Подскажите может вредоносное расширение украсть мой пароль из оперативной памяти? Может получить список установленных у меня расширений и скопировать файл базы данных с диска? Если да то могут ли в этом как то помочь «Изоляция ядра» и «Целостность памяти» винды?

BlueStork
Все могут украсть.

Не поможет.
Технология по факту не рабочая в этом направлении.
Делалась тупо для детекта железа на котором установлена ОС - та же телеметрия.

BlueStork
1. Если вы пользуетесь современной системой и обновили ее до последних версий, то очень-очень маловероятно. Т.е. если у вас Windows 10, Windows 11, обновленная Ubuntu. То можете не волноваться на счет того что из памяти украдут.
2. С диска расширения ничего скопировать не могут, у них нет на это прав доступа, они могут только сохранять в папку Загрузка (Download), читать файлы расширения не могут даже из Загрузка (Download)

Единственная реальная угроза которую могут вызвать расширения - перехватывать логин и пароль в момент их ввода на сайт. И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения. То есть права должны быть в manifest.json такими: webRequest, webRequestBlocking
Это если перехват сложный, на уровне перехвата запросов к сайтам
Полный список прав можно посмотреть тут https://extensionworkshop.com/documenta … rmissions/

Еще расширение может перехватить пароль прямо во время ввода, тогда ему нужно минимум прав доступа, может даже вообще без них.

Понятно если вы кроме расширения установили в Windows еще и программу которую предлагало это расширение, то оно может вообще все сделать. Но я думаю такое вы заметили бы.

Можно про это поподробнее. Это она что к безопасности вообще не имеет отношение?

Это с учетом того что включена Изоляция ядра» и «Целостность памяти»? Просто я пользуюсь менеджером паролей раньше lastpass сейчас bitwarden и не хочу чтоб мой мастер пароль угнали.

Это файл с настройками manifest.json у каждого расширения? Где его посмотреть? В описание расширений такого конкретного нет. Вот допустим одни разрешения:

https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png
https://disk.yandex.ru/i/LM_hDLI5yjTKOA

Тут не возможно вставить изображение.

Это как то противоречит предыдущему -  И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения.

Это называется "буфер обмена". Может, если у расширения есть разрешение на Получение данных из буфера обмена.
Запросы на разрешения для расширений Firefox | Справка Firefox
Также некоторые редкие сайты могут хранить логин-пароль прямо в куках, а расширение с соответствующими разрешениями сможет их прочесть.
   

Угомоните свою параною, а если не получается, то никогда не пользуйтесь копированием-вставкой мастер паролей, только ручной ввод. Но повод для паранои все равно будет - ведь есть ужасные клавиатурные перехватчики.
   

Это about:addons > щелчок по расширению > вкладка "разрешения"
   

Как добавить картинку (скриншот) к своему сообщению на этом форуме

Не могу потому что там хранятся не только логины и пароли от сайтов, кредитные карты с cvc кодами, но и ключи от криптовалют. А дело такое получается что в bitwarden кроме мастер пароля и U2F usb ключа я еще переписывал код восстановления(не через буфер обмена) на бумажку, но код высвечивался на странице сайта а значит расширение могло его прочитать. Также я вводил на сайте bitwarden мастер пароль, а значит его тоже могло расширение перехватить. А имея код восстановления и мастер пароль можно получить доступ без U2F usb ключа. Например расширение Стартовая Яндекс имеет разрешение Доступ к вашим данным для всех веб-сайтов а там написано Расширение сможет считывать содержимое любой веб-страницы, которую вы открываете, а также данные, которые вы вводите на этих веб-страницах, такие как имена пользователей и пароли. То есть получается я еще должен доверять расширениям, не говоря уже о браузере. Может тогда вводить мастер пароль только открыв приватное окно и для всех расширений кроме bitwarden запретить работать в приватных окнах? А с доверием к браузеру уже ни чего не поделать?

Понял. А на странице https://support.mozilla.org/ru/kb/zaprosy-na-razresheniya-dlya-rasshirenij-firefox?as=u&utm_source=inproduct смотреть что расширение может.

Это я уже давно видел. Ну вот к примеру адрес картинки https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png вставляю его в  и вот что получается

BlueStork
Создайте отдельный профиль для таких дел, без расширений.
Менеджер профилей - создание, удаление и переключение профилей Firefox | Справка Firefox
   

Яндекс диск это облако, а не хостинг картинок.

С менеджер профилей я тут как раз недавно познакомился. Так получилось, а с приватном окном не получилось даже ключ U2F почему то не сработал. Вообще всем спасибо. Правда вот как быть с доверием к браузеру вопросы остались