Полезная информация
Страницы: 1
- Форумы
- » Поддержка пользователей
- » Вопрос по безопасности расширений
№122-01-2023 20:21:54
Вопрос по безопасности расширений
Подскажите может вредоносное расширение украсть мой пароль из оперативной памяти? Может получить список установленных у меня расширений и скопировать файл базы данных с диска? Если да то могут ли в этом как то помочь «Изоляция ядра» и «Целостность памяти» винды?
Отсутствует
№222-01-2023 22:07:38
Re: Вопрос по безопасности расширений
BlueStork
Все могут украсть.
Если да то могут ли в этом как то помочь «Изоляция ядра» и «Целостность памяти» винды?
Не поможет.
Технология по факту не рабочая в этом направлении.
Делалась тупо для детекта железа на котором установлена ОС - та же телеметрия.
Отсутствует
№322-01-2023 23:41:17
- extDev2000
- Участник
- Группа: Members
- Зарегистрирован: 22-01-2023
- Сообщений: 4
- UA:
109.0
Re: Вопрос по безопасности расширений
BlueStork
1. Если вы пользуетесь современной системой и обновили ее до последних версий, то очень-очень маловероятно. Т.е. если у вас Windows 10, Windows 11, обновленная Ubuntu. То можете не волноваться на счет того что из памяти украдут.
2. С диска расширения ничего скопировать не могут, у них нет на это прав доступа, они могут только сохранять в папку Загрузка (Download), читать файлы расширения не могут даже из Загрузка (Download)
Единственная реальная угроза которую могут вызвать расширения - перехватывать логин и пароль в момент их ввода на сайт. И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения. То есть права должны быть в manifest.json такими: webRequest, webRequestBlocking
Это если перехват сложный, на уровне перехвата запросов к сайтам
Полный список прав можно посмотреть тут https://extensionworkshop.com/documenta … rmissions/
Еще расширение может перехватить пароль прямо во время ввода, тогда ему нужно минимум прав доступа, может даже вообще без них.
Понятно если вы кроме расширения установили в Windows еще и программу которую предлагало это расширение, то оно может вообще все сделать. Но я думаю такое вы заметили бы.
Отредактировано extDev2000 (22-01-2023 23:44:41)
Отсутствует
№423-01-2023 18:18:15
Re: Вопрос по безопасности расширений
Технология по факту не рабочая в этом направлении.
Делалась тупо для детекта железа на котором установлена ОС - та же телеметрия.
Можно про это поподробнее. Это она что к безопасности вообще не имеет отношение?
1. Если вы пользуетесь современной системой и обновили ее до последних версий, то очень-очень маловероятно. Т.е. если у вас Windows 10, Windows 11, обновленная Ubuntu. То можете не волноваться на счет того что из памяти украдут.
Это с учетом того что включена Изоляция ядра» и «Целостность памяти»? Просто я пользуюсь менеджером паролей раньше lastpass сейчас bitwarden и не хочу чтоб мой мастер пароль угнали.
Единственная реальная угроза которую могут вызвать расширения - перехватывать логин и пароль в момент их ввода на сайт. И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения. То есть права должны быть в manifest.json такими: webRequest, webRequestBlocking
Это файл с настройками manifest.json у каждого расширения? Где его посмотреть? В описание расширений такого конкретного нет. Вот допустим одни разрешения:
https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png
https://disk.yandex.ru/i/LM_hDLI5yjTKOA
Тут не возможно вставить изображение.
Еще расширение может перехватить пароль прямо во время ввода, тогда ему нужно минимум прав доступа, может даже вообще без них.
Это как то противоречит предыдущему - И могут это только те расширения, у которых есть соответствующие права доступа, смотрите в описание расширения.
Отредактировано BlueStork (23-01-2023 21:50:16)
Отсутствует
№524-01-2023 02:41:27
Re: Вопрос по безопасности расширений
может вредоносное расширение украсть мой пароль из оперативной памяти?
Это называется "буфер обмена". Может, если у расширения есть разрешение на Получение данных из буфера обмена.
Запросы на разрешения для расширений Firefox | Справка Firefox
Также некоторые редкие сайты могут хранить логин-пароль прямо в куках, а расширение с соответствующими разрешениями сможет их прочесть.
пользуюсь менеджером паролей раньше lastpass сейчас bitwarden и не хочу чтоб мой мастер пароль угнали
Угомоните свою параною, а если не получается, то никогда не пользуйтесь копированием-вставкой мастер паролей, только ручной ввод. Но повод для паранои все равно будет - ведь есть ужасные клавиатурные перехватчики. 
Это файл с настройками manifest.json
Это about:addons > щелчок по расширению > вкладка "разрешения"
Тут не возможно вставить изображение
Как добавить картинку (скриншот) к своему сообщению на этом форуме
Отсутствует
№624-01-2023 22:47:53
Re: Вопрос по безопасности расширений
Угомоните свою параною, а если не получается, то никогда не пользуйтесь копированием-вставкой мастер паролей, только ручной ввод. Но повод для паранои все равно будет - ведь есть ужасные клавиатурные перехватчики.
Не могу потому что там хранятся не только логины и пароли от сайтов, кредитные карты с cvc кодами, но и ключи от криптовалют. А дело такое получается что в bitwarden кроме мастер пароля и U2F usb ключа я еще переписывал код восстановления(не через буфер обмена) на бумажку, но код высвечивался на странице сайта а значит расширение могло его прочитать. Также я вводил на сайте bitwarden мастер пароль, а значит его тоже могло расширение перехватить. А имея код восстановления и мастер пароль можно получить доступ без U2F usb ключа. Например расширение Стартовая Яндекс имеет разрешение Доступ к вашим данным для всех веб-сайтов а там написано Расширение сможет считывать содержимое любой веб-страницы, которую вы открываете, а также данные, которые вы вводите на этих веб-страницах, такие как имена пользователей и пароли. То есть получается я еще должен доверять расширениям, не говоря уже о браузере. Может тогда вводить мастер пароль только открыв приватное окно и для всех расширений кроме bitwarden запретить работать в приватных окнах? А с доверием к браузеру уже ни чего не поделать?
Это about:addons > щелчок по расширению > вкладка "разрешения"
Понял. А на странице https://support.mozilla.org/ru/kb/zaprosy-na-razresheniya-dlya-rasshirenij-firefox?as=u&utm_source=inproduct смотреть что расширение может.
Как добавить картинку (скриншот) к своему сообщению на этом форуме
Это я уже давно видел. Ну вот к примеру адрес картинки https://disk.yandex.ru/i/VK_K6RimKvObMA/2023-01-23_18-11-41.png вставляю его в и вот что получается
Отредактировано BlueStork (24-01-2023 22:50:42)
Отсутствует
№725-01-2023 03:00:26
Re: Вопрос по безопасности расширений
BlueStork
Создайте отдельный профиль для таких дел, без расширений.
Менеджер профилей - создание, удаление и переключение профилей Firefox | Справка Firefox
Это я уже давно видел.
Яндекс диск это облако, а не хостинг картинок.
Отсутствует
№826-01-2023 00:32:48
Re: Вопрос по безопасности расширений
Создайте отдельный профиль для таких дел, без расширений
С менеджер профилей я тут как раз недавно познакомился. Так получилось, а с приватном окном не получилось даже ключ U2F почему то не сработал. Вообще всем спасибо. Правда вот как быть с доверием к браузеру вопросы остались
Отсутствует
Страницы: 1
- Форумы
- » Поддержка пользователей
- » Вопрос по безопасности расширений
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]