Rubriques tendance
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Cos(余弦)😶🌫️
J'admire vraiment ces gens : ils ont installé une multitude d'extensions de navigateur en désordre, se donnant un air très professionnel et occupé, sans se rendre compte des divers risques liés aux permissions élevées des extensions…🤦♂️
14 mars 2025
Récemment, de nombreux amis s'inquiètent des risques de sécurité de certaines extensions de navigateur, en particulier des risques liés à des permissions excessives. Il est intéressant de noter que beaucoup sous-estiment le risque que des extensions malveillantes puissent causer, tandis que d'autres exagèrent ce risque…
J'ai écrit des extensions de navigateur il y a longtemps (l'une d'elles est open source dans mon dépôt GitHub, elle s'attaque aux cookies, mais elle est déjà périmée), et j'ai également audité la sécurité de certaines extensions de portefeuille, donc je fais partie des personnes qui comprennent assez bien ce domaine de la sécurité.
Pour qu'une extension soit malveillante, par exemple pour voler les cookies de la page cible, les informations privées dans localStorage (comme les informations d'autorisation de compte, les informations de clé privée), modifier le DOM, intercepter des requêtes, obtenir le contenu du presse-papiers, etc. Il suffit de configurer les permissions correspondantes dans manifest.json. Si l'utilisateur ne fait pas attention aux demandes de permissions de l'extension, cela peut poser problème.
Cependant, pour qu'une extension soit malveillante et tente d'attaquer d'autres extensions, comme des extensions de portefeuille bien connues, ce n'est pas si facile… car il y a une isolation par sandbox… Par exemple, il est peu probable qu'elle puisse directement voler des informations liées aux clés privées/mots de passe stockés dans l'extension de portefeuille, à moins qu'une vulnérabilité stupide n'apparaisse et soit exploitée de manière malveillante.
Si vous vous inquiétez des risques de permissions d'une extension, il est en fait très facile d'évaluer ce risque. Après avoir installé l'extension, vous pouvez d'abord ne pas l'utiliser, vérifier l'ID de l'extension, rechercher le chemin local sur votre ordinateur, trouver le fichier manifest.json dans le répertoire racine de l'extension, et soumettre le contenu du fichier à une IA pour une interprétation des risques de permissions. Cette étape est facile à réaliser, et vous pouvez aussi simplement demander à une IA… par exemple, DeepSeek/GPT/Grok/Claude, etc.
Si vous avez une pensée d'isolation, vous pouvez envisager d'activer un profil Chrome séparé pour des extensions inconnues, au moins cela rendra les actions malveillantes plus contrôlables. De plus, une fois que vous avez fini d'utiliser une extension, vous pouvez la désactiver dans chrome://extensions/, la grande majorité des extensions n'ont pas besoin d'être activées en permanence.
Le but de ce que j'écris est en fait d'inciter tout le monde à mieux utiliser l'IA (il y a quelques années, c'était mieux utiliser les moteurs de recherche), l'IA peut gérer ces problèmes de sécurité de base sans problème…
52,13K
Récemment, dans plusieurs cas de vol que j'ai traités, les utilisateurs volés pensaient instinctivement que c'était à cause de l'utilisation d'un certain portefeuille connu (deux d'entre eux étaient très sûrs que leur clé privée avait été volée uniquement à cause de ce portefeuille connu). Finalement, sous ma direction, ils ont progressivement commencé à se souvenir qu'il y avait d'autres circonstances…
Mon équipe et moi intervenons dans ces cas, vraiment avec passion, le temps et l'énergie dépensés ne sont pas négligeables, mais il est très difficile de se faire payer, presque tous disent : "Je n'ai plus d'argent, si je récupère, je te donnerai une récompense…" 🫣
Cette situation est encore acceptable, cela montre qu'ils peuvent comprendre. Tant que je ne rencontre pas de traîtres, de profiteurs ou de détracteurs, tout ira bien. Ces trois types de personnes sont les ennemis de l'industrie, je les ai déjà critiqués de nombreuses fois.
Pour revenir au début, la mémoire humaine n'est pas fiable. Si vous voulez résoudre un problème, il faut absolument examiner honnêtement toutes les circonstances. Certaines personnes aiment jouer à la guerre de l'opinion, à moins que vous ne soyez vraiment sûr que ce que vous pensez est la vérité ou que vous ayez des preuves, sinon cela ne fera qu'aggraver la situation, ce qui n'est bon pour personne et consommera beaucoup ceux qui vous aident.
Pour résoudre le problème, quels problèmes doivent être résolus en cas de vol ? Principalement ces deux :
1. Récupérer. Les espoirs sont généralement minces, la grande majorité des utilisateurs volés doivent encore porter plainte et faire intervenir les forces de l'ordre, sinon, si vous voulez des informations sur les adresses de portefeuilles suspects, vous rêvez. Vous pensez que vous pouvez juste demander ?
2. Enquêter sur les raisons du vol pour éviter des dommages supplémentaires. Récupérer est difficile, enquêter est plus facile ? Certaines enquêtes ne sont pas faciles, d'autres le sont, mais en comparaison, tant que l'on est prêt à investir, la plupart des enquêtes peuvent aboutir… Nous avons en fait concentré pas mal d'énergie là-dessus, les frais sont très élevés, ceux qui peuvent payer sont généralement des projets solides. Pour les cas faciles, en quelques minutes, il n'y a généralement pas de frais, on continue à travailler avec passion…
J'espère que mes amis ne seront pas volés, mais si vous tombez vraiment dans un piège, nous sommes toujours là. Si le problème 1 ne peut pas être résolu, nous ferons de notre mieux pour résoudre le problème 2.
Enfin, nous sommes d'abord une entreprise commerciale, notre capacité commerciale est encore suffisante pour nous permettre de faire ces choses, avançons prudemment… Ne nous épuisez pas trop.
77,43K
Meilleurs
Classement
Favoris