জনপ্রিয় ক্রোম এক্সটেনশানগুলি কত বড় ঝুঁকিপূর্ণ?

20

আমি ক্রোমিয়ামে স্যুইচ করতে চলেছি এবং আমি বেশ কয়েকটি এক্সটেনশান ইনস্টল করেছি। প্রতিবার যখন আমি কোনও এক্সটেনশান ইনস্টল করেছি তখন আমাকে জানানো হয়েছিল যে কোনও ডেটাতে এক্সটেনশানটি অ্যাক্সেস করেছে, যেমন:

এখানে চিত্র বর্ণনা লিখুন

আমি বুঝতে পারি যে এক্সটেনশনের কাজ করার জন্য সেই ডেটা অ্যাক্সেস করা জরুরি, তবুও আমি কিছুটা চিন্তিত যে এই ধরনের এক্সটেনশনটি একদিন আমার সমস্ত ব্রাউজিং ডেটা আপডেট করার এবং ("ফোন হোম") চুরি করার সিদ্ধান্ত নিতে পারে।

ভীতিজনক বার্তার আরেকটি উদাহরণ (ছদ্মবেশী উইন্ডোগুলির জন্য এক্সটেনশানগুলি সক্ষম করার সময়):

সতর্কতা: ক্রোমিয়াম আপনার ব্রাউজিং ইতিহাস রেকর্ডিং থেকে এক্সটেনশনগুলিকে আটকাতে পারে না। ছদ্মবেশী মোডে এই এক্সটেনশানটি অক্ষম করতে, এই বিকল্পটি নির্বাচন করুন lect

জনপ্রিয় ক্রোম এক্সটেনশনগুলি ব্যবহার করার সময় কি এটিই সম্ভাব্য হুমকি? আপনি ব্রাউজারে যুক্ত প্রতিটি নতুন ফাংশনের জন্য অন্য একটি দলের উপর নির্ভর করা কিছুটা ভীতিজনক।

security  google-chrome-extensions 
htorque
সূত্র
: স্ট্যাক ওভারফ্লো ওপর সংশ্লিষ্ট প্রশ্ন stackoverflow.com/questions/249106/...
LeopardSkinPillBoxHat

উত্তর:

25

আপনি নিম্নলিখিতটি ভুলে যাচ্ছেন:

অ্যাড-অনটি ক্ষতিকারক কিছু করে এমনটি নজরে নেওয়ার সুযোগটি যত বেশি জনপ্রিয় এক্সটেনশনটি তত বেশি জনপ্রিয় nobody

এর বিপরীতে, আপনি যদি এমন কিছু এক্সটেনশান ইনস্টল করেন যা এর আগে অন্য কেউ ব্যবহার করে না, আপনি অ্যাডব্লক ইনস্টল করার চেয়ে বেশি ঝুঁকিপূর্ণ বলুন। এত লোকেরা এটি ব্যবহার করছে তা বিবেচনা করে, এটি বলা প্রায় নিরাপদ: কেউ অস্বাভাবিক ট্র্যাফিকের বিষয়টি লক্ষ্য করত noticed

প্রকৃতপক্ষে, সমস্ত এক্সটেনশানগুলি তাদের উত্স কোডটি প্রকাশ করে, তাই যে কেউ মূলত এগিয়ে যেতে পারে এবং সন্দেহজনক যে কোনও কিছু সন্ধান করতে পারে।

সতর্কতাগুলি ঠিক সেখানে রয়েছে তাই আপনি কোনও ক্ষতি করার জন্য ব্রাউজার বিক্রেতাদের দোষ দিতে পারবেন না, যদি আপনি এমন কিছু ইনস্টল করেন যা আপনার ডেটাতে দুর্বল হয়ে পড়ে। অ্যাড-অনগুলির পর্যালোচনাগুলি সর্বদা পড়ুন যা সেগুলি ইনস্টল করার আগে আপনাকে সন্দেহ করে।

আরও মনে রাখবেন, উদাহরণস্বরূপ গুগল জমাগুলি যাচাই করতে পারে:

গুগল পণ্য বা তাদের বিষয়বস্তু নিরীক্ষণ করার জন্য দায়বদ্ধ নয়, গুগল এই চুক্তি, গুগল ক্রোম ওয়েব স্টোর প্রোগ্রাম নীতিমালা এবং অন্য যে কোনও প্রযোজ্য শর্তাদি, বাধ্যবাধকতা, আইন মেনে চলার জন্য আপনার পণ্যগুলি এবং তাদের উত্স কোড পর্যালোচনা বা পরীক্ষা করতে পারে Google , বা বিধিবিধানগুলি এবং এ জাতীয় পর্যালোচনা পরিচালনার জন্য স্বয়ংক্রিয় পদ্ধতি ব্যবহার করতে পারে

কোনও এক্সটেনশন অপসারণ অবশ্যই বিকাশকারীদের কিছুটা সমস্যা তৈরি করতে পারে।

slhck
সূত্র
2
সুতরাং এক্সটেনশানগুলি আমার ডেটা সংগ্রহ এবং ফেরত পাঠাতে পারে তবে সোর্স কোডটি জনসাধারণের কাছে উপলভ্য হওয়ায় জনপ্রিয়গুলির সাথে এটির সম্ভাবনা কম।
htorque
1
@ হোর্তাক একটি এক্সটেনশান এটি করতে পারে, হ্যাঁ - তবে জিনিসগুলির প্রকৃতি দেওয়া থাকলে যদি আরও বেশি লোকেরা নজর রাখে তবে খারাপ কিছু হওয়ার সম্ভাবনা কম থাকে।
slhck
3
তাদের সার্ভারে ডেটা ফেরত পাঠানোর "বৈধ" কারণ থাকতে পারে। কোন ক্ষেত্রে যদি কেউ জানতে পারে যে তারা এটি করেছে তবে এটি বড় সংবাদ হওয়ার সম্ভাবনা নেই।
স্টেফানো প্যালাজো
1
@ স্টেফানো এটি অবশ্যই সঠিক। আরে, কিছু এক্সটেনশনগুলি এগুলি ছাড়াও কাজ করবে না।
slhck
1
হ্যাঁ, আরও বেশি চোখ ভাল হয়। দুর্ভাগ্যক্রমে, এর অর্থ এটিও হ'ল লোকেরা যত বেশি এটি ব্যবহার করবে, তত বেশি লোকেরা ধরে নেবে যে এটির পরীক্ষা করার বিষয়ে অন্য কেউ যত্ন নেবেন এবং নিজেরাই তা করবেন না, যার ফলশ্রুতিতে সুরক্ষিত স্ফীত এবং কৃত্রিম বোধ তৈরি হয়। :-(
Synetech
9

এটি করার চেষ্টা করা শক্ত ঝুঁকি-মূল্যায়ন। জনপ্রিয়তা দুটি জিনিস নিয়ে আসে:

  • আরও লোকেরা এটির উন্নতি করার চেষ্টা করছে (খারাপ কোড চিহ্নিত করছে)
  • আরও বেশি লোক এটি হ্যাক করার চেষ্টা করছে (এবং খারাপ কোডটি প্রবর্তন করে) বড় ব্যবহারকারীকে আক্রমণ করার জন্য attack

আসুন এই উদাহরণগুলির জন্য ধরে নেওয়া যাক আমরা গিথুব জাতীয় কিছুতে হোস্ট কোড সহ একটি ওপেন সোর্স প্রকল্পের কথা বলছি।

যদি কোনওটির বিকাশকারী থাকে তবে তা কেবলমাত্র একজন ব্যক্তি কোডটিতে চেক করছেন। যদি কেউ (বিকাশকারী নয়) কোডটিতে কোড যুক্ত করতে চান, তাদেরকে হয় ক্ষতিকারক প্যাচ যুক্ত করার জন্য বিকাশকারীকে বোকা বানাতে হবে (এটি ঘটে), অথবা সেই বিকাশকারীর প্রমাণীকরণকে লক্ষ্য করুন যাতে তারা কোডটি নিজেরাই যুক্ত করতে পারে (এটিও ঘটে)। এর মধ্যে যে কোনও একটির সম্ভাবনা বিকাশকারীদের দক্ষতা এবং তাদের সুরক্ষার উপর নির্ভর করে।

যদি 10 জন বিকাশকারী থাকে তবে 10 বার বহু আক্রমণকারী ভেক্টর রয়েছে। তবে 10 গুণ বেশি লোক যা এই কোডটিকে স্পট করতে পারে।

আমি নিশ্চিত যে কোনও প্রকল্পে এমন একটি পয়েন্ট রয়েছে যেখানে লোকেরা এর কোডটিতে নিয়মিত সুরক্ষা নিরীক্ষা চালিয়ে যাওয়ার জন্য যথেষ্ট গতি অর্জন করে। তবে এর আগে যে কোনও সময়, এটি দুলছে এবং চারিদিক।

tl; dr বাস্তবসম্মতভাবে কাজ করা খুব কঠিন আছে। অনেকগুলি মানব উপাদান রয়েছে। যদি এটি গুরুত্বপূর্ণ হয় তবে আপনি নিজেরাই কোডটি যাচাই করতে না পারলে বিশ্বাস করবেন না।

অলি
সূত্র
+1, এছাড়াও খুব সুন্দর ব্যাখ্যা।
slhck
2
ঠিক আছে, আমি ইতিমধ্যে শত শত কার্নেল হ্যাকারকে বিশ্বাস করি ... মাউস অঙ্গভঙ্গি সমর্থন মতো সাধারণ ব্রাউজার ফাংশনগুলির জন্য অতিরিক্ত তৃতীয় পক্ষগুলিতে 'বিনিয়োগ' বিশ্বাসের পক্ষে কেবল অদ্ভুত (কেন এই ধরণের এক্সটেনশানটি প্রথম স্থানে বাইরের বিশ্বের সাথে যোগাযোগ করার সম্ভাবনা পায়? ?)।
htorque
অলির দ্বিতীয় বিষয়টি ঠিক কেন লিনাক্স এবং ম্যাক ব্যবহারকারীদের তাদের প্ল্যাটফর্মগুলি উন্নত এবং উইন্ডোজ থেকে সুরক্ষিত করার জেদ ভুল is বেশিরভাগ হ্যাকার লিনাক্স বা ম্যাক হ্যাক করতে বিরক্ত করে না কারণ এরকম করার পক্ষে যথেষ্ট পুরষ্কার নেই। যদি সেখানে থাকে, তবে শোষণের সংখ্যাটি বিস্ফোরিত হবে (সম্ভবত উইন্ডোজ হিসাবে বেশি নয় , তবে এখনও ...) এক্সটেনশনগুলি সহ যে কোনও সফ্টওয়্যারগুলির ক্ষেত্রে এটি একই । এটি যত বেশি জনপ্রিয়, এটি হ্যাক করার জন্য যত বেশি উত্সাহ রয়েছে। (কেবল ফেসবুক / টুইটার / ইত্যাদি হ্যাকের ক্রমবর্ধমান সংখ্যা দেখুন
look
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.