PANews 3月15日訊息,慢霧餘弦在X平台發文提醒社區瀏覽器擴展安全問題,他表示一個擴展要作惡,比如偷目標頁的Cookies、localStorage裡的隱私(如帳號權限資訊、私鑰資訊),DOM篡改,請求劫持,剪切板內容獲取等等,在manifest.json做相關配置即可。用戶如果沒注意擴展的權限申請就麻煩了,但一個擴展要作惡,想直接搞其他擴展,比如知名錢包擴展,那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的。
如果擔心某擴充的權限風險,要判斷這種風險其實很容易,安裝擴充功能後可以先不使用,看下擴充ID,搜尋到電腦本機路徑,找到擴充根目錄下的manifest.json文件,把檔案內容直接丟給AI做權限風險解讀即可。如果有隔離思維,可以考慮給陌生擴充單獨啟用Chrome Profile,至少作惡可控,絕大多數擴充沒必要一直開啟。
