Расширения для браузеров небезопасны. Что делать?
Наверняка вы знаете, что такое расширения для браузера, — почти все мы пользуемся ими каждый день. С ними у вашего браузера появляется масса полезных возможностей, но при этом они угрожают вашей безопасности и конфиденциальности. Давайте рассмотрим, что может пойти не так с расширениями для браузеров и как минимизировать риски от их использования. Но сначала давайте разберемся, что же они из себя представляют.
Расширение (browser extension) — это дополнительный модуль, который можно подключить к браузеру, чтобы добавить те или иные функции. Что-то вроде плагина. Расширения могут менять интерфейс браузера или добавлять возможности для работы в Интернете.
Например, с помощью расширений можно блокировать рекламу, переводить страницы с иностранных языков или добавлять адреса страниц в специальные сервисы для работы с закладками вроде Evernote или Pocket. Расширений очень много — тысячи и тысячи разных программ на любой вкус: для более удобной и эффективной работы, для настройки внешнего вида браузера, для онлайн-покупок, игр и много другого.
Расширения поддерживают почти все популярные браузеры: Chrome и Chromium, Firefox, Safari, Opera, Internet Explorer и Edge. Расширения легко скачать, они могут быть очень полезны, поэтому многие используют по несколько расширений, а иногда — и по несколько десятков. Но, как мы уже сказали, за этим удобством кроется и опасность.
Что может пойти не так
Зловредные расширения
Во-первых, расширения могут быть просто зловредными. В основном это характерно для расширений, которые предлагают установить на сторонних сайтах, но иногда вредоносное ПО проникает и в официальные источники вроде магазина расширений Chrome Web Store — так же, как оно иногда прокрадываются в Google Play.
Например, недавно исследователи нашли четыре зловредных расширения в интернет-магазине Chrome Web Store. Плагины притворялись обычными приложениями для заметок, но на самом деле приносили своим создателям прибыль, незаметно кликая на рекламные ссылки.
Как расширению это удается? Чтобы что-то делать, ему нужно разрешение.
Но из популярных браузеров только Google Chrome запрашивает такое разрешение у пользователя. Другие браузеры по умолчанию позволяют плагинам делать все что угодно. Пользователя они не спрашивают.
Однако даже в Chrome управление разрешениями работает только в теории — а на практике получается не очень. Даже простейшие расширения обычно требуют, чтобы им предоставили право «читать и изменять все ваши данные на посещаемых вами сайтах», что дает им возможность делать практически все что угодно. А если не дать им это разрешение, не получится их установить.
Ну или вот еще пример: ранее мы нашли еще одно зловредное расширение, с помощью которого мошенники распространяли хакерское ПО в Facebook Messenger. Вот подробный пост на эту тему.
Массовая рассылка зловреда в Facebook Messenger
Покупка и взлом расширений
Для преступников расширения — лакомый кусок, ведь некоторые из них установлены у многих тысяч пользователей, а обновляются они автоматически.
Это значит, что вы можете скачать безобидное расширение, а затем оно обновится и станет зловредным — а вы ничего не заметите.
Хороший разработчик так поступать не станет, но его учетную запись могут взломать злоумышленники, чтобы загрузить зловредное обновление в официальный магазин от его имени. Например, так мошенники с помощью фишинга добыли данные разработчиков популярного плагина Copyfish. Это расширение, которое изначально распознавало текст с картинок, после обновления начало показывать пользователям рекламу.
Другой вариант: иногда компании предлагают разработчикам расширений неплохую сумму за их продукты. Как правило, расширения тяжело монетизировать, и разработчики часто с радостью соглашаются. После осуществления сделки компания может выпустить зловредное обновление, которое автоматически установится у всех скачавших расширение пользователей. Именно это случилось с Particle, популярным расширением для Chrome, с помощью которого можно было кастомизировать YouTube. Разработчики в какой-то момент забросили его, а компания, выкупившая у них этот плагин, сразу же превратила его в рекламное ПО.
Не зловредные, но все равно опасные
Даже те расширения, которые создавались без цели навредить кому-либо, тоже могут быть опасными. Почти все они собирают множество данных о пользователях (помните про разрешение «читать и редактировать все данные на всех посещаемых вами сайтах»?) Чтобы свести концы с концами, некоторые разработчики продают данные пользователей в анонимном виде третьим лицам. Обычно они честно предупреждают об этом в пользовательском соглашении, и в большинстве случаев это не страшно.
Проблема в том, что иногда данные оказываются недостаточно анонимными, что приводит к нарушению конфиденциальности. Например, компания, купившая данные, может по ним выяснить личность пользователей плагина. Именно это случилось с Web of Trust — некогда популярным расширением для Chrome, Firefox, Internet Explorer, Opera, Safari и других браузеров. Оно составляло рейтинг сайтов, основываясь на мнениях пользователей — и собирало полную историю посещения всех сайтов.
Один немецкий сайт заявил, что разработчики Web of Trust продавали данные пользователей сторонним компаниям, недостаточно тщательно их обезличивая.
Администрация магазина расширений Mozilla сразу же перестала распространять Web of Trust, а сами авторы вскоре удалили его из всех остальных магазинов. Однако уже через месяц оно вернулось в ассортимент — якобы с доработанным кодом. Web of Trust — ни в коей мере не зловредное расширение. Но оно может навредить пользователям, раскрыв их данные тем, кому, наверное, не стоило бы видеть историю посещений сайтов и действий на них.
Как работать с расширениями максимально безопасно
Расширения могут быть опасными, но некоторые из них очень полезны, поэтому вы вряд ли захотите совсем от них отказаться. Я до сих пор использую несколько расширений, и я точно знаю, что у двух из них есть то самое разрешение все читать и редактировать.
Было бы безопаснее их удалить, но они очень удобные. Поэтому нам нужен способ более-менее безопасно использовать расширения. Защитить себя можно, соблюдая следующие правила.
- Не устанавливайте слишком много расширений. Они не только снижают производительность компьютера при работе с браузером, но и могут открыть лазейку для атак.
Так что оставьте только необходимый минимум. - Устанавливайте расширения только из официальных магазинов. Там их хотя бы как-то проверяют, отфильтровывая откровенно зловредные.
- Обратите внимание, какие доступы запрашивает расширение. Если уже установленный плагин просит новое разрешение, это должно немедленно вас насторожить. Скорее всего, что-то пошло не так. Вероятно, расширение было продано или взломано. Перед установкой плагина всегда стоит посмотреть на запрашиваемые им разрешения и подумать, соответствуют ли они его функциям. Если вы не можете придумать логичное объяснение таким запросам, лучше отказаться от установки расширения.
- Используйте хорошее защитное решение. Например, Kaspersky Internet Security умеет обнаруживать и обезвреживать зловредный код в расширениях браузера. Наши антивирусы полагаются на очень внушительную и часто обновляемую базу данных о зловредных расширениях. Скажем, для Chrome мы находим новые зловредные плагины почти каждый день.
Так что оставьте только необходимый минимум.Расширение для браузера – особенности и преимущества | Info-Comp.
ru
Рубрика: Другое
Всем привет! Сегодня мы поговорим о расширениях для браузера, Вы узнаете, для чего нужны эти расширения, какие у них особенности и преимущества.
Браузерное расширение – это специальная мини-программа, позволяющая дополнить функционал браузера новыми полезными фишками и удовлетворить узкоцелевые потребности пользователя.
Эту программу можно встраивать в облачный софт и тем самым добавлять необходимые функции.
Такие программы могут носить различные названия – расширения (browser extensions), плагины (plug-in), дополнения (add-on). Практически каждый обозреватель поддерживает установку дополнительного функционала.
Самыми популярными являются программы для Гугл Хром и Firefox.
Разработка любого расширения происходит на базе кодов HTML, CSS и JavaScript, планируется его будущая нагрузка. В готовом виде мини-программа существует как архив или загрузочный файл в магазине расширений. Например, чтобы установить виртуальную приватную сеть, вы можете скачать расширение RUSVPN в Chrome, настроить его и пользоваться для личных нужд – то есть анонимно серфтить в Интернете.
Предназначение расширений и их польза
Как уже говорилось выше, ключевая цель расширения – это расширять функции браузера, чтобы пользователь мог комфортно и в полной мере им пользоваться. Например, расширения позволяют встраивать элементы в облачное хранилище, открывать новые возможности для SaaS, вы можете создать собственный микросервис или применять их как дополнительный и полезный инструмент.
Исходя из целевых потребностей и специфики работы, все расширения представлены в следующих видах:
- Интеграционные – программы-менеджеры и облачный софт для CRM становятся все более популярными, при этом нельзя интегрироваться с ним и адаптировать под себя. Однако эта проблема решается с помощью расширений, которые могут экспортировать данные, организовывать процессы обмена между системами;
- Дополнительные опции для SaaS – речь идет о разнонаправленных сервисах, например, календарь, переводчик, проверочные опции, умный помощник и т.д.;
- Микросервисы – специальные приложения, вызываемые по кнопке, чтобы взаимодействовать со страницей. Чаще всего ориентированы на считывание информации для упрощения процесса пользовательского взаимодействия – например, заметки, скриншоты видеороликов, сохранение данных с выгрузкой в облако или для отправки;
- Инструменты для разработчиков – это упрощает работу, когда не нужно закрывать браузер, чтобы обратиться к целевым опциям.
Однако эта проблема решается с помощью расширений, которые могут экспортировать данные, организовывать процессы обмена между системами;Достоинства и недостатки браузерных расширений
- быстрый доступ;
- интуитивно понятное управление;
- кроссплатформенность и адаптация под любой браузер;
- можно интегрировать даже те объекты, которые, казалось бы, недопустимы;
- интеграция своей функциональности в те продукты, где нет доступа к ядру;
- объединение систем и облачных хранилищ в единое рабочее пространство.
Несмотря на пользу и функциональность расширений для браузера, они не лишены минусов, главными из которых являются:
- требуется постоянное обновление под конкретный браузер или сервис;
- для каждого браузера нужна своя адаптированная версия программы.
Популяризация расширений началась в западном регионе планеты, но постепенно охватывает весь мир. Их простота и функциональность бесспорна, что привлекает внимание и вызывает необходимость начать пользоваться.
На сегодня это все, пока!
Что такое расширения? — Mozilla
Примечание: Если вы уже знакомы с основными понятиями расширений браузера, пропустите этот раздел, чтобы узнать, как создаются файлы расширений. Затем используйте справочную документацию, чтобы начать создание расширения. Посетите Firefox Extension Workshop, чтобы узнать больше о рабочем процессе тестирования, публикации и расширениях для Firefox.
Расширение добавляет возможности и функции в браузер.
Он создан с использованием знакомых веб-технологий — HTML, CSS и JavaScript. Он может использовать те же веб-API, что и JavaScript на веб-странице, но расширение также имеет доступ к собственному набору API-интерфейсов JavaScript. Это означает, что вы можете сделать гораздо больше в расширении, чем в коде на веб-странице. Вот лишь несколько примеров того, что вы можете сделать:
Улучшение или дополнение веб-сайта : Используйте надстройку для предоставления дополнительных функций или информации с веб-сайта в браузере. Разрешите пользователям собирать данные с посещаемых ими страниц, чтобы улучшить предлагаемые вами услуги.
Примеры: Amazon Assistant для Firefox, OneNote Web Clipper и Grammarly для Firefox.
Позвольте пользователям проявить свою индивидуальность : Расширения браузера могут манипулировать содержимым веб-страниц; например, позволяя пользователям добавлять свой любимый логотип или изображение в качестве фона на каждую страницу, которую они посещают.
Расширения также могут позволить пользователям обновлять внешний вид пользовательского интерфейса Firefox точно так же, как это делают отдельные надстройки темы.
Примеры: MyWeb New Tab, Tabliss и VivaldiFox.
Добавление или удаление контента с веб-страниц : Вы можете помочь пользователям блокировать навязчивую рекламу с веб-страниц, предоставлять доступ к путеводителю всякий раз, когда страна или город упоминаются на веб-странице, или переформатировать содержимое страницы, чтобы предложить последовательный опыт чтения. Имея возможность доступа и обновления как HTML, так и CSS страницы, расширения могут помочь пользователям увидеть Интернет так, как они хотят.
Примеры: uBlock Origin, Reader и Toolbox для Google Play Store™.
Добавление инструментов и новых функций просмотра : добавление новых функций на доску задач или создание изображений QR-кода из URL-адресов, гиперссылок или текста страницы.
Благодаря гибким параметрам пользовательского интерфейса и мощным API-интерфейсам WebExtensions вы можете легко добавлять новые функции в браузер. И вы можете улучшить функции или функции практически любого веб-сайта, это не обязательно должен быть ваш веб-сайт.
Примеры: дорожки для Trello и Tomato Clock.
Игры : Предлагайте традиционные компьютерные игры с функциями автономной игры или изучайте новые игровые возможности; например, путем включения игрового процесса в повседневный просмотр.
Примеры: карточная игра Solitaire и 2048 Prime.
Добавление инструментов разработки : Вы можете предоставлять инструменты веб-разработки в качестве своего бизнеса или разработать полезную технику или подход к веб-разработке, которыми вы хотите поделиться. В любом случае вы можете улучшить встроенные инструменты разработчика Firefox, добавив новую вкладку на панель инструментов разработчика.
Примеры: Web Developer, Web React Developer Tools и axe Developer Tools.
Расширения для Firefox создаются с использованием API-интерфейсов WebExtensions, кросс-браузерной системы для разработки расширений. API в значительной степени совместим с API расширений, поддерживаемым Google Chrome и Opera. Расширения, написанные для этих браузеров, в большинстве случаев будут работать в Firefox или Microsoft Edge с небольшими изменениями. API также полностью совместим с многопроцессорным Firefox.
Если у вас есть идеи или вопросы или вам нужна помощь в переносе устаревшей надстройки на API-интерфейсы WebExtensions, вы можете связаться с нами в Обсуждении надстроек или в комнате надстроек в Matrix.
Что такое расширение браузера? | Определение из TechTarget
К
- Айви Вигмор
Расширение браузера — это небольшое программное приложение, добавляющее возможности или функциональные возможности веб-браузеру.
Хотя расширения обычно используются для добавления функций и улучшения функциональности веб-сайта, их также можно использовать для удаления нежелательных элементов веб-сайта, таких как всплывающая реклама, и таких функций, как автоматическое воспроизведение онлайн-видео.
Вот несколько примеров расширений браузера:
- AdBlock — включает фильтрацию контента и блокировку рекламы.
- HTTPS Everywhere — обеспечивает еще один уровень безопасности, позволяя веб-сайтам, поддерживающим расширение, автоматически подключаться через HTTPS.
- StayFocusd — ограничивает количество времени, которое пользователь может проводить на определенных веб-сайтах.
- Высоко — позволяет пользователю выделять текст веб-страницы и делиться им через социальные сети, электронную почту, Slack или iMessage.
Расширения браузера обычно пишутся на HTML, CSS или JavaScript. Как и другие типы программного обеспечения, расширения браузера могут быть закодированы для нежелательного поведения и могут использоваться для доставки вредоносных программ. Хотя большинство надстроек проверяются перед тем, как попасть в список, вредоносные расширения, нарушающие правила программы для разработчиков браузеров, не являются чем-то необычным.
Например, в январе 2018 года компания по обеспечению безопасности ICEBERG сообщила, что четыре вредоносных расширения, доступных в Интернет-магазине Chrome, были разработаны для мошенничества с кликами и черного SEO. В 2017 году Proofpoint сообщил, что восемь скомпрометированных расширений Chrome отправили вредоносный код почти четырем с половиной миллионам пользователей.
При принятии решения об установке расширения всегда помните о типе ресурсов, к которым может получить доступ расширение, и о том, куда оно будет отправлять собранные данные. Относитесь с особой осторожностью к любым расширениям, которые выполняют одно из следующих действий:
- Взаимодействие с локальными файлами
- Взаимодействие с реестром Windows
- Взаимодействие с файлами cookie
- Доступ к любой вкладке или окну браузера
- Выполнение команд в пользовательской оболочке
Последнее обновление: февраль 2018 г.
Продолжить чтение О расширении для браузера- Безопасность расширений веб-браузера: устранение угроз подключаемых модулей браузера
- 10 лучших расширений браузера для избавления от веб-раздражений
- Безопасные браузеры: сравнение Firefox и Chrome
- Все, что вам нужно знать о расширениях браузера
- Украденные расширения Chrome заражают миллионы пользователей
электронная библиотека
Электронная библиотека представляет собой набор цифровых объектов, таких как книги, журналы, аудиозаписи, видеозаписи и другие документы, доступные в электронном виде.
Сеть
- система управления сетью
Система управления сетью, или NMS, представляет собой приложение или набор приложений, которые позволяют сетевым инженерам управлять сетевыми …
- хост (в вычислениях)
Хост — это компьютер или другое устройство, которое обменивается данными с другими хостами в сети.
- Сеть как услуга (NaaS)
Сеть как услуга, или NaaS, представляет собой бизнес-модель для предоставления корпоративных услуг глобальной сети практически на основе подписки.
Безопасность
- обратная атака грубой силы
Атака методом обратного перебора — это тип атаки методом перебора, при которой злоумышленник использует общий пароль против нескольких …
- Защита от эксплойтов Защитника Windows
Microsoft Windows Defender Exploit Guard — это программное обеспечение для защиты от вредоносных программ, обеспечивающее защиту от вторжений для пользователей ОС Windows 10.
- SOC 3 (системный и организационный контроль 3)
В отчете System and Organization Controls 3 (SOC 3) излагается информация, относящаяся к внутреннему контролю обслуживающей организации …
ИТ-директор
- цифровой прорыв
Цифровой прорыв — это изменение, которое происходит, когда новые цифровые технологии и бизнес-модели влияют на ценностное предложение …
- управление потоком создания ценности
Управление потоком создания ценности — это новый бизнес-процесс, предназначенный для измерения потока ценности в бизнес-ресурсы и …
- программа аудита (план аудита)
Программа аудита, также называемая планом аудита, представляет собой план действий, который документирует процедуры, которым аудитор будет следовать для проверки …
HRSoftware
- командное сотрудничество
Совместная работа в команде — это подход к коммуникации и управлению проектами, который делает упор на командную работу, новаторское мышление и равенство .
