Últimamente, se dio mucha publicidad a riesgos de seguridad tan exóticos como Specter y Meltdown, con reacciones inmediatas de Pavlov por parte de Microsoft, Mozilla, etc. Sin embargo, recientemente descubrí el hecho curioso (de lo contrario, muy conocido) de que casi todos los navegadores de terceros las extensiones de grupo requieren permisos para acceder a todo en las páginas web a las que accede, incluidos los datos que inserta en los formularios web.
Citando a Mozilla:
"Hay un permiso en particular," Acceda a sus datos para todos los sitios web ", sobre el cual recibimos muchas preguntas desde que se lanzó la función. La razón por la cual está redactada de esta manera es porque una página web puede contener prácticamente cualquier cosa, y algunas extensiones necesitan leer todo lo que contiene para poder realizar una acción basada en lo que contiene la página. Por ejemplo, un bloqueador de anuncios necesita leer todo el contenido de la página web para identificar y eliminar el código del anuncio. Un administrador de contraseñas necesita detectar y escribir en los campos de nombre de usuario y contraseña. Es posible que una extensión de compra deba leer los detalles de los productos que está buscando. Dado que estos tipos de extensiones no sabrían si alguna página web en particular contiene el bit que necesita modificar hasta que se cargue, y tampoco Firefox, necesita acceso a todo en una página para que pueda buscar y modificar las partes apropiadas. Esto significa que en teoría, aunque es raro, un desarrollador malintencionado podría decirle que su extensión hace una cosa mientras que en realidad hace otra cosa ".
Pero esto incluye raspar todas sus contraseñas, números de tarjetas de crédito, etc. ..
Esto parece no ser solo "un riesgo de seguridad" sino "EL riesgo de seguridad". Es una locura: según entiendo, la criptografía no significa nada y el usuario, asegurado por la etiqueta verde "Seguro" en la barra de URL, inserta felizmente su número de tarjeta de crédito para enviarlo inmediatamente a un servidor remoto que no es el uno que tenía en mente ..
Mi pregunta es ¿por qué se presta tan poca atención a lo que parece ser un enorme riesgo para la seguridad? Por ejemplo, yo esperaría que tan pronto como tenga cualquier extensión de navegador de terceros con el permiso para ver "todos sus datos", la etiqueta verde "Segura" para los sitios HTTPS se reemplazará con otra cosa. .
¿Y no deberían prohibirse las extensiones de navegador de terceros en cualquier organización que trate datos personales confidenciales?