Verifiera Google Chrome-tillägg innan du installerar dem
- Kategori: Google Chrome
Google Chrome-tillägg kan utöka webbläsarens funktionalitet eller göra livet lättare när du surfar på webben. Även om detta är fallet, kan de också missbrukas av företag för att spåra användare över Internet, visa reklam eller ladda ner skadlig kod till användarsystemet.
Den här artikeln ger dig möjligheter att verifiera Chrome-tillägg innan du installerar dem. Det är viktigt att göra det innan tillägget installeras i webbläsaren eftersom det redan kan vara för sent efter installationen.
Du kan ställa in en testmiljö för webbläsarutvidgningar, till exempel i en Sandbox och med en nätverkstrafikmonitor som Wireshark, men det kanske inte riktigt är något som de flesta användare känner sig bekväma med.
Del 0: Vad du inte ska lita på
Chrome Web Store kan se ut som en säker plats för alla dina tilläggsbehov, men det är det inte. Google använder automatiserade kontroller som skannar tillägg som utvecklare laddar upp till butiken. Dessa kontroller fångar vissa men inte alla former av integritetsinvasiva eller direkt-skadliga funktioner.
Trend Micro upptäckt till exempel skadliga webbläsarutvidgningar i den officiella webbutiken 2014, och det är inte det enda företaget som gjorde det.
En vanlig metod som används av tillägg för att klara alla säkerhetskontroller är att inkludera ett skript som laddar den skadliga nyttolasten.
Tillägget i sig innehåller inte det när det skickas till Chrome webbshop. Således passerar tillägget kontrollen och läggs till i butiken där alla Chrome-användare kan ladda ner den.
Om du är intresserad av ett otäckt senaste exempel, kolla in skadlig kod i webbläsaren artikel av Maxime Kjear.
Beskrivningen skapas av utvecklaren av tillägget och är därför inte att lita på utan verifiering.
Användarkommentarer kan lyfta fram problematiska tillägg, men det är inte alltid fallet. Därför är de inte tillförlitliga heller i detta avseende utan verifiering.
Sist men inte minst bör du inte lita på rekommendationer blint eller erbjuda att installera en tillägg eftersom det behövs för något eller annonseras till dig.
Del 1: Beskrivningen
Många tillägg som använder analys, klickspårning, spårning av din surfhistorik och andra spårningsformer belyser det i beskrivningen av tillägget.
Du kanske inte kommer att se den här första anblicken eftersom Google gynnar stil över substansen i butiken. Beskrivningsfältet är litet och du behöver ofta bläddra för att läsa allt.
Kolla in de populära Fantastisk skärmdump tillägg till exempel. Ser legitim rätt ut? Massor av positiva recensioner, mer än 580 000 användare.
Om du tar dig tid och bläddrar igenom beskrivningen, snubblar du så småningom följande avsnitt:
Användning av webbläsarförlängningen Awesome Screenshot kräver att det ges tillstånd att fånga anonymiserade klickströmdata.
Vill du ha ett annat exempel? Vad sägs om Hover Zoom, ett tillägg med mer än 1,2 miljoner användare som har kritiserats tidigare för att spåra integration? Bläddra ner så hittar du ..
Hover Zoom kräver att användare av förlängningen ger Hover Zoom-behörighet att samla in surfaktivitet som ska användas internt och delas med tredje parter allt för användning på anonym och aggregerad basis för forskningsändamål
Flash Player + är en annan förlängning som i beskrivningen framhäver att den registrerar data och delar denna information med tredje part.
För att kontinuerligt stödja och förbättra den här programvaran tillåter användare som installerar den Fairshare att samla in och dela information om dem och deras webbanvändningsaktivitet med tredje parter för affärs- och forskningsändamål.
Ett snabbt sätt att hitta dessa tillägg är att söka efter fraser som används i dessa beskrivningar. En sökning efter opt-out visar till exempel många av dem i sökresultaten (bredvid legitima tillägg). Många använder samma beskrivning vilket innebär att en sökning efter 'att samla in och dela information om dem' kommer att avslöja tillägg som använder denna typ av spårning till exempel.
Del 2: Direktinformation
Följande information visas på tilläggets profilsida i Chrome Web Store:
Företaget eller individen som skapade det / erbjuder det.
En sammanlagd betyg och antalet användare som betygsatt det.
Det totala antalet användare.
Det senast uppdaterade datumet.
Versionen.
Informationen ger ledtrådar men de räcker inte för att bedöma en förlängning. Många kan förfalskas eller blåsas upp konstgjort till exempel.
Google misslyckas med att tillhandahålla en länk till alla tillägg av ett företag eller enskilda, och det finns inget alternativ att få validering.
Du kan använda sökningen för att hitta andra tillägg av ett företag eller en individ, men det finns ingen garanti för att resultaten listar dem alla.
Del 3: Behörigheter
Det är vanligtvis inte möjligt att avgöra om en tillägg är legitim, spårar dig eller direkt skadlig baserat på behörigheter som den begär ensam.
Det finns dock indikatorer på det. Om till exempel en tillägg som förbättrar Facebook begär att 'läsa och ändra alla dina data på webbplatserna du besöker', kan du komma till slutsatsen att du bättre inte installerar tillägget baserat på det. Eftersom det bara ska fungera på Facebook finns det inget behov att ge det långtgående behörigheter att se och manipulera data på alla webbplatser.
Detta är dock bara en indikator men om du använder sunt förnuft kan du kanske undvika att installera problematiska tillägg. Vanligtvis finns det ett alternativ tillgängligt som erbjuder liknande funktioner men utan omfattande behörighetsbegäranden.
Du kanske också vill kontrollera dessa behörigheter för alla installerade tillägg. Ladda krom: // tillägg / och klicka på detaljlänken under varje tillägg. Detta visar alla tillståndsbegäranden för det tillägget igen som en popup i webbläsaren.
Del 4: Integritetspolicyn
Under förutsättning att tillägget länkar till en sida om sekretesspolicy, kan du hitta information i den som avslöjar om användare spåras av den eller inte. Det här fungerar inte omedvetet för direkt skadliga tillägg.
Om du till exempel tittar på Fairshare-sekretesspolicyn länkad från tillägg som Hover Zoom, hittar du följande avsnitt i den:
Företaget kan använda webbläsarkakor, webb- och DOM-lagringsdata, Adobe Flash-kakor, pixlar, fyrvärden och annan spårning och datainsamlingsteknologi, som kan innehålla en anonym unik identifierare.
Denna teknik kan användas för att samla in och lagra information om din användning av tjänsterna, inklusive utan begränsning, webbsidor, funktioner och innehåll som du har åtkomst till, sökfrågor du har kört, webbadress till referens, länkar du har klickat på och annonser du har sett.
Denna information används för affärsändamål såsom tillhandahållande av mer relevanta annonser och innehåll och marknadsundersökningar
Del 5: Källkoden
Att gå igenom källkoden kan vara det bästa alternativet att du måste ta reda på om ett tillägg spårar dig eller är skadligt.
Detta kanske inte är så tekniskt som det låter och det är ofta möjligt att bestämma det med rudimentära HTML- och JavaScript-färdigheter.
Det första du behöver är en anknytning som gör att du kan ta tag i källkoden för ett tillägg utan att installera det. Chrome-visningskällans visningskälla är en öppen källkodsförlängning för Chrome som hjälper dig med det.
Ett alternativ till det är att köra Chrome i en sandlådamiljö, installera tillägg i det för att få tillgång till deras filer.
Om du använder visning av källkod för tillägg kan du klicka på crx-ikonen i adressfältet i Chrome's Web Store för att ladda ner tillägget som en zip-fil eller visa källan direkt i webbläsaren.
Du kan ignorera alla .css- och bildfiler direkt. Filer som du bör titta närmare på har tillägget .js eller .json vanligtvis.
Du kan kontrollera manifest.json-filen först och kolla värdet content_security_policy för att se en lista med domäner där, men det räcker vanligtvis inte.
Vissa tillägg använder uppenbara namn för spårning av filer, till exempel annonser så att du kanske vill börja där.
Du kanske inte kan berätta om du inte känner till JavaScript men om så inte är fallet.
Nu du : Kör du Chrome-tillägg? Har du verifierat dem innan installationen?