¿Los complementos del navegador aumentan el riesgo de seguridad debido a posibles vulnerabilidades?

Navega tus respuestas
1

Una gran cantidad de personas usa complementos como NoScript o AdBlock para evitar la explotación por medio de JavaScript malicioso de los anuncios. Esto disminuye el riesgo de ser víctima de exploits web.

Pero, ¿no sería posible, si se encontrara un error en una de estas extensiones populares, que esto en realidad aumenta el riesgo? Como mucha gente lo usa, asumo que habría un gran interés en encontrar este tipo de errores. ¿Es posible que una extensión cause problemas de seguridad incluso si el navegador de destino no tiene un error específicamente explotable? Creo que Chrome intenta mantener a raya los problemas de seguridad a través de su caja de arena, pero ¿sigue siendo un escenario posible?

    
pregunta John 14.10.2014 - 21:06
fuente

2 respuestas

1

Sí, cuantos más componentes tenga en cualquier proceso, más espacio para las vulnerabilidades.

En el caso de las extensiones del navegador, algunas de ellas tienen permiso para leer todo su historial, cookies, datos de navegación e incluso cambiar el código en las páginas a las que accede. Algunos de ellos no tienen vulnerabilidades, pero están diseñados para inyectar código malicioso.

AdBlock y NoScript son extensiones populares, por lo que se espera que estén orientados.

    
respondido por el ThoriumBR 14.10.2014 - 22:03
fuente
1

Agregar nuevo software siempre aumenta el riesgo. Debe compararse con cualquier beneficio que pueda recibir por su uso, la sensibilidad de los datos a los que podría acceder y el "riesgo" que cree que es el software. Cuando hablo de riesgo de software, me refiero a lo buenas que son las prácticas de programación del grupo que lo escribió. A menudo, en organizaciones más grandes, revisan el código fuente o al menos los procesos que realizan las empresas para garantizar que su código sea razonablemente seguro.

Absolutamente un atacante va a atacar cosas que están en uso generalizado. Es más o menos la misma razón por la que durante mucho tiempo no se descubrieron vulnerabilidades de Mac ni se detectaron vulnerabilidades ... a nadie le importó.

    
respondido por el theterribletrivium 14.10.2014 - 22:26
fuente

Lea otras preguntas en las etiquetas

¿La configuración TLS "correcta" depende principalmente del servidor? Cumplimiento de PCI para adjuntar en un correo electrónico