Установить расширения GNOME через веб-сайт: уязвимость безопасности?
Я нашел расширение GNOME через поиск в Google (используя Chromium), и был очень удивлен, что я мог просто переключить переключатель Вкл / Выкл, чтобы веб-сайт установил полное расширение GNOME на мой компьютер без каких-либо других ручных действий. (протестировано, это работает и с Firefox.) Конечно, появляется диалоговое окно с просьбой подтвердить установку, но ...
-
Хотя это отлично подходит для простоты использования и удобства использования, не существует ли уязвимостей безопасности с этим? Мне было бы интересно узнать, как именно работает эта функция, и стоит ли мне беспокоиться о каких-либо «бэкдорах», которые могут позволить хакерам легко устанавливать исполняемые файлы на мою машину.
-
Проверяются ли расширения на на сайте GNOME ? Есть ли способ определить, являются ли расширения безопасными или нет?
-
Изменены ли браузеры Chromium и Firefox GNOME для включения этой функции? Есть ли какие-либо другие пользовательские изменения в GNOME Chromium / Firefox, о которых должны знать пользователи?
ОБНОВЛЕНИЕ: Поняв, как это работает, теперь я считаю, что это действительно отличная функция, особенно для нетехнических пользователи, но это немного встревожило меня, когда я впервые столкнулся с этим.
1 ответ
Да, и нет.
Сначала была закодирована ссылка, по которой вы щелкнули, чтобы установить расширение, в частности (я думаю) для GNOME 3.2 в качестве метода закапывания. Так что в этом смысле это «доверенный» сайт.
Во-вторых, расширения gnome - это пользовательские скрипты, которые хранятся только для вашего пользователя. У них нет доступа к любой информации, к которой у пользователя нет доступа. Так, например, не может быть расширений оболочки для записи файлов в / .
В-третьих, Браузеры не были изменены, но оболочка гнома была.
По сути, метод установки не менее безопасен, чем предоставление файла tar.gz и указание вручную извлечь его в домашнюю директорию. Скорее всего, индивидуальные расширения безопасны - это решение, которое вам нужно принимать в каждом конкретном случае. Однако gnome.org является законным сайтом, как и субдомен расширений.