IMPORTANTE : esta es en la actualidad una lista completa de las cosas que debe buscar, use esta respuesta como ejemplo, un primer paso en su camino e investigue por su cuenta. He tenido una tarea similar hace mucho tiempo. Tuve que revisar el código de seguridad de un complemento de Firefox, estoy seguro de que encontrarás fácilmente Chrome / equivalentes de otros navegadores. También tenga en cuenta que las Extensiones en Chrome se ejecutan en un Sandbox .
1. Cualquier cosa que interactúe con archivos locales:
Siempre que se cree el objeto FileUtils.File
y cualquiera de sus métodos se llame
-
Verifique si el acceso al archivo local es un comportamiento documentado. ¿A qué archivos se está accediendo? ¿Por qué? ¿Se lanzaron con éxito?
-
Comprueba si se están modificando los archivos locales. ¿Es eso un comportamiento documentado? ¿Qué son los archivos modificados? ¿Por qué?
2. Cualquier cosa que interactúe con el Registro de Windows:
Cuando se crea una instancia de nsIWindowsRegKey
o se llama a cualquiera de sus métodos
-
¿El acceso al Registro de Windows es un comportamiento documentado? ¿A qué teclas se accede? ¿Por qué?
-
¿Es la modificación del Registro de Windows un comportamiento documentado? ¿Es la modificación temporalmente? ¿Qué claves se modifican? ¿Por qué?
3. Cualquier cosa que interactúe con las cookies
Siempre que se use nsICookieService
4. Cualquier comando ejecutado en el shell del usuario
Siempre que se cree nsIProcess
y se llame a alguno de sus métodos (ver de cerca Co% Co % y .run()
)
5. Cualquier ventana / pestaña a la que se acceda
Siempre que se acceda a .launch()
y / o se llame a cualquier método window
( Observe atentamente las llamadas getElement*
que inyectan createElement
elementos.