especialmente en Chrome, las extensiones del navegador están supuestamente bien aisladas del sistema. P.ej. Las extensiones instaladas desde Chrome Web Store no tienen acceso a los archivos locales de forma predeterminada. Sin embargo, hay excepciones: las extensiones cargadas desde "Cargar extensión desempaquetada" en chrome://extensions'
obtienen acceso a archivos locales de forma predeterminada.
Y a veces hay errores en el navegador que permiten que las extensiones hagan más de lo que deberían (por eso siempre debe probar en la versión más reciente (estable) de un navegador: se encuentran y solucionan nuevos errores de seguridad en cada versión).
Una máquina virtual bien configurada generalmente proporciona suficiente protección contra extensiones de navegador maliciosas. Pero debes tener cuidado al derivar conclusiones:
- Está bien usar una máquina virtual para probar la funcionalidad (por ejemplo, si desea probar un bloqueador de anuncios, puede visitar un sitio web y ver si se han ido).
- La ausencia de comportamiento malicioso no se puede usar para probar que la extensión no es maliciosa. Las extensiones podrían ocultar o posponer la ejecución de código malicioso. He visto bastante bifurcaciones de "bloqueadores de anuncios" que entierran código malicioso también entre el código aparentemente legítimo.
Si necesita un alto nivel de certeza de lo que hace una extensión, debe leer su código fuente, por ejemplo. usando el Visor de fuente de extensión (divulgación: he creado este software).