En Firefox o Chrome, ¿es posible que un script de página web ponga en peligro una extensión instalada por el usuario?
Absolutamente, las extensiones están recibiendo su parte justa de vulnerabilidades. Los errores que debe tener en cuenta dependen de cómo interactúa la extensión con el contenido web. Por ejemplo, el complemento LastPass para Firefox ha demostrado ser vulnerable varias veces . Debido a una de las fallas, fue posible que un sitio web preparado < exfiltrate las credenciales almacenadas de la cuenta que pertenecen a diferentes dominios al confundir el analizador de URL de la extensión.
¿Qué medidas pueden tomar los desarrolladores de extensiones para reducir el vector de ataque?
Al igual que con las aplicaciones web normales, necesita validar las opiniones de los usuarios, evitar inyecciones, verificar orígenes, etc. No puede proporcionar una lista completa aquí. Dado que las extensiones de navegador a menudo se implementan utilizando tecnologías web (JS, HTML, ...), se aplican la mayoría de las vulnerabilidades típicas de las aplicaciones web. También tenga en cuenta que las extensiones a menudo operan con privilegios más altos que los scripts web, lo que significa que una falla XSS en una extensión de Firefox puede comprometer potencialmente al host.