在安装前验证Google Chrome扩展程序

• 类别: 谷歌浏览器

尝试消除问题的工具

选择操作系统 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 选择一个投影程序（可选） - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

描述您的问题

得到答案

通过电子邮件发送我 在网站上展示

Google Chrome浏览器扩展程序可以扩展网络浏览器的功能，或者使浏览网络时的生活更加轻松。在这种情况下，公司可能会滥用它们来跟踪Internet上的用户，显示广告或将恶意代码下载到用户系统。

本文为您提供了在安装Chrome扩展程序之前对其进行验证的方法。在扩展程序安装到浏览器之前，这样做很重要，因为安装后可能已经太晚了。

虽然您可以为浏览器扩展设置测试环境，例如在沙盒中以及使用诸如Wireshark之​​类的网络流量监控器，但大多数用户可能并不太满意。

第0部分：您不应该信任的内容

Chrome网上应用店看起来像是满足您所有扩展程序需求的安全位置，但事实并非如此。 Google使用自动检查来扫描开发人员上载到商店的扩展程序。这些检查可以捕获某些但不是所有形式的侵犯隐私功能或完全恶意功能。

趋势科技发现 例如，2014年官方Web Store中的恶意浏览器扩展，并不是唯一一家这样做的公司。

扩展通过所有安全检查的常用方法是包括一个脚本，该脚本将加载恶意负载。

扩展程序提交到Chrome网上应用店后，本身不包含该扩展程序。因此，扩展程序通过了支票，并被添加到所有Chrome用户都可以下载的商店中。

如果您对一个讨厌的最新示例感兴趣，请查看 浏览器中的恶意软件 Maxime Kjear的文章。

该说明是由扩展程序的开发人员创建的，因此未经验证不值得信任。

用户评论可能会突出显示有问题的扩展名，但并非总是如此。因此，就这一点而言，未经验证也不会信任它们。

最后但并非最不重要的一点是，您不应盲目地信任建议，也不要提供安装扩展程序，因为它是某些东西所必需的或向您宣传的。

第1部分：说明

许多使用分析，点击跟踪，浏览历史记录跟踪和其他跟踪形式的扩展程序在扩展程序说明中都强调了这一事实。

您可能不会一眼就看到这件事，因为Google偏爱商店中的风格而非实体。 description字段很小，您经常需要滚动才能阅读全部内容。

查看热门 很棒的截图 例如扩展名。看起来合法吗？有很多好评，超过580,000用户。

如果您花时间浏览说明，您最终会发现以下段落：

使用Awesome Screenshot浏览器扩展程序需要授予其捕获匿名点击流数据的权限。

想要另一个例子吗？ Hover Zoom（过去拥有120万用户的扩展程序过去因跟踪集成而受到批评）怎么样？向下滚动即可找到..

悬停缩放要求扩展用户授予悬停缩放权限以收集浏览活动，以供内部使用并与第三方共享，所有活动均以匿名和汇总的方式用于研究目的

Flash Player +是另一个扩展，在其说明中着重说明了它记录数据并与第三方共享该数据。

为了持续支持和改进此软件，安装此软件的用户允许Fairshare出于商业和研究目的与第三方收集和共享有关它们的信息以及他们的Web使用活动。

查找这些扩展名的快速方法是搜索那些描述中使用的短语。例如，对选择退出的搜索会在搜索结果中显示许多信息（合法扩展名旁边）。许多人使用相同的描述，这意味着对“收集和共享有关他们的信息”的搜索将显示使用这种跟踪的扩展。

第2部分：直接信息

以下信息显示在Chrome网上应用店的扩展程序配置文件页面上：

创建/提供它的公司或个人。
总评分以及对其评分的用户数量。
用户总数。
最后更新日期。
版本。
这些信息为您提供了线索，但不足以判断扩展名。例如，许多商品可能被伪造或人为夸大。

Google无法提供指向公司或个人的所有扩展名的链接，并且没有获得验证的选项。

尽管您可以使用搜索来查找公司或个人的其他扩展名，但不能保证结果会列出所有扩展名。

第3部分：权限

通常无法确定扩展名是否合法，仅根据扩展名所请求的权限来跟踪您还是完全恶意。

有迹象表明。例如，如果扩展程序改善了Facebook的要求，即“读取和更改您访问的网站上的所有数据”，那么您可能会得出结论，最好不要以此为基础安装该扩展程序。由于它只能在Facebook上运行，因此无需授予它深远的权限即可查看和操纵所有站点上的数据。

但是，这只是一个指标，但是如果您使用常识，则可以避免安装有问题的扩展程序。通常，有一种替代方法可提供相似的功能，但没有广泛的权限请求。

您可能还需要检查所有已安装扩展的这些权限。加载chrome：// extensions /，然后点击每个扩展程序下方的详细信息链接。这会再次在浏览器中显示该扩展名的所有权限请求。

第4部分：隐私政策

前提是该扩展程序链接到“隐私策略”页面，您可能会在其中找到显示是否跟踪用户的信息。对于完全恶意的扩展，这显然不会起作用。

例如，如果您查看扩展名（如Hover Zoom）链接的Fairshare隐私政策，则会发现以下内容：

公司可能使用浏览器Cookie，Web和DOM存储数据，Adobe Flash Cookie，像素，信标以及其他跟踪和数据收集技术，其中可能包括匿名唯一标识符。

这些技术可用于收集和存储有关您对服务的使用的信息，包括但不限于网页，已访问的功能和内容，已运行的搜索查询，引荐URL信息，已单击的链接以及广告看到。

此数据用于商业目的，例如提供更相关的广告和内容以及市场研究

第5部分：源代码

检查源代码可能是找出扩展程序正在跟踪您还是恶意程序的最佳选择。

这可能听起来并不像技术上那样，通常可以通过基本的HTML和JavaScript技能来确定。

您需要的第一件事是扩展，使您无需安装扩展即可获取扩展的源代码。 Chrome扩展程序源查看器 是Chrome的开源扩展程序，可以帮助您实现这一目标。

替代方法是在沙盒环境中运行Chrome，在其中安装扩展程序以访问其文件。

如果您使用扩展程序源查看器，则可以单击Chrome的网上应用店地址栏中的crx图标，以zip文件的形式下载扩展程序，或立即在浏览器中查看其源代码。

您可能会立即忽略所有.css和图像文件。您应该仔细查看的文件通常具有.js或.json扩展名。

您可以先检查manifest.json文件，然后检查content_security_policy值以查看那里的域列表，但这通常是不够的。

有些扩展名使用明显的名称来跟踪文件（例如广告），因此您可能要从那里开始。

您可能无法判断是否不了解JavaScript，但是事实并非如此。

现在轮到你 ：您是否运行Chrome扩展程序？您在安装之前是否已对它们进行了验证？