WebサイトからGNOME拡張機能をインストール:セキュリティの脆弱性?

9

私は(Chromiumを使用して)Google検索でGNOME拡張機能を見つけましたが、オン/オフスイッチを切り替えるだけで、手動で他の手順を実行することなく、ウェブサイトに完全なGNOME拡張機能をコンピューターにインストールさせることができました。(テスト済み、これはFirefoxでも動作します。)確かに、インストールの確認を求めるダイアログボックスがポップアップ表示されますが...

  1. これは使いやすさと使いやすさの点で優れていますが、これにはセキュリティの脆弱性はありませんか?この機能がどのように機能するかを正確に知り、ハッカーが自分のマシンに実行可能ファイルを簡単にインストールできるようにする「バックドア」について心配する必要があるかどうかに興味があります。

  2. GNOMEサイトの拡張機能は吟味されていますか?拡張機能が安全かどうかを確認する方法はありますか?

  3. この機能を可能にするために、ChromiumおよびFirefoxブラウザーはGNOMEによって変更されていますか?ユーザーが知っておくべき他のカスタムGNOME Chromium / Firefoxの変更はありますか?

更新:これがどのように機能するかを理解したので、これは特に技術者以外のユーザーにとっては本当に素晴らしい機能だと思いますが、初めて遭遇したときは少し不安になりました。

gnome  security  gnome-shell  gnome-shell-extension  extension 
スマン
ソース

回答:

3

はいといいえ。

最初に、拡張機能をインストールするためにクリックしたリンクは、具体的には(おそらく)点眼の方法としてgnome 3.2にコード化されています。したがって、その意味では、これは「信頼できる」サイトです。

次に、gnome拡張機能はユーザースクリプトであり、ユーザー専用に保存されます。ユーザーがアクセスできない情報にはアクセスできません。したがって、たとえば、/にファイルを書き込むためのシェル拡張はありません。

3番目に、ブラウザーは変更されませんでしたが、gnomeシェルは変更されました。

基本的に、インストール方法はtar.gzファイルを提供し、手動でホームディレクトリに抽出するように指示するよりも安全です。個々の拡張機能が安全かどうかは、ケースバイケースで判断する必要があります。ただし、gnome.orgは正規のサイトであり、拡張サブドメインも同様です。

Coteyr
ソース
わかりました。詳細な説明をありがとうございました。しかし、自動インストールを許可するには、これを許可するようにブラウザーを変更する必要があるのではないでしょうか。私はもう少し読みました、これはFirefox / Chromiumプラグインを介して行われるような音ですか?
Suman
はいFirefoxおよびChromeベースの「Gnome Shell Integration」プラグイン。
coteyr
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.