Chrome'un Uzantı İçeriği Doğrulamasını devre dışı bırakabilir miyim?

15

Kısa bir süreden beri, google chrome uzantıları 'içerik doğrulandı', yani diğer uygulamalar onları 'hackleyemez'. İyi bir şey, ama inanılmaz derecede sinir bozucu, çünkü her zaman kesmek, geliştirmek ve geliştirmek için.

Bir uzantı dosyasını kaydettikten hemen sonra uzantı devre dışı bırakılır ve yerel uzantılar sayfasında bir mesaj gösterilir:

Bu uzantı bozulmuş olabilir

Bu 'güvenlik' özelliğini devre dışı bırakıp bilgisayar korsanlığına devam etmenin bir yolu var mı? Tarayıcımın patronu olmak istiyorum, tam tersi değil.

Bir krom bayrağı ( extension-content-verification) var, ancak açıklamanın söylediği gibi:

Bu, başka bir şekilde açılmamışsa bu özelliği açmak için kullanılabilir, ancak kapatmak için kullanılamaz (çünkü bu ayar kötü amaçlı yazılım tarafından kurcalanabilir).

google-chrome  google-chrome-extensions 
Rudie
kaynak
Google, devre dışı bırakmanıza izin vermez, bu nedenle tek seçeneğiniz, Google Chrome'un sizin gibi geliştiricilere yönelik kanarya sürümünü kullanmaktır.
Tomer
Chrome'da geliştirmeyi istemiyorum, ancak bazı uzantılar. Canary'yi günümüz Chroming'i için kullanmıyorum. Tuhaf değil. Bu yeni. Son 4 yılda bir şekilde bir sorun olmadı mı?
Rudie
Kötü amaçlı yazılımların, kullanıcının bilgisi olmadan Chrome'a ​​kendi uzantısını eklemesini engelleyen yeni bir özellik.
Tomer
Deneyebileceğiniz şey, Chrome'un uzantılardan elde etmek için kullandığı belirli URL'leri engellemektir. (HTTPS proxy kullanarak)
Tomer
chrome.google.comBenim eklemek hostsyapmaz = (Muhtemelen kendi DNS sistemi falan var. Bir bayrak var, ancak "[..] kapatmak için kullanılamaz (çünkü bu ayar kötü amaçlı yazılım tarafından oynanabilir)" Damnit.
Rudie

Yanıtlar:

11

Bu sorunu yönetmenin ve algılama sisteminden tamamen kaçınmanın dördüncü bir yolu vardır. Uzantılarınızı kesmek istediğinizi belirttiğiniz için, bu, uzantı geliştirme hakkında bazı bilgilere sahip olduğunuz anlamına gelir. Uzantıların doğası gereği kaynak kodu olduğu da anlaşılmalıdır. Bu, savaşmak için tüm kaynağa sahip olduğunuz anlamına gelir. Söyleniyor ki...

Dördüncü yöntem aşağıdaki gibi nispeten basittir:

  1. Uzantıyı Chrome'un Uygulama Verileri altındaki Uzantılar klasöründe bulun
  2. Tüm Uzantı klasörünü kopyalayın ve başka bir yere yapıştırın
  3. Chrome'da orijinal uzantıyı devre dışı bırakma
  4. Yeni kopyalanan abcsoupname uzantı klasörünü MyNewExtension olarak yeniden adlandırın
  5. MyNewExtension klasörüne değiştir
  6. _Metadata'yı sil
  7. Manifest.json dosyasını düzenleyin ve anahtar ve update_url bölümlerini kaldırın . Devre dışı bırakılan diğer uzantıyla karışıklığı önlemek için adı ve kısa ad bölümlerini değiştirin.
  8. Jsonlint.com adresinden manifest.json'unuzu doğrulayın ve düzeltin
  9. Ayarlar => Uzantılar'a gidin
  10. Geliştirici Modunu etkinleştirin ve ardından yeni oluşturduğunuz yeni klasörde 'Paketlenmemiş Uzantıyı Yükle'yi tıklayın.
  11. Voila. Bu uzantının İçerik Denetimi altında olmayan yeni bir sürümü.

Artık bu uzantıyı istediğiniz gibi düzenleyebilir, değiştirebilir ve yönetebilirsiniz. Her değişiklik yaptığınızda uzantılar alanından Yeniden yükle'yi tıklamanız gerekir. Ayrıca, orijinal geliştiriciden güncelleme almayacaksınız. Bu nedenle, periyodik olarak güncellemeniz ve güncellenen değişiklikleri ayrı uzantı kodunuzla birleştirmenin bir yolunu bulmanız gerekir. Update_url işlevini olduğu gibi bırakabilirsiniz , ancak bir sonraki güncellemede yaptığınız değişiklikleri silecektir . Bu yüzden kaldırmanızı öneririm. Yine de, deney yapmaktan çekinmeyin.

Orijinal uzantıyı devre dışı bırakarak, bu uzantıyı etkinleştirmenize ve yazarın sürümü için düzenli olarak güncellemeler almanıza olanak tanır. Daha sonra özel sürümünüz ile yazarın sürümü arasındaki farkları karşılaştırabilir ve gerekli değişiklikleri birleştirebilirsiniz. Yeni özel uzantınıza bu güncelleme yaklaşımını önemle tavsiye ederim. Update_url öğesini etkin bırakmayı seçerseniz , muhtemelen bir sonraki güncellemedeki değişikliklerinizi silecektir (bunun değiştirilmiş bir uzantıda bile düzgün çalıştığı varsayılarak). Bazı uzantılar çok sık güncellenmediğinden, bir sonraki güncelleme yayınlandığında aylar sonra neleri değiştirdiğinizi saptamanıza izin verebilir.

Bu adımları değiştirmek istediğiniz herhangi bir uzantıda da uygulamanız gerekir. Etkili bir şekilde, mevcut bir uzantının kod tabanını kullanarak yepyeni bir uzantı oluşturuyor ve ardından bu uzantıyı geliştirici moduna geçiriyorsunuz.

Not, json dosyalarını düzenlemek için Mac'in TextEdit'ini kullanmayın, aksi takdirde "veya" ile değiştirilir ve json sözdizimi denetiminde başarısız olur.

Commorancy
kaynak
Bu daha önce de belirtilmişti. Bu iyi bir çözüm, ancak güncellemeler almak istiyorum. Bunun yerine, kusurları kabul ettim ve bu konuda büyük hissediyorum. Adımlar için teşekkürler =)
Rudie
1
Zorluk, uzantıyı düzenlemek ve güncellemelere sahip olmak istemenizdir. Bu birbirini dışlayan. Bir uzantıyı düzenlerseniz, güncelleme sonrasında neyi değiştirdiğinizi hatırlamak zorunda kalarak tüm değişikliklerinizi kaybedersiniz. Aylar sonra bu zor olabilir. Güncellemeleri devre dışı bırakmak ve değişiklikleri manuel olarak birleştirmek, bunu yönetmenin tek mümkün yoludur.
Commorancy
Güncelleme, saldırıya uğrayan sürümümün birleştirilmesidir. Birleşmeler akıllı olabilir. Değilse, çözebileceğim bir birleşme çatışması. Bunun yerine paranoyak yaklaşımı seçtim ve herhangi bir katkıda bulunma uzantısı kullanmadım, söylediğin gibi kopyalandı ve hacklendi. Çok geç cevap, özür dilerim.
Rudie
Bu artık çalışmıyor. Uzantınız uygulama mağazasında yoksa, devre dışı bırakılır ve kaldırılıp tekrar eklenmeden yeniden etkinleştirilemez.
Wolfish
Merhaba Wolfish, bu kesinlikle doğru değil. Geliştiriciler, sistemlerinde yerel olarak uzantılar geliştirebilmelidir. Chrome'un bir Geliştirici Modu sunmasının nedeni budur. 10. adımda Geliştirici Modunu etkinleştirmeniz gerektiğini fark edeceksiniz. Anahtar bu. Geliştirici modu etkinleştirilmeden harici uzantıları yükleyemezsiniz. Geliştiriciler, test için mağazaya yüklemeye zorlanarak uzantılar oluşturamazlar; bu da tamamlanmamış kodu halka (daha riskli) gösterir. Bununla birlikte, Chrome, Chrome'un her yeniden başlatılmasında geliştirme modunu kapatmanızı isteyen çok çalışkandır.
Commorancy
6

Google, Uzantı İçeriği Doğrulama özelliğini hiçbir şekilde devre dışı bırakmanıza izin vermediğinden, olası geçici çözümleriniz temel olarak şunlardır:

  1. Herhangi bir uyarı yapmadan uzantıları düzenlemenizi ve kendi uzantılarınızı eklemenizi sağlayan Chrome'un kanarya sürümünü kullanın
  2. Uzantı dizinini başka bir yere kopyalayın, _metadataklasörü silin ve geliştirici modunda yükleyin. Bu geçici çözümün dezavantajı, chrome'u her açtığınızda, uzantıyı devre dışı bırakmanızı isteyen bir mesaj görmenizdir. (geliştirici modunda olduğu için)

  3. Chrome'un uzantının karmasını almasını engelleyin, böylece içeriğini doğrulayamaz. Bu geçici çözümün dezavantajı, diğer uzantıları karşıdan yükleyememeniz olabilir.

    Bunu yapmak için:

    1. Satırı dosyanıza 127.0.0.1 clients2.googleusercontent.comekleyin hosts(genellikle altında C:\Windows\System32\drivers\etc)
    2. Chrome'un DNS önbelleğini temizleyin veya birkaç dakika bekleyin
    3. Chrome'u kapatın ve uzantıda bazı değişiklikler yapın
    4. _metadataKlasörü uzantının dizininden silin (orijinal karmaları saklayan)
    5. Chrome'u yeniden başlat

HTTPS proxy sunucusunu yalnızca ilgili istekleri engellemek için de kullanabilirsiniz, ancak bu çok fazla hacky olur.

Tomer
kaynak
1. bir şey yapıyor gibi görünüyor =) ama şimdi uzantıları indiremiyorum ve hala engelleniyor. Deneme # 2. Yarın daha fazlası.
Rudie
Hala bozuk olduğunu mu söylüyor? _metadatakarmaları depolayan klasörü Google'dan silmeyi deneyin .
Tomer
Bu işe yarıyor, ancak şimdi diğer uzantıları indiremiyorum ... Neden sadece indirilip chrome.google.comfarklı bir alan adına bakmıyorsunuz? Bunu her zaman zorlaştırmak gerekir. Bir HTTPS proxy'sinin mümkün olduğunu düşünmüyorum. Muhtemelen MITM yaklaşımını kapsamaktadır. (2) muhtemelen en iyi çözüm, zaten zaten birkaç dev ext çalışan var. Yine de güncelleme yok = (Teşekkürler!
Rudie
Tamam, ancak bilgisayarınıza kendi sertifika yetkilinize güvenmesini söylerseniz MITM hakkında gerçekten bir şey yapabileceklerini sanmıyorum. belki mitmproksi ya da başka bir şey deneyin .
Tomer
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.