根据最近DataSpii浏览器扩展泄漏,在哪里数以百万计的用户跟踪的数据和销售通过看似良性的浏览器扩展,它值得运行检查其他Chrome插件你可能已经安装或正在考虑安装嗅出任何糟糕的演员。
为此,我们将使用一个轻量级的软件Chrome扩展源代码查看器可以发现可疑的行为,像的能力远程代码执行。
的步骤之前,我们应该指出,这个工具可能不抓住每一个危险的浏览器扩展。DataSpii插件得到了广泛的数据跟踪由谷歌和隐藏他们的恶意欺骗活动,和其他可能会。同时,工具可以识别扩展完全好了。这只是一项安全toolbag;一些尽职调查仍将需要单独好的扩展和坏的扩展,但至少你会有个更好的主意来查找。
开始使用Chrome扩展源代码查看器
- 安装Chrome扩展源代码查看器附加组件
- 打开每个扩展你希望Chrome Web Store页面检查。
- 在Chrome Web Store延期页,点击Chrome扩展源地址栏旁边的观众“CRX”图标。
- 点击“查看源代码”。
- 等待新页面完全加载,然后找到并打开”清单。json文件。
- 按F3或“CTRL + F”打开页面搜索,寻找“unsafe-eval。”
这是什么意思?“unsafe-eval”内容安全政策表明一个特定的扩展可以远程执行代码。可以安全的风险取决于扩展实际上是做一个足够大的,要注意,Mozilla不允许Firefox扩展在它的目录设置是这样的:
“…扩展与‘unsafe-eval’,‘unsafe-inline’,远程脚本,blob或远程数据源在CSP是不允许上市扩展addons.mozilla.org由于重大安全问题。”
再次,“unsafe-eval”并不necessarily是一个扩展是恶意操作。然而,它确实表明,你可能想给,扩展更多的审查。搜索网络是否存在问题的报告。如果你想降低浏览器扩展你使用一个伟大的数量安全练习可以帮助你识别潜在的扩展你真的不用那么多,可以安全地删除。