Cómo probar si un complemento del navegador es seguro

11

Me encontré con este complemento que comenzó a sonar algunas alarmas. El complemento ayudaría a enviar un sitio web a los directorios web. Las primeras 100 presentaciones son gratuitas, entonces debe pagar $ 20 a través de pay-pal (no hay otra opción) para obtener presentaciones adicionales.

Esto me dio escalofríos! Primero instale este complemento y luego realice un pago a través de pay-pal ...

¿Hay alguna forma de probar el comportamiento de los complementos o ver la comunicación que tiene con el contenido del navegador y / o los dispositivos de entrada (teclado)? Pensé en usar un sniffer, luego ir a PayPal y pretender hacer el pago (con una contraseña incorrecta) y ver si algún dato va a otra parte que no sea pay-pal, sin embargo, el complemento puede ser lo suficientemente inteligente como para espere un momento posterior cuando "legítimamente" necesite comunicarse con la base (recuperando directorios adicionales).

¿Alguna idea sobre alternativas?

    
pregunta Louis Somers 16.11.2011 - 11:12
fuente

3 respuestas

5

Fondo. En primer lugar, quiero compartir con ustedes algunos antecedentes sobre los complementos del navegador. Hay dos tipos de complementos: extensiones y complementos .

  • Una extensión es un complemento basado en Javascript que obtiene acceso parcial a su navegador, pero está restringido (al menos en Chrome) por una caja de arena del navegador.

  • Un plug-in involucra código ejecutable nativo que obtiene un acceso mucho más íntimo a su navegador, y no está restringido por ningún sandbox. Por ejemplo, Flash Player es un complemento.

Los complementos son considerablemente más peligrosos, ya que tienen acceso completo a su sistema de archivos, acceso completo para ejecutar programas en su máquina, acceso completo a su navegador (y todos los sitios web que visita, contraseñas, etc.); Ellos pueden hacer cualquier cosa que usted pueda hacer. Las extensiones son más limitadas en lo que pueden hacer (al menos en Chrome), y por lo tanto (en Chrome) son más seguras.

Sospecho que estás preguntando por una extensión, no por un complemento. Por ejemplo, las extensiones en la Galería de Chrome son extensiones.

Cómo saber si es seguro. En general, no hay una buena manera de saber si una extensión es segura. Puedes ver las opiniones de otros usuarios (aunque esto no es totalmente definitivo). Puede ver si la extensión ha existido por un tiempo, tiene un número significativo de usuarios y / o proviene de una marca / empresa / desarrollador respetados (aunque esto es solo un indicador y ciertamente no es una garantía de seguridad).

Y, quizás lo más importante, en Chrome puedes ver los permisos que solicita la extensión. Esto le dirá a qué información tendrá acceso la extensión y qué podría hacer si fuera maliciosa. Una extensión maliciosa estará limitada por sus permisos, por lo que cuanto menos permisos tengan, menor será el riesgo de la extensión.

Lecturas adicionales. Para obtener más información, te sugiero que leas lo siguiente:

respondido por el D.W. 18.11.2011 - 06:18
fuente
4

No hay una solución general para este problema. Es la misma pregunta que:

  

¿Cómo sé que no hay una puerta trasera en [sistema operativo / software / hardware]?

Puedes monitorearlo, realizar ingeniería inversa, sandbox, pero aún podría estar haciendo algo que no hayas pensado. O algo que tu combinación de herramientas no ha recogido.

Su mejor opción es dejarlo en manos de los profesionales e instalar un software antivirus que, con suerte, lo detectaría.

Pero, por supuesto, eso depende de que este complemento sea lo suficientemente utilizado como para llamar la atención de las compañías antivirus.

    
respondido por el Andy Smith 16.11.2011 - 14:48
fuente
3

Si no desea dedicar tiempo a seguir los pasos que explicó Andrew (ingeniería inversa) y está realmente preocupado por la seguridad, simplemente asuma que todos los complementos no son seguros a menos que tengan una base de usuarios sólida y activa y un autor confiable.

el complemento que describió no me parece seguro :) Si es absolutamente necesario que lo use, ejecútelo en vmware para minimizar las posibles pérdidas y vea la cuenta de PayPal.

PD: No creo que los antivirus te ofrezcan una buena protección en este caso

    
respondido por el Vitaly Nikolaev 16.11.2011 - 16:27
fuente

Lea otras preguntas en las etiquetas