chrome裡面真的很多惡意擴展?

01-22

無意中看到上圖裡面的文字, 難道真的如同作者所說, chrome store裡面很多惡意擴展? 如果是, 如何避免安裝到惡意擴展呢? firefox的plugin store裡面惡意插件多嗎?

Chrome 和 Firefox 在文檔里提供的介面基本差不多，甚至 Firefox 還提供了一些非公開 API 的介面（看看 Firebug 的代碼里就有一堆）。但是在 Chrome 的擴展商店開發者只要交五美元註冊費以後就能隨意發布擴展；而 Firefox 附加組件雖然不需要付費就能發布，但發布時會先經過自動掃描，然後再通過人工審核才能出現在官方附加組件目錄中。

挺多的呢。 Google幹啥都這麼的熊（Android app許可權管理也不嚴，小白Android只能默默享受被輪姦）。

我一向對安全隱私方面還比較注意，Chrome裝了不少插件，有時候莫名其妙就少了，原來是被禁了。

裝一下這個插件掃描下吧 Extension Defender，用這個我刪了一個插件。

——————

匿名評論不了，回答 @toktsnhc I 可以看看 Momentum - Chrome Web Store

特別惡意不至於，事實上 Chrome 比 Firefox 提供了更少的可定製許可權，也就縮小了被濫用的可能，你經常會發現很多 Firefox 上擴展能實現的功能到 Chrome 上做不到了，就是這個原因。（更別提 Active X 這種妖物）

Chrome 商店管理混亂是真的，無論是 Play Store 還是 Chrome Store，Google 開始似乎只是打算給開發者提供一個便於分發應用的平台，完全沒注意到自己有監管的義務……所以一度非常混亂，目前還是有所改善的，只是盤子鋪大了，有點積重難返，而且樹大招風。

不過 Google 再逗比也不會讓擴展獲得密碼域之內的東西，偷網銀賬戶更是聞所未聞，國內網銀都有硬體加密器的，哪有這麼容易被盜 = =，我遇到過的就是劫持鏈接，那段時間經常莫名其妙跳轉到淘寶特賣，檢查了一下是某個擴展所為，果斷卸載。

OpenGG 作者的這番話是被激怒了之後的情緒表達，因為當年 Chrome Store 上有很多人將他的擴展重新打包之後發布，並加入廣告盈利。而優酷去廣告擴展本身是需要伺服器資源的，作者義務為大家奉獻了代碼和金錢，卻被宵小之徒拿來獲取私利，他的憤怒可以理解。

前幾天不知道哪個插件會將網頁的關鍵字替換成看廣告鏈接。。提供商只提供了Windows卸載方式。。我就一個一個插件卸載到沒廣告為止。。。

監管是個原因，chrome 提供了各種 api 也是一個原因。。。

如果 extension 調用了 chrome.webRequest 相關的 api，那麼基本可以拿到 chrome 的所有 outgoing traffic，我不確定能不能拿到發送的用戶名密碼，但是至少你發的 facebook post 和 tweet 等肯定是可以全部抓下來的。。。

而 Google 對這類 api 的調用是不做任何限制的，最多在下載的時候提示許可權等，但肯定是沒人看的。。。

========== 我是分割線 ==========

我不是說這類 api 應該禁掉，很多時候這些 api 是很有用的，比如可以 drop 掉釣魚網站的鏈接等，但是有些時候被惡意擴展濫用了。。。

利益相關：

給美帝中小學做 chromebook 平台的 content filter 和 parental control，專註綠壩二十年。。。

opengg和類似的視頻廣告過濾擴展，其原理完全可以用油猴子腳本替代。當然擴展你也可以看到源代碼的……

插件即以前的npapi(即將淘汰)和ppapi是要人工審核的，而且並不好過審，擴展才是容易流氓的地方，因為幾乎不審核，至於為啥不像火狐一樣對擴展進行嚴格審查不知道。另外對於某些擴展感覺根本不用全部網址許可權可以考慮開實驗室中的全部網路許可權需要二次確認

就裝過xdebug，其他的不知道，話說就算惡意，不裝就沒啥事吧，我只是個菜鳥（逃

都是流氓了你還管他是哪裡人。

至少默認情況下我是很難找到一個不帶返利連接的新標籤頁

叫擴展。

Chrome應用商店惡意擴展多，Firefox擴展中心惡意擴展少。