Tendencias del momento
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Cos(余弦)😶🌫️
Admiro mucho a estas personas: instalan un montón de extensiones desordenadas en el navegador, aparentando ser muy profesionales y ocupadas, sin saber los diversos riesgos de alta autorización de las extensiones...🤦♂️
14 mar 2025
Recientemente, muchos amigos se han preocupado por si ciertas extensiones de navegador tienen riesgos de seguridad, especialmente el riesgo de permisos excesivos. Lo curioso es que hay muchas personas que subestiman el riesgo de que las extensiones maliciosas hagan daño, y también hay muchas personas que exageran el riesgo de que las extensiones maliciosas hagan daño...
Yo escribí sobre extensiones de navegador hace tiempo (una de ellas está en mi repositorio de GitHub, es para eliminar Cookies, ya ha caducado), y también he auditado la seguridad de ciertas extensiones de billetera, así que soy una de esas personas de seguridad que entiende bastante.
Para que una extensión haga daño, como robar las Cookies de la página objetivo, la privacidad en localStorage (como información de permisos de cuenta, información de claves privadas), manipulación del DOM, secuestro de solicitudes, obtención de contenido del portapapeles, etc. Se puede configurar los permisos relacionados en manifest.json. Si el usuario no presta atención a la solicitud de permisos de la extensión, será un problema.
Pero para que una extensión haga daño, intentar atacar directamente a otras extensiones, como las conocidas extensiones de billetera, no es tan fácil... porque están aisladas en un sandbox... por ejemplo, robar directamente la información de claves privadas/frases de recuperación almacenadas en la extensión de billetera no es muy probable, a menos que aparezca una vulnerabilidad estúpida que sea explotada maliciosamente.
Si te preocupa el riesgo de permisos de una extensión, en realidad es muy fácil juzgar este riesgo. Después de instalar la extensión, puedes no usarla de inmediato, ver el ID de la extensión, buscar la ruta local en la computadora, encontrar el archivo manifest.json en el directorio raíz de la extensión y simplemente arrojar el contenido del archivo a AI para que interprete el riesgo de permisos. Este paso no es complicado, preguntar directamente a AI también es muy conveniente... por ejemplo, DeepSeek/GPT/Grok/Claude, etc.
Si tienes una mentalidad de aislamiento, puedes considerar habilitar un perfil de Chrome separado para extensiones desconocidas, al menos el daño será controlable. Además, las extensiones se pueden desactivar en chrome://extensions/ una vez que se han utilizado, la gran mayoría de las extensiones no necesitan estar siempre activadas.
El objetivo de escribir esto es en realidad guiar a todos a ser más hábiles en el uso de AI (hace unos años era ser hábiles en el uso de motores de búsqueda), AI puede manejar estos problemas básicos de seguridad sin problemas...
67,42K
Recientemente, en varios casos de robo que he manejado, los usuarios robados asumieron instintivamente que la causa del robo fue el uso de una conocida billetera (dos de ellos estaban muy seguros de que la clave privada robada solo se había utilizado en esa billetera). Finalmente, bajo mi guía, comenzaron a recordar que había otras circunstancias...
Mi equipo y yo intervenimos en estos casos, realmente lo hacemos con amor, el tiempo y la energía que consumimos no son pocos, pero es muy difícil cobrar, casi siempre es: no tengo dinero, si recupero algo, te daré una recompensa...🫣
Esta situación no está tan mal, también indica que pueden entender. Mientras no nos encontremos con traidores, aprovechados o trolls, está bien; estos tres tipos de personajes son los enemigos de la industria, los he criticado innumerables veces en el pasado.
Volviendo al principio, la memoria humana no es confiable. Si quieres resolver un problema, debe ser una investigación honesta de todas las circunstancias. Hay quienes disfrutan de la guerra de opiniones; a menos que realmente estés seguro de que lo que crees es la verdad o tengas pruebas, inevitablemente empeorará la situación, lo cual no es bueno para nadie y también consumirá mucho a quienes te ayudan.
Para resolver el problema, si has sido robado, ¿qué problemas hay que resolver? Principalmente estos dos:
1. Recuperar. La esperanza es generalmente escasa; la gran mayoría aún necesita que el usuario robado presente una denuncia y que la ley intervenga. De lo contrario, si quieres información sobre direcciones de billeteras sospechosas, plataformas, etc., es un sueño. ¿Dices que lo quieres y ya está?
2. Investigar la causa del robo para evitar daños secundarios. ¿Es difícil recuperar? ¿Es fácil investigar? Algunas cosas son difíciles, otras son fáciles, pero en comparación, si estás dispuesto a invertir en la investigación, la mayoría de las veces se puede resolver... De hecho, hemos enfocado bastante energía en esto, cobramos mucho, y los que pueden pagar son básicamente proyectos con recursos. Lo fácil, en un abrir y cerrar de ojos, casi no cobramos, seguimos trabajando con amor...
Espero que mis amigos no sean robados, pero si realmente caen en una trampa, estamos aquí. Si no se puede resolver el problema 1, intentaremos resolver el problema 2.
Finalmente, somos ante todo una empresa comercial, nuestra capacidad comercial aún es suficiente para sostenernos en estas actividades, sigamos y cuidemos... no nos consuman en exceso.
77,98K
Parte superior
Clasificación
Favoritos