慢霧餘弦:用戶需注意瀏覽器擴展的權限申請並且要有隔離思維

avatar
鏈捕手
14 小時前

ChainCatcher 消息,慢霧餘弦在 X 平臺發文稱:“一個擴展要作惡,比如偷目標頁面的 Cookies、localStorage 裡的隱私(如賬號權限信息、私鑰信息),DOM 篡改,請求劫持,剪切板內容獲取等等。在 manifest.json 做相關權限配置即可。用戶如果沒注意擴展的權限申請,就麻煩了。但一個擴展要作惡,想直接搞其他擴展,比如知名錢包擴展,那還是不容易的…因為沙盒隔離了…比如想直接偷走錢包擴展裡存儲的私鑰/助記詞有關信息是不大可能的。如果你擔心某擴展的權限風險,要判斷這種風險其實很容易,安裝擴展後可以先不使用,看下擴展 ID,搜索到電腦本地路徑,找到擴展根目錄下的 manifest.json 文件,把文件內容直接扔給 AI 做權限風險解讀即可。如果有隔離思維,可以考慮給陌生擴展單獨啟用 Chrome Profile,至少作惡可控,絕大多數擴展沒必要一直開啟。”

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
Followin logo