¿Por qué las extensiones de Chrome necesitan acceso a 'todos mis datos' y 'actividad de navegación'?

Navega tus respuestas
19

A menudo instalo complementos simples para Google Chrome. Sin embargo, casi todos necesitan lo que me parece un acceso excesivo a mis datos. Por ejemplo, instalo una extensión que me permite hacer clic en cualquier parte de una página y me da el color del objeto seleccionado. Esto es lo que requiere esta extensión:

¿Por qué necesita mis datos en todos los sitios web? (Además, ¿qué implica esto?). ¿Y por qué necesita saber mi actividad de navegación? Veo esto para casi todas las extensiones, y parece muy sospechoso.

    
pregunta Rob W 01.11.2011 - 02:16
fuente

2 respuestas

14
  

Instalo un complemento que me permite hacer clic en cualquier parte de una página y me da el color del objeto seleccionado

Para que esto funcione, el complemento debe registrar un controlador de eventos de clic y debe interactuar con el modelo de objeto de documento de la página HTML actual.

HTML fue diseñado originalmente para compartir documentos científicos. Y mientras construimos aplicaciones web complejas en la actualidad, sigue siendo un documento orientado en su núcleo.

Los navegadores no pueden saber qué partes de una página HTML contienen información confidencial. Por ejemplo, si inicia sesión en StackExchange, mostrará su nombre de usuario en la barra de navegación superior. En el sitio web de su banco habrá información sobre su transferencia de dinero y el saldo de su cuenta. No hay una diferencia estructural entre esas informaciones y un texto que dice "Su respuesta".

Chrome ofrece cierta protección contra complementos maliciosos al evitar que accedan arbitrariamente a tu disco duro. Pero un complemento que necesita interactuar con las páginas web, puede hacer cualquier cosa para ellos. Todos los demás navegadores tienen los mismos problemas, simplemente no entran en detalles .

    
respondido por el Hendrik Brummermann 01.11.2011 - 07:56
fuente
4

El problema básico es que el modelo de complemento no tiene una política de autorización granular / definida correctamente. En muchos casos, es todo o nada cuando se trata de cierta información.

Tal vez el complemento necesite conocer la URL particular de la página en la que se encuentra. Bueno, eso podría requerir acceso al historial de navegación, etc. La otra parte del problema es que los desarrolladores apestan. A nosotros (nosotros) nos gusta tener disponible tanta información sobre un usuario, por lo que potencialmente podemos hacer cosas ingeniosas con él. Muchas veces, aunque la información no se utiliza.

Por otra parte, el complemento podría estar enviando la información a algún servidor para rastrear el uso u otra actividad nefasta.

    
respondido por el Steve 01.11.2011 - 02:43
fuente

Lea otras preguntas en las etiquetas

¿Es seguro deshabilitar la verificación de la clave del servidor SSH si se usa la autenticación basada en la clave? Cómo leer CVE - 2016 - 5696 correctamente