Браузер - наше окно в интернет. Почти весь наш пользовательский опыт проходит через него, и переоценить роль браузера с точки зрения защиты нашей безопасности трудно. Зато с тем, чтобы недооценить опасность криво настроенного браузера справляются миллионы людей, за что и расплачиваются и чем радуют хакеров по всему миру.
Про то, что браузер должен быть обновлен до последних версий, что нужно вносить настройки приватности мы не раз говорили, а вы слышали об этом наверное еще чаще. Не мы же одни такие умные.
Но вот браузерные дополнения (Privacy Badger, NoScript, FoxyProxy и т.п.) обычно во всяких там мануалах выступают как средство повышения приватности, анонимности и защищенности. Но на самом деле расширения как таковые таят в себе массу угроз, начиная от исполнения вредоносного кода на твоей машине, заканчивая вступлением твоего компа в ряды прокси-ботнета. И при бездумной установке они не повышают, а понижают защищенность, потенциально создавая новые вектора атаки на твою систему.
На графике показана статистика по тому, насколько регулярно выходят обновления и патчи для браузерных дополнений. Из примерно 180 тысяч дополнений для Chrome более 100 тысяч не обновлялись более двух лет.
И если вам кажется, что "там нечего обновлять" - вам кажется. Авторы большинства дополнений, которые вы можете скачать в официальном репозитории гугла, не являются специалистами по безопасности, аудитов не делали, на уязвимости их не тестировали. Да и не все они хорошие разработчики, поэтому багов там хватает.
Согласно докладу "Protecting Browsers from Extension Vulnerabilities" (Защита браузеров от уязвимостей дополнений - англ.) , написанному Аароном Будманом, сотрудником Google, большая часть дополнений используют избыточно мощное API и задействуют больше возможностей браузера, чем нужно для выполнения прямых задач, которым служат.
Да, то самое дополнение, которым ты, например, качаешь видосики с YouTube, вполне может скачать тебе на комп файл без твоего ведома, а иногда и исполнить его.
Но загрузка малвари и исполнение кода - не единственное, чем может порадовать тебя браузерное дополнение. Оно может также совершать запросы в интернете, и на этом построена огромная индустрия по получению и продаже резидентных прокси.
Это когда ты ставишь себе дополнение для того чтобы делать скриншоты, к примеру, а его авторы встроили туда код, который позволит ботнет-мастеру использовать твой браузер как прокси, и маршрутизировать через него запросы. Так что если ты на порнхабы не ходишь, не спамишь, ведешь тихую интернет-жизнь, но внезапно тебя завалило капчей, возможно твой браузер уже не только твой.
Зачем авторам дополнений так пакостить всем нам? Вопрос, как обычно, в деньгах. Оказывается, в большинстве случаев писать дополнения для chrome или firefox дело неприбыльное. Донатят мало, а когда последний раз ты покупал плагин для браузера? И когда к автору, отчаявшемуся хоть как-то монетизировать свое творение, приходят продавцы прокси и предлагают продать своих пользователей, многие соглашаются.
Однозначного вывода и совета "как же быть теперь" у нас нет. Кибербезопасности вообще штука сложная.
Во-первых, если можешь обойтись без плагина, лучше так и поступи.
Во-вторых, смотри на показатели: количество скачиваний, рейтинг, дату последнего обновления. Это конечно не гарантия, но какое-никакое свидетельство в пользу того что само по себе дополнение не малварь.
В-третьих, почитывай пользовательское соглашение плагина. Там должно быть четко прописано что дополнение может, какие данные собирает, как хранит и кому передает.
Ну и если уж рискуешь, убедись что твои файлы надежно защищены, если они лежат на системе которую ты же сам сделал менее защищенной установкой дополнений браузера.
Про то, что браузер должен быть обновлен до последних версий, что нужно вносить настройки приватности мы не раз говорили, а вы слышали об этом наверное еще чаще. Не мы же одни такие умные.
Но вот браузерные дополнения (Privacy Badger, NoScript, FoxyProxy и т.п.) обычно во всяких там мануалах выступают как средство повышения приватности, анонимности и защищенности. Но на самом деле расширения как таковые таят в себе массу угроз, начиная от исполнения вредоносного кода на твоей машине, заканчивая вступлением твоего компа в ряды прокси-ботнета. И при бездумной установке они не повышают, а понижают защищенность, потенциально создавая новые вектора атаки на твою систему.
На графике показана статистика по тому, насколько регулярно выходят обновления и патчи для браузерных дополнений. Из примерно 180 тысяч дополнений для Chrome более 100 тысяч не обновлялись более двух лет.
И если вам кажется, что "там нечего обновлять" - вам кажется. Авторы большинства дополнений, которые вы можете скачать в официальном репозитории гугла, не являются специалистами по безопасности, аудитов не делали, на уязвимости их не тестировали. Да и не все они хорошие разработчики, поэтому багов там хватает.
Согласно докладу "Protecting Browsers from Extension Vulnerabilities" (Защита браузеров от уязвимостей дополнений - англ.) , написанному Аароном Будманом, сотрудником Google, большая часть дополнений используют избыточно мощное API и задействуют больше возможностей браузера, чем нужно для выполнения прямых задач, которым служат.
Да, то самое дополнение, которым ты, например, качаешь видосики с YouTube, вполне может скачать тебе на комп файл без твоего ведома, а иногда и исполнить его.
Но загрузка малвари и исполнение кода - не единственное, чем может порадовать тебя браузерное дополнение. Оно может также совершать запросы в интернете, и на этом построена огромная индустрия по получению и продаже резидентных прокси.
Это когда ты ставишь себе дополнение для того чтобы делать скриншоты, к примеру, а его авторы встроили туда код, который позволит ботнет-мастеру использовать твой браузер как прокси, и маршрутизировать через него запросы. Так что если ты на порнхабы не ходишь, не спамишь, ведешь тихую интернет-жизнь, но внезапно тебя завалило капчей, возможно твой браузер уже не только твой.
Зачем авторам дополнений так пакостить всем нам? Вопрос, как обычно, в деньгах. Оказывается, в большинстве случаев писать дополнения для chrome или firefox дело неприбыльное. Донатят мало, а когда последний раз ты покупал плагин для браузера? И когда к автору, отчаявшемуся хоть как-то монетизировать свое творение, приходят продавцы прокси и предлагают продать своих пользователей, многие соглашаются.
Однозначного вывода и совета "как же быть теперь" у нас нет. Кибербезопасности вообще штука сложная.
Во-первых, если можешь обойтись без плагина, лучше так и поступи.Во-вторых, смотри на показатели: количество скачиваний, рейтинг, дату последнего обновления. Это конечно не гарантия, но какое-никакое свидетельство в пользу того что само по себе дополнение не малварь.В-третьих, почитывай пользовательское соглашение плагина. Там должно быть четко прописано что дополнение может, какие данные собирает, как хранит и кому передает.Ну и если уж рискуешь, убедись что твои файлы надежно защищены, если они лежат на системе которую ты же сам сделал менее защищенной установкой дополнений браузера.
