Установить расширения GNOME через веб-сайт: уязвимость безопасности?

9

Я нашел расширение GNOME через поиск в Google (используя Chromium), и был очень удивлен, что я мог просто переключить переключатель вкл / выкл, чтобы веб-сайт установил полное расширение GNOME на мой компьютер без каких-либо других ручных действий. (проверено, это работает и с Firefox.) Конечно, появляется диалоговое окно с просьбой подтвердить установку, но ...

  1. Хотя это очень удобно для простоты использования и удобства использования, разве в этом нет уязвимостей? Мне было бы интересно узнать, как именно эта функция работает, и стоит ли мне беспокоиться о каких-либо «бэкдорах», которые могут позволить хакерам легко устанавливать исполняемые файлы на мою машину.

  2. Проверяются ли расширения на сайте GNOME ? Есть ли способ определить, являются ли расширения безопасными или нет?

  3. Изменены ли браузеры Chromium и Firefox GNOME для включения этой функции? Есть ли какие-либо другие изменения в GNOME Chromium / Firefox, о которых должны знать пользователи?

ОБНОВЛЕНИЕ: Поняв, как это работает, теперь я считаю, что это действительно отличная функция, особенно для нетехнических пользователей, но меня это немного встревожило, когда я впервые столкнулся с ней.

gnome security gnome-shell gnome-shell-extension extension Суман
источник

Ответы:

3

Да и нет.

Сначала была закодирована ссылка, по которой вы щелкнули, чтобы установить расширение, в частности (я думаю) для GNOME 3.2 в качестве метода закапывания. Так что в этом смысле это «доверенный» сайт.

Во-вторых, расширения gnome - это пользовательские скрипты, которые хранятся только для вашего пользователя. У них нет доступа к любой информации, к которой у пользователя нет доступа. Так, например, не может быть расширений оболочки для записи файлов в /.

В-третьих, браузеры не были изменены, но оболочка гнома была.

По сути, метод установки не менее безопасен, чем предоставление вам файла tar.gz и ручная распаковка его в вашем домашнем каталоге. Скорее всего, индивидуальные расширения безопасны - это решение, которое вам нужно принимать в каждом конкретном случае. Однако gnome.org является законным сайтом, как и субдомен расширений.

coteyr
источник
Понял, большое спасибо за подробное объяснение. Но чтобы разрешить автоматическую установку, не нужно ли изменять браузер, чтобы разрешить это? Я сделал еще немного чтения, похоже, это делается через плагин Firefox / Chromium?
Суман
Да, плагин "Gnome Shell Integration" в Firefox и Chrome.
Котейр