Недавно многие друзья интересовались, есть ли у некоторых расширений браузера риски безопасности, особенно риски, связанные с чрезмерными правами. Интересно, что многие недооценили риски, связанные с вредоносными расширениями, а также многие преувеличили эти риски… Я давно писал расширения для браузера (одно из них открыто в моем репозитории на GitHub, оно черное для Cookies, уже устарело), а также проводил аудит безопасности некоторых расширений для кошельков, так что я считаю себя достаточно осведомленным в этой области. Чтобы расширение могло причинить вред, например, украсть Cookies целевой страницы, личные данные из localStorage (такие как информация о правах доступа, приватные ключи), модифицировать DOM, перехватывать запросы, получать содержимое буфера обмена и так далее. Все это можно настроить в manifest.json. Если пользователь не обращает внимания на запрашиваемые права расширения, это может стать проблемой. Но чтобы расширение могло причинить вред, например, другим известным расширениям для кошельков, это не так просто… потому что существует изоляция песочницы… например, украсть информацию о приватных ключах/фразах восстановления, хранящуюся в расширении для кошелька, практически невозможно, если только не появится глупая уязвимость, которая будет злоупотреблена. Если вы беспокоитесь о рисках прав какого-либо расширения, на самом деле очень легко оценить эти риски. После установки расширения можно сначала не использовать его, посмотреть ID расширения, найти локальный путь на компьютере, найти файл manifest.json в корневом каталоге расширения и просто передать содержимое файла AI для интерпретации рисков прав. Этот шаг несложен, можно просто спросить AI, это тоже удобно… например, DeepSeek/GPT/Grok/Claude и т.д. Если у вас есть изолированное мышление, вы можете рассмотреть возможность активации отдельного профиля Chrome для незнакомых расширений, по крайней мере, это сделает вредоносные действия более контролируемыми. Кроме того, расширения можно отключать в chrome://extensions/ после использования, и большинству расширений не нужно быть включенными постоянно. Я пишу это, чтобы побудить всех лучше использовать AI (несколько лет назад это было умение использовать поисковые системы), AI справляется с этими основными вопросами безопасности без проблем…