Полезная информация

Многие проблемы быстрее решаются поиском по форуму и чтением FAQ, чем созданием новой темы и томительным ожиданием ответа.

№122-01-2023 20:21:54

BlueStork
Участник
 
Группа: Members
Зарегистрирован: 05-08-2009
Сообщений: 207
UA: Firefox 109.0

Вопрос по безопасности расширений

Подскажите может вредоносное расширение украсть мой пароль из оперативной памяти? Может получить список установленных у меня расширений и скопировать файл базы данных с диска? Если да то могут ли в этом как то помочь «Изоляция ядра» и «Целостность памяти» винды?

Отсутствует

 

№222-01-2023 22:07:38

ibb1386
Outpost'er
 
Группа: Members
Зарегистрирован: 30-10-2010
Сообщений: 1348
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

BlueStork
Все могут украсть.

BlueStork пишет

Если да то могут ли в этом как то помочь «Изоляция ядра» и «Целостность памяти» винды?

Не поможет.
Технология по факту не рабочая в этом направлении.
Делалась тупо для детекта железа на котором установлена ОС - та же телеметрия.

Отсутствует

 

№322-01-2023 23:41:17

extDev2000
Участник
 
Группа: Members
Зарегистрирован: 22-01-2023
Сообщений: 4
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

BlueStork
1. Если вы пользуетесь современной системой и обновили ее до последних версий, то очень-очень маловероятно. Т.е. если у вас Windows 10, Windows 11, обновленная Ubuntu. То можете не волноваться на счет того что из памяти украдут.
2. С диска расширения ничего скопировать не могут, у них нет на это прав доступа, они могут только сохранять в папку Загрузка (Download), читать файлы расширения не могут даже из Загрузка (Download)

Единственная реальная угроза которую могут вызвать расширения - перехватывать логин и пароль в момент их ввода на сайт. И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения. То есть права должны быть в manifest.json такими: webRequest, webRequestBlocking
Это если перехват сложный, на уровне перехвата запросов к сайтам
Полный список прав можно посмотреть тут https://extensionworkshop.com/documenta … rmissions/


Еще расширение может перехватить пароль прямо во время ввода, тогда ему нужно минимум прав доступа, может даже вообще без них.


Понятно если вы кроме расширения установили в Windows еще и программу которую предлагало это расширение, то оно может вообще все сделать. Но я думаю такое вы заметили бы.

Отредактировано extDev2000 (22-01-2023 23:44:41)

Отсутствует

 

№423-01-2023 18:18:15

BlueStork
Участник
 
Группа: Members
Зарегистрирован: 05-08-2009
Сообщений: 207
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

ibb1386 пишет

Технология по факту не рабочая в этом направлении.
Делалась тупо для детекта железа на котором установлена ОС - та же телеметрия.

Можно про это поподробнее. Это она что к безопасности вообще не имеет отношение?

extDev2000 пишет

1. Если вы пользуетесь современной системой и обновили ее до последних версий, то очень-очень маловероятно. Т.е. если у вас Windows 10, Windows 11, обновленная Ubuntu. То можете не волноваться на счет того что из памяти украдут.

Это с учетом того что включена Изоляция ядра» и «Целостность памяти»? Просто я пользуюсь менеджером паролей раньше lastpass сейчас bitwarden и не хочу чтоб мой мастер пароль угнали.

extDev2000 пишет

Единственная реальная угроза которую могут вызвать расширения - перехватывать логин и пароль в момент их ввода на сайт. И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения. То есть права должны быть в manifest.json такими: webRequest, webRequestBlocking

Это файл с настройками manifest.json у каждого расширения? Где его посмотреть? В описание расширений такого конкретного нет. Вот допустим одни разрешения:

https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png
https://disk.yandex.ru/i/LM_hDLI5yjTKOA
2023-01-23_18-11-41.png
Тут не возможно вставить изображение.

Еще расширение может перехватить пароль прямо во время ввода, тогда ему нужно минимум прав доступа, может даже вообще без них.

Это как то противоречит предыдущему -  И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения.

Отредактировано BlueStork (23-01-2023 21:50:16)

Отсутствует

 

№524-01-2023 02:41:27

_zt
Участник
 
Группа: Members
Зарегистрирован: 10-11-2014
Сообщений: 1647
UA: Firefox 108.0

Re: Вопрос по безопасности расширений

BlueStork пишет

может вредоносное расширение украсть мой пароль из оперативной памяти?

Это называется "буфер обмена". Может, если у расширения есть разрешение на Получение данных из буфера обмена.
Запросы на разрешения для расширений Firefox | Справка Firefox
Также некоторые редкие сайты могут хранить логин-пароль прямо в куках, а расширение с соответствующими разрешениями сможет их прочесть.
   

BlueStork пишет

пользуюсь менеджером паролей раньше lastpass сейчас bitwarden и не хочу чтоб мой мастер пароль угнали

Угомоните свою параною, а если не получается, то никогда не пользуйтесь копированием-вставкой мастер паролей, только ручной ввод. Но повод для паранои все равно будет - ведь есть ужасные клавиатурные перехватчики. :D
   

BlueStork пишет

Это файл с настройками manifest.json

Это about:addons > щелчок по расширению > вкладка "разрешения"
   

BlueStork пишет

Тут не возможно вставить изображение

Как добавить картинку (скриншот) к своему сообщению на этом форуме

Отсутствует

 

№624-01-2023 22:47:53

BlueStork
Участник
 
Группа: Members
Зарегистрирован: 05-08-2009
Сообщений: 207
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

_zt пишет

Угомоните свою параною, а если не получается, то никогда не пользуйтесь копированием-вставкой мастер паролей, только ручной ввод. Но повод для паранои все равно будет - ведь есть ужасные клавиатурные перехватчики.

Не могу потому что там хранятся не только логины и пароли от сайтов, кредитные карты с cvc кодами, но и ключи от криптовалют. А дело такое получается что в bitwarden кроме мастер пароля и U2F usb ключа я еще переписывал код восстановления(не через буфер обмена) на бумажку, но код высвечивался на странице сайта а значит расширение могло его прочитать. Также я вводил на сайте bitwarden мастер пароль, а значит его тоже могло расширение перехватить. А имея код восстановления и мастер пароль можно получить доступ без U2F usb ключа. Например расширение Стартовая Яндекс имеет разрешение Доступ к вашим данным для всех веб-сайтов а там написано Расширение сможет считывать содержимое любой веб-страницы, которую вы открываете, а также данные, которые вы вводите на этих веб-страницах, такие как имена пользователей и пароли. То есть получается я еще должен доверять расширениям, не говоря уже о браузере. Может тогда вводить мастер пароль только открыв приватное окно и для всех расширений кроме bitwarden запретить работать в приватных окнах? А с доверием к браузеру уже ни чего не поделать?

_zt пишет

Это about:addons > щелчок по расширению > вкладка "разрешения"

Понял. А на странице https://support.mozilla.org/ru/kb/zaprosy-na-razresheniya-dlya-rasshirenij-firefox?as=u&utm_source=inproduct смотреть что расширение может.

_zt пишет

Как добавить картинку (скриншот) к своему сообщению на этом форуме

Это я уже давно видел. Ну вот к примеру адрес картинки https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png вставляю его в  и вот что получается 2023-01-23_18-11-41.png

Отредактировано BlueStork (24-01-2023 22:50:42)

Отсутствует

 

№725-01-2023 03:00:26

_zt
Участник
 
Группа: Members
Зарегистрирован: 10-11-2014
Сообщений: 1647
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

BlueStork
Создайте отдельный профиль для таких дел, без расширений.
Менеджер профилей - создание, удаление и переключение профилей Firefox | Справка Firefox
   

BlueStork пишет

Это я уже давно видел.

Яндекс диск это облако, а не хостинг картинок.

Отсутствует

 

№826-01-2023 00:32:48

BlueStork
Участник
 
Группа: Members
Зарегистрирован: 05-08-2009
Сообщений: 207
UA: Firefox 109.0

Re: Вопрос по безопасности расширений

Создайте отдельный профиль для таких дел, без расширений

С менеджер профилей я тут как раз недавно познакомился. Так получилось, а с приватном окном не получилось даже ключ U2F почему то не сработал. Вообще всем спасибо. Правда вот как быть с доверием к браузеру вопросы остались;)

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]