Ostatnio wielu przyjaciół martwi się o bezpieczeństwo niektórych rozszerzeń przeglądarki, zwłaszcza o ryzyko związane z nadmiernymi uprawnieniami. Ciekawe jest to, że wiele osób niedocenia ryzyka, jakie niosą ze sobą złośliwe rozszerzenia, a także wiele osób przesadza z tym ryzykiem… Już dawno pisałem o rozszerzeniach przeglądarki (jedno z nich jest open source w moim repozytorium GitHub, dotyczyło czarnych ciasteczek, już wygasło), a także przeprowadzałem audyty bezpieczeństwa niektórych rozszerzeń portfeli, więc można powiedzieć, że jestem jedną z osób, które się na tym znają. Aby rozszerzenie mogło działać w złośliwy sposób, na przykład kradnąc ciasteczka z docelowej strony, prywatne dane z localStorage (takie jak informacje o uprawnieniach konta, informacje o kluczach prywatnych), modyfikując DOM, przejmując żądania, uzyskując dostęp do zawartości schowka itd., wystarczy skonfigurować odpowiednie uprawnienia w pliku manifest.json. Jeśli użytkownik nie zwróci uwagi na żądania uprawnień rozszerzenia, może mieć kłopoty. Jednak aby rozszerzenie mogło działać w złośliwy sposób, trudno jest bezpośrednio zaatakować inne rozszerzenia, takie jak znane rozszerzenia portfeli… ponieważ są one izolowane w piaskownicy… na przykład kradzież informacji o kluczach prywatnych/mnemotechnicznych przechowywanych w rozszerzeniu portfela jest mało prawdopodobna, chyba że pojawi się głupi błąd, który zostanie wykorzystany przez złośliwe oprogramowanie. Jeśli obawiasz się ryzyka związanego z uprawnieniami danego rozszerzenia, ocena tego ryzyka jest w rzeczywistości bardzo prosta. Po zainstalowaniu rozszerzenia możesz najpierw go nie używać, sprawdzić ID rozszerzenia, wyszukać lokalną ścieżkę na komputerze, znaleźć plik manifest.json w katalogu głównym rozszerzenia i po prostu wrzucić zawartość pliku do AI w celu analizy ryzyka uprawnień. Ten krok można wykonać, a jeśli nie wiesz jak, możesz po prostu zapytać AI, co jest bardzo wygodne… na przykład DeepSeek/GPT/Grok/Claude itp. Jeśli masz myślenie izolacyjne, możesz rozważyć włączenie osobnego profilu Chrome dla nieznanych rozszerzeń, przynajmniej złośliwe działania będą pod kontrolą. Ponadto, jeśli rozszerzenie nie jest już potrzebne, można je wyłączyć w chrome://extensions/, większość rozszerzeń nie musi być włączona przez cały czas. Piszę to, aby zachęcić wszystkich do lepszego korzystania z AI (kilka lat temu chodziło o lepsze korzystanie z wyszukiwarek), AI radzi sobie z tymi podstawowymi problemami bezpieczeństwa bez problemu…