Installa le estensioni GNOME tramite il sito Web: vulnerabilità della sicurezza?

9

Ho trovato un'estensione GNOME tramite una ricerca su Google (usando Chromium) e sono rimasto molto sorpreso dal fatto che potrei semplicemente attivare l'interruttore On / Off per fare in modo che il sito web installi un'estensione GNOME completa sul mio computer senza nessun altro passaggio manuale. (testato, funziona anche con Firefox.) Concesso, apre una finestra di dialogo che mi chiede di confermare l'installazione, ma ...

  1. Anche se questo è ottimo per facilità d'uso e usabilità, non ci sono vulnerabilità di sicurezza con questo? Sarei interessato a sapere esattamente come funziona questa funzione e se dovrei essere preoccupato per eventuali "backdoor" che questo potrebbe consentire agli hacker di installare facilmente eseguibili sulla mia macchina.

  2. Le estensioni sul sito GNOME sono controllate? C'è un modo per dire se le estensioni sono sicure o no?

  3. I browser Chromium e Firefox sono modificati da GNOME per consentire questa funzione? Ci sono altre modifiche personalizzate a GNOME Chromium / Firefox che gli utenti dovrebbero conoscere?

AGGIORNAMENTO: Avendo capito come funziona, ora credo che questa sia una funzionalità davvero eccezionale soprattutto per gli utenti non tecnici, ma mi ha dato un po 'di allarme quando l'ho incontrata per la prima volta.

gnome  security  gnome-shell  gnome-shell-extension  extension 
Suman
fonte

Risposte:

3

Sì e no.

Innanzitutto è stato codificato il collegamento su cui si è fatto clic per installare un'estensione, in particolare (penso) a GNOME 3.2 come metodo di instillazione. Quindi in questo senso è un sito "affidabile".

In secondo luogo, le estensioni di gnome sono script utente, memorizzati solo per il tuo utente. Non hanno accesso a nessuna informazione a cui l'utente non ha accesso. Quindi ad esempio non ci possono essere estensioni della shell per scrivere file in /.

Terzo, i Browser non sono stati modificati, ma lo è stata la shell di gnome.

Fondamentalmente il metodo di installazione non è meno sicuro quindi ti fornisce un file tar.gz e ti dice di estrarlo manualmente nella tua home directory. Piuttosto o meno le singole estensioni sono sicure è una decisione che è necessario prendere caso per caso. Tuttavia gnome.org è un sito legittimo, così come il sottodominio delle estensioni.

coteyr
fonte
Capito, grazie mille per la spiegazione dettagliata. Ma per consentire l'installazione automatizzata, il browser non dovrebbe essere modificato per consentirlo? Ho fatto qualche lettura in più, sembra che questo avvenga tramite un plug-in Firefox / Chromium?
Suman,
Sì Plugin "Gnome Shell Integration" in Firefox e Chrome.
coteyr,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.