Popularne tematy
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Cos(余弦)😶🌫️
Podziwiam tych ludzi: zainstalowali mnóstwo chaotycznych rozszerzeń w przeglądarkach, aby wyglądać na profesjonalnych i zajętych, nie zdając sobie sprawy z różnych ryzyk związanych z wysokimi uprawnieniami rozszerzeń…🤦♂️
14 mar 2025
Ostatnio wielu przyjaciół martwi się o bezpieczeństwo niektórych rozszerzeń przeglądarki, zwłaszcza o ryzyko związane z nadmiernymi uprawnieniami. Ciekawe jest to, że wiele osób niedocenia ryzyka, jakie niosą ze sobą złośliwe rozszerzenia, a także wiele osób przesadza z tym ryzykiem…
Już dawno pisałem o rozszerzeniach przeglądarki (jedno z nich jest open source w moim repozytorium GitHub, dotyczyło czarnych ciasteczek, już wygasło), a także przeprowadzałem audyty bezpieczeństwa niektórych rozszerzeń portfeli, więc można powiedzieć, że jestem jedną z osób, które się na tym znają.
Aby rozszerzenie mogło działać w złośliwy sposób, na przykład kradnąc ciasteczka z docelowej strony, prywatne dane z localStorage (takie jak informacje o uprawnieniach konta, informacje o kluczach prywatnych), modyfikując DOM, przejmując żądania, uzyskując dostęp do zawartości schowka itd., wystarczy skonfigurować odpowiednie uprawnienia w pliku manifest.json. Jeśli użytkownik nie zwróci uwagi na żądania uprawnień rozszerzenia, może mieć kłopoty.
Jednak aby rozszerzenie mogło działać w złośliwy sposób, trudno jest bezpośrednio zaatakować inne rozszerzenia, takie jak znane rozszerzenia portfeli… ponieważ są one izolowane w piaskownicy… na przykład kradzież informacji o kluczach prywatnych/mnemotechnicznych przechowywanych w rozszerzeniu portfela jest mało prawdopodobna, chyba że pojawi się głupi błąd, który zostanie wykorzystany przez złośliwe oprogramowanie.
Jeśli obawiasz się ryzyka związanego z uprawnieniami danego rozszerzenia, ocena tego ryzyka jest w rzeczywistości bardzo prosta. Po zainstalowaniu rozszerzenia możesz najpierw go nie używać, sprawdzić ID rozszerzenia, wyszukać lokalną ścieżkę na komputerze, znaleźć plik manifest.json w katalogu głównym rozszerzenia i po prostu wrzucić zawartość pliku do AI w celu analizy ryzyka uprawnień. Ten krok można wykonać, a jeśli nie wiesz jak, możesz po prostu zapytać AI, co jest bardzo wygodne… na przykład DeepSeek/GPT/Grok/Claude itp.
Jeśli masz myślenie izolacyjne, możesz rozważyć włączenie osobnego profilu Chrome dla nieznanych rozszerzeń, przynajmniej złośliwe działania będą pod kontrolą. Ponadto, jeśli rozszerzenie nie jest już potrzebne, można je wyłączyć w chrome://extensions/, większość rozszerzeń nie musi być włączona przez cały czas.
Piszę to, aby zachęcić wszystkich do lepszego korzystania z AI (kilka lat temu chodziło o lepsze korzystanie z wyszukiwarek), AI radzi sobie z tymi podstawowymi problemami bezpieczeństwa bez problemu…
52,13K
Ostatnio zajmowałem się kilkoma przypadkami kradzieży, w których poszkodowani użytkownicy od razu myśleli, że to przez użycie pewnego znanego portfela doszło do kradzieży (dwóch z nich było bardzo pewnych, że ich klucze prywatne były używane tylko w tym znanym portfelu), ale ostatecznie, pod moim kierunkiem, stopniowo przypomnieli sobie, że były też inne okoliczności…
Ja i mój zespół zaangażowaliśmy się w te przypadki, naprawdę działamy z pasją, czas i energia są znaczne, ale zarobienie pieniędzy jest bardzo trudne, prawie zawsze słyszymy: nie mamy pieniędzy, jeśli odzyskamy, damy ci nagrodę…🫣
Taka sytuacja jest w porządku, bo oznacza, że można to zrozumieć. Dopóki nie spotkamy się z niewdzięcznymi ludźmi, darmozjadami i krytykantami, to jest w porządku, te trzy grupy to wrogowie branży, krytykowałem je niezliczoną ilość razy.
Wracając do początku, ludzka pamięć jest zawodna, jeśli chcesz rozwiązać problem, musisz wspólnie i szczerze zbadać różne okoliczności. Niektórzy lubią prowadzić wojnę informacyjną, chyba że naprawdę masz pewność, że to, co uważasz, jest prawdą lub masz dowody, w przeciwnym razie sytuacja tylko się pogorszy, co nie jest dobre dla nikogo i znacznie wyczerpuje tych, którzy ci pomagają.
Rozwiązując problem, jakie kwestie należy rozwiązać w przypadku kradzieży? Głównie te dwie:
1. Odzyskanie. Ogólne nadzieje są nikłe, większość poszkodowanych musi zgłosić sprawę na policję, aby organy ścigania mogły się zaangażować, w przeciwnym razie, jeśli chcesz uzyskać informacje o podejrzanych adresach portfeli, to się nie uda, myślisz, że możesz po prostu poprosić?
2. Zbadanie przyczyny kradzieży, aby uniknąć wtórnych szkód. Odzyskanie jest trudne, ale czy badanie jest łatwe? Niektóre rzeczy są trudne, inne łatwe, ale w porównaniu, jeśli tylko jesteś gotów zainwestować, większość z nich można rozwiązać… Właściwie skupiliśmy na tym sporo energii, opłaty są wysokie, a ci, którzy mogą zapłacić, to głównie silne projekty. Łatwe sprawy, załatwiamy szybko, zasadniczo nie pobieramy opłat, kontynuujemy działanie z pasją…
Mam nadzieję, że moi przyjaciele nie padną ofiarą kradzieży, ale jeśli naprawdę przypadkowo wpadliście w pułapkę, zawsze jesteśmy tutaj. Jeśli problem 1 nie może być rozwiązany, staramy się rozwiązać problem 2.
Na koniec, przede wszystkim jesteśmy firmą komercyjną, nasze umiejętności biznesowe wystarczają, abyśmy mogli robić te rzeczy, idźmy dalej i doceniajmy to… nie wyczerpujcie nas za bardzo.
77,43K
Najlepsze
Ranking
Ulubione