人気のあるChrome拡張機能はどの程度のリスクがありますか？

Chromiumに切り替えようとしています。いくつかの拡張機能をインストールしました。拡張機能をインストールするたびに、拡張機能がどのデータにアクセスできるかが通知されました。たとえば：

拡張機能を機能させるにはそのデータへのアクセスが必要であることを理解していますが、その拡張機能がいつかすべてのブラウジングデータを更新して盗む（「電話ホーム」）ことを決定するかもしれません。

怖いメッセージの別の例（シークレットウィンドウの拡張機能を有効にする場合）：

警告：Chromiumは、拡張機能が閲覧履歴を記録するのを防ぐことはできません。シークレットモードでこの拡張機能を無効にするには、このオプションの選択を解除します。

人気のあるChrome拡張機能を使用する場合、それは潜在的な脅威ですか？ブラウザに追加する新しい機能ごとに、別の関係者を信頼する必要があるのは少し怖いです。

次のことを忘れています：

拡張機能が一般的になればなるほど、アドオンが有害な何かをすることに誰も気付かない可能性は小さくなります。

それとは対照的に、他の誰も使用したことのない拡張機能をインストールすると、AdBlockのインストール以上のリスクがあります。非常に多くの人々がそれを使用していることを考えると、言うのはほぼ安全です：誰かが異常なトラフィックに気づいただろう。

実際、すべての拡張機能がソースコードを公開しているため、基本的に誰でも先に進み、疑わしいものを探すことができます。

警告が表示されるだけなので、データに不正なものをインストールした場合に、ブラウザベンダーに損害を与えたとしても責任を負えません。インストールする前に、疑わしいアドオンのレビューを必ずお読みください。

また、たとえば、Googleは提出物をチェックできることに注意してください。

Googleは、製品またはそのコンテンツを監視する義務を負いませんが、Googleは、本契約、Google Chrome Web Storeプログラムポリシー、およびその他の適用される条件、義務、法律を遵守するために、いつでも製品とそのソースコードを確認またはテストできます、または規制、およびそのようなレビューを行うために自動化された手段を使用する場合があります

もちろん、拡張機能を削除すると、開発者に何らかの問題が発生する可能性があります。

これを試みるのは難しいリスク評価です。人気は2つのことをもたらします。

• より多くの人々がそれを改善しようとしています（悪いコードを見つけます）
• より大きなユーザーベースを攻撃するためにそれをハックしようとする（そして悪いコードを導入する）より多くの人々

これらの例では、githubのようなものでホストされるコードを使用したオープンソースプロジェクトについて話していると仮定しましょう。

開発者が1人いる場合は、コードをチェックインするのは1人だけです。誰か（開発者ではない）がそれにコードを追加したい場合、開発者をだまして悪意のあるパッチを追加するか（発生する）、または開発者の認証をターゲットにしてコードを追加できるようにする（また発生する）必要があります。これらのどちらかが起こる可能性は、開発者の能力とそのセキュリティに依存します。

10人の開発者がいる場合、攻撃ベクトルは10倍になります。しかし、コードを見つける可能性のある人の10倍もいます。

プロジェクトには、コードに対して定期的なセキュリティ監査を実行する人々に十分な勢いを与えるポイントがあると確信しています。しかし、その前のいつでも、それはブランコとロータリーです。

tl; dr現実的に解決するには難しすぎます。人間の要素が多すぎます。重要な場合は、自分でコードを検証できない限り、信用しないでください。