Populaire onderwerpen
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Cos(余弦)😶🌫️
Ik bewonder deze mensen echt: ze hebben een heleboel rommelige browserextensies geïnstalleerd, waardoor ze er professioneel en druk uitzien, zonder te beseffen dat er allerlei hoge risico's aan die extensies verbonden zijn…🤦♂️
14 mrt 2025
Onlangs maken veel vrienden zich zorgen over de veiligheidsrisico's van bepaalde browserextensies, vooral het risico van te grote machtigingen. Interessant is dat veel mensen het risico van kwaadaardige extensies onderschatten, terwijl anderen het risico juist overdrijven...
Ik heb al vroeg browserextensies geschreven (waarvan er één open source is op mijn GitHub-repository, een die cookies blokkeert, en die is al verlopen), en ik heb ook bepaalde wallet-extensies veiligheidsaudits gegeven, dus ik beschouw mezelf als een type veiligheidsprofessional die er redelijk verstand van heeft.
Een extensie moet kwaadaardig zijn, bijvoorbeeld door cookies van de doelpagina te stelen, privacy-informatie uit localStorage (zoals accountmachtigingen en privésleutelinformatie), DOM-manipulatie, verzoekafleiding, het verkrijgen van klembordinhoud, enzovoort. Dit kan worden gedaan door de relevante machtigingen in manifest.json te configureren. Als gebruikers niet opletten bij de machtigingsaanvragen van de extensie, kan dat problematisch zijn.
Maar voor een extensie om kwaad te doen, is het niet gemakkelijk om direct andere extensies aan te vallen, zoals bekende wallet-extensies... omdat sandbox-isolatie dat bemoeilijkt... bijvoorbeeld, het is vrijwel onmogelijk om direct privésleutels/mnemonic-woordinformatie die in een wallet-extensie zijn opgeslagen te stelen, tenzij er een domme kwetsbaarheid is die kwaadwillend wordt misbruikt.
Als je je zorgen maakt over de machtigingsrisico's van een extensie, is het eigenlijk heel eenvoudig om dit risico te beoordelen. Na het installeren van de extensie kun je deze eerst niet gebruiken, kijk naar de extensie-ID, zoek het lokale pad op je computer, en vind het manifest.json-bestand in de hoofdmap van de extensie. Gooi de inhoud van het bestand gewoon naar AI voor een interpretatie van de machtigingsrisico's. Deze stap is niet moeilijk, je kunt AI ook gewoon vragen... bijvoorbeeld DeepSeek/GPT/Grok/Claude, enzovoort.
Als je een isolerende denkwijze hebt, kun je overwegen om een aparte Chrome-profiel voor onbekende extensies in te schakelen, zodat kwaadwillend gedrag tenminste beheersbaar is. Bovendien, als je een extensie niet meer gebruikt, kun je deze uitschakelen in chrome://extensions/, de meeste extensies hoeven niet altijd ingeschakeld te zijn.
Het belangrijkste dat ik hiermee wil overbrengen, is dat ik iedereen wil aanmoedigen om AI beter te gebruiken (een paar jaar geleden was dat het beter gebruiken van zoekmachines). AI kan deze basisveiligheidsproblemen prima aan...
69,28K
Recent heb ik een aantal gevallen van diefstal behandeld, waarbij de slachtoffers instinctief dachten dat het kwam door het gebruik van een bepaalde bekende wallet (waarvan twee heel zeker waren dat hun privésleutels alleen met die bekende wallet waren gebruikt). Uiteindelijk, onder mijn begeleiding, begonnen ze zich te herinneren dat er ook andere situaties waren…
Mijn team en ik zijn betrokken bij deze gevallen, echt met liefde en toewijding, de tijd en energie die het kost is niet gering, maar betaald krijgen is erg moeilijk, bijna altijd is het: ik heb geen geld meer, als ik het terugkrijg, krijg je een beloning…🫣
Deze situatie is nog te begrijpen. Zolang we maar geen onbetrouwbare mensen, profiteurs of haters tegenkomen, deze drie types zijn de vijanden van de industrie, ik heb ze in het verleden talloze keren verdoemd.
Terug naar het begin, het geheugen van mensen is onbetrouwbaar. Als je een probleem wilt oplossen, moet je samen eerlijk alle situaties onderzoeken. Sommige mensen houden van een strijd in de publieke opinie, tenzij je echt zeker weet dat wat je denkt de waarheid is of je bewijs hebt, anders zal het de situatie alleen maar verergeren, wat voor niemand goed is, en het zal ook veel energie kosten van degenen die je helpen.
Problemen oplossen, als je bent bestolen, welke problemen moeten dan opgelost worden? Hoofdzakelijk deze twee:
1. Terugvorderen. De algemene hoop is klein, de meeste slachtoffers moeten aangifte doen en de wetshandhaving moet betrokken worden, anders kun je vergeten informatie te krijgen over verdachte wallet-adressen van wallets, platforms, enz. Denk je echt dat je dat zomaar kunt krijgen?
2. Onderzoek naar de oorzaak van de diefstal, om herhaalde schade te voorkomen. Terugvorderen is moeilijk, maar is het onderzoek dan gemakkelijk? Sommige dingen zijn moeilijk, sommige zijn gemakkelijk, maar in vergelijking, als je bereid bent om te investeren in het onderzoek, dan is er meestal een oplossing… We hebben hier eigenlijk veel energie in gestoken, de kosten zijn hoog, de mensen die kunnen betalen zijn meestal sterke projectpartners. Voor de gemakkelijke gevallen, die zijn zo gepiept, en kosten meestal niets, we blijven gewoon met liefde werken…
Ik hoop dat mijn vrienden niet bestolen worden, maar als je echt per ongeluk in de problemen komt, zijn we hier altijd. Probleem 1 kan niet opgelost worden, maar we streven ernaar probleem 2 op te lossen.
Tot slot, we zijn eerst en vooral een commercieel bedrijf, onze commerciële capaciteiten zijn nog steeds voldoende om deze dingen te doen, laten we voorzichtig zijn… verbruik ons niet te veel.
78K
Boven
Positie
Favorieten