Вопрос или проблема
Я понимаю, что расширение Firefox не может читать информацию, хранящуюся в диспетчере паролей, но, с соответствующими разрешениями (см. Firefox extensions: permissions that let grabbing username/password), оно может читать имя пользователя/пароль для сайта, когда они используются на веб-странице, будь то введенные вручную или извлеченные из диспетчера паролей.
Я представляю себе возможный метод, чтобы избежать риска прочтения расширением такой информации.
Я бы: 1) отключил расширение, 2) открыл вкладку для сайта, 3) ввел информацию, 4) начал использование сайта (но не использую снова имя пользователя/пароль), 5) включил расширение.
Является ли эта процедура на 100% безопасной? Существуют ли какие-либо механизмы, позволяющие расширению считывать имя пользователя/пароль, пока я нахожусь на сайте?
P.S.: Нет необходимости уточнять, что следует устанавливать только доверенные расширения. Вопрос относится только к техническому аспекту.
Отключение расширений Firefox действительно их отключает
В Firefox код отключенного расширения не выполняется. Точка. Вы можете дать расширению все разрешения на свете, но поскольку оно не выполняется, эти разрешения не имеют значения.
Несмотря на несколько комментариев, оставленных к изначальному вопросу, это не имеет ничего общего с доверием к расширению.
Чтобы отключить расширение в Firefox, просто зайдите в внутренний Менеджер дополнений Firefox, который доступен по URL about:addons. На этой странице каждое установленное расширение отображается с переключателем для его включения/отключения.
Firefox предоставляет весь код расширений, который он выполняет, пользователю через его Инструменты разработчика и Консоль браузера. Используя эти инструменты, вы можете ясно видеть, что код отключенного расширения не используется.
Если вам нравится другой способ проверки, вы можете перейти на этот внутренний URL в Firefox:
about:debugging#/runtime/this-firefox
С этой внутренней страницы вы можете просматривать весь код расширений, который выполняется. Как вы можете заметить, отключенные расширения даже не отображаются.
Предостережение
Обратите внимание, что отключение расширения через страницу Менеджера дополнений Firefox (about:addons) очень отличается от использования функции «отключить меня» самого расширения. Некоторые браузерные расширения включают в себя собственный удобный переключатель включения/выключения, доступный пользователю после того, как пользователь разрешил эти расширения через Менеджер дополнений Firefox. Этот переключатель требует немного кода, и, следовательно, расширение все еще выполняется, даже если большинство его функций самостоятельно отключены. В это время, технически, расширение все еще может выполнять любую из функций, разрешенных его разрешениями. Пользователь может увидеть, что это именно такая ситуация, заметив, что расширение четко помечено как Включено в Менеджере дополнений Firefox.
Подведем итог: чтобы убедиться, что код расширения не выполняется, просто отключите его через Менеджер дополнений Firefox.
Конкретный сценарий
Задавшийся вопросом пользователь упоминает конкретный сценарий и спрашивает, безопасен ли он на 100%:
Я бы: 1) отключил расширение, 2) открыл вкладку для сайта, 3) ввел информацию, 4) начал использование сайта (но не использую снова имя пользователя/пароль), 5) включил расширение.
Прежде всего, как только вы включаете компьютерное устройство, подключенное к интернету, ничто не является на 100% безопасным. Учитывая этот факт, описанная вами ситуация менее чем идеальна по меньшей мере по нескольким причинам:
-
Если вы дали расширению разрешение на доступ к “данным для всех сайтов”, расширение может видеть содержимое страницы, включая ее код. Часто страницы отображают имена пользователей на них; следовательно, расширение может без труда увидеть ваше имя пользователя. Но что насчет вашего пароля? Часто получить его легче, чем вы думаете. Многие веб-сайты создаются командами с, как бы это сказать помягче, менее чем надлежащими навыками. Не могу сказать, сколько раз я видел незашифрованные (или просто закодированные) имена пользователей и пароли, хранящиеся в самих веб-страницах. Эти пароли не видны пользователю, но расширение с разрешением на “данные для всех сайтов” может видеть эти пароли с легкостью.
-
Даже без разрешения на “данные для всех сайтов”, другие разрешения могут потенциально дать плохому расширению права, необходимые для определения вашего имени пользователя и/или пароля. Снова, это утечка из-за небрежного программирования командами разработчиков сайтов. Многие сайты передают имена пользователей/пароли как часть запросов GET или POST. Опять же, плохие практики безопасности этих команд приводят к тому, что они передают эти личные данные незашифрованными или просто закодированными. Это легкая добыча для любого, кто следит за трафиком или для расширения.
Счастливая реальность
Счастливая реальность заключается в том, что почти все браузерные расширения пишутся хорошими и честными программистами, которые увлечены кодированием. Они никогда бы не вставили что-либо зловредное в свои расширения. Разработчики расширений обычно очень гордятся своими уникальными творениями.
Если вы хотите быть настолько безопасными, насколько это возможно, вам нужно будет научиться кодировать и просматривать исходный код каждого расширения, которое вы используете. Большинство расширений не содержат много строк кода, поэтому вы можете просмотреть весь код за разумное количество времени. Когда выходят новые версии, вам нужно только просмотреть измененные строки кода, прежде чем решать, хотите ли вы использовать расширение. Все расширения по замыслу являются открытым исходным кодом. Если вы сталкиваетесь с каким-либо запутанным кодом, бегите, не идите, прочь.
Если вы не умеете программировать и не хотите учиться, то ваш лучший выбор — придерживаться расширений, проверенных Firefox. Каждое из этих тщательно отобранных расширений тщательно проверяется с целью соответствия самым высоким стандартам безопасности. Это замечательная программа, предлагаемая Mozilla и хорошая причина использовать Firefox.
В качестве второстепенного шага, вы можете прочитать эту страницу с советами по безопасности расширений, а затем выбрать расширения, которые соответствуют этим критериям:
- имеют большое количество пользователей
- существуют не менее года
- имеют хорошую оценку и отзывы на addons.mozilla.org (AMO)
- предоставляют активное репозиторий исходного кода, где вы можете связаться с автором
В целом, я рекомендую выбрать только несколько расширений, которые вы действительно находите полезными. Затем просмотрите исходный код построчно. Вы точно узнаете, что именно запрограммировано делать эти расширения.
.
Ответ или решение
Как предотвратить утечки логинов и паролей через расширения в Firefox
Безопасность данных в интернете — это приоритет для каждого пользователя, и особое внимание следует уделять защите чувствительной информации, такой как логины и пароли. В браузере Mozilla Firefox расширения могут получать доступ к вводимым вами данным при выполнении определенных условий. Поэтому важным вопросом становится минимизация риска утечек.
Потенциальные риски и решение
Расширения в Firefox, при наличии соответствующих разрешений, способны читать данные, которые вы вводите вручную или которые автоматически получает менеджер паролей. Несмотря на то, что отключенные расширения не имеют доступа к вашим данным, настоящую безопасность обеспечивается только проверенным и надежным программным обеспечением.
Вы предложили методику, которая содержит следующие шаги: отключение расширения, ввод данных на сайте, начало работы с сайтом и последующее включение расширения. Это, на первый взгляд, звучит как разумный подход, но данная процедура не всегда гарантирует полную безопасность. Давайте разберем это подробнее:
-
Отключение расширения:
- Отключенное через меню «Дополнения» расширение действительно не выполняет ни одну строчку кода, что подтверждает его безопасность в данный момент.
-
Открытие вкладки и ввод информации:
- Пока расширение отключено, оно не может взаимодействовать с данными на странице.
-
Активное использование сайта:
- Как только вы активируете расширение после входа, оно может получать доступ к таким элементам страницы, как ваше имя пользователя, если эти данные где-то отображаются.
Важные нюансы
Технически, даже когда расширение отключено, другие факторы, такие как незащищенные HTTP-запросы или слабая разработка сайта, могут стать причиной утечки данных.
-
Доступные на странице данные:
- Заголовки страниц часто содержат ваши имена пользователей. Некоторые сайты не защищают такие данные должным образом.
-
Необходимость доверенных расширений:
- Используйте только проверенные и необходимые расширения. Это минимизирует потенциальные угрозы безопасности.
Лучшие практики безопасности
- Используйте рекомендованные расширения Firefox: Mozilla предлагет списки расширений с тщательной проверкой, чтобы обеспечить максимальную безопасность пользователей.
- Ручная проверка кода: При возможности, самостоятельно изучайте код используемых расширений, чтобы удостовериться в их безопасности.
- Ограничение количества расширений: Минимизируйте количество установленных расширений, чтобы сократить потенциальные уязвимости.
Заключение
Хотя отключение расширения является надежным способом предотвращения выполнения его кода, это не обеспечивает стопроцентной безопасности из-за возможных других уязвимостей с данной веб-страницей. Безопасность в интернете — это комплексный процесс, требующий надежных инструментов и внимательности со стороны пользователя.
Следуя приведенным рекомендациям и обеспечив сознательный подход к установке расширений, вы можете значительно снизить риски утечки ваших личных данных.