У расширения есть доступ к этому сайту что это значит
Расширения браузеров могут следить за вами, и это не их вина
Блокировщики рекламы, VPN сервисы, менеджеры паролей, и другие расширения, которые вы устанавливаете в браузеры, имеют полный доступ ко всем вашим данным на всех страницах, включая пароли, кредитные карты, и приватные фотографии.
В этой статье я не буду утверждать, что какое-то конкретное расширение собирает такую информацию, но расскажу, почему это возможно и что с этим делать. Скажу лишь что подобных скандалов уже было множество.
У меня есть расширение для Гугл Хрома, которое сейчас установлено у 14 000 человек. Ко мне раз в месяц приходят предложения монетизировать пользователей.
Монетизация в данном случае — это чересчур мягкая форма слова мошенничество, потому как предполагается показывать пользователям нежелательную рекламу вместо картинок или рекламных блоков, подменять ссылки на интернет-магазины на реферальные, и использовать другие не вполне этичные методы заработка.
Например, установленный бесплатный VPN может отбивать затраты на серверы незаметно заменяя все ссылки на Amazon на аффилированные, все блоки Яндекс.Директа на свои баннеры, или вообще отсылать на свой сервер все что введено в поля с типами email и password, и продавать эту информацию. Никто ведь все равно не читает политики сбора информации, правда? Да и написать там можно все что угодно.
Разработчики браузеров — большие молодцы, что позволили появиться целым экосистемам над браузерами. Расширения позволяют добавить функций в браузер, и я рекомендую ими пользоваться. Основная проблема кроется в доступе, который запрашивает расширение при установке.
Здесь и дальше я буду писать и приводить примеры про Гугл Хром как самый популярный браузер, но Файрфокс, Опера и Яндекс Браузер используют тот же стандарт расширений, поэтому проблемы едины.
Все, кто ставил хоть одно расширение, видел следующий диалог:
Как управлять разрешениями расширений Chrome
Вы можете управлять разрешениями, которые предоставлены расширениям Chrome. Вы можете просматривать что разрешено тому или иному дополнению, а также вы можете сделать так, что расширение будет иметь доступ к данным только определённых сайтов и (или) расширение начнёт работать на сайте только если вы кликните по значку расширения. В этой инструкции показано, как проверить и настроить права, которые даны расширениям Chrome.
Как изменить разрешения для расширения Chrome
Чтобы контролировать доступ расширения к вашим данным, щёлкните правой кнопкой мыши значок расширения на панели инструментов и укажите «Расширение может получать доступ к данным сайта и изменять их». Выберите предпочтительный вариант:
Какой вариант вы выберете, зависит от того, для чего вы используете расширение и насколько вы ему доверяете. Но теперь у вас есть выбор. Теперь вы можете установить расширение, но только предоставить ему доступ к вашим данным на нескольких веб-сайтах или просто при нажатии на него.
Кнопка «Подробнее о доступе к сайту» открывает страницу поддержки Google, где объясняется, как это работает.
Как настроить сайты, к которым может получить доступ расширение
Вы также можете управлять списком определённых сайтов, на которых может работать расширение, на странице Расширения. Чтобы получить к ней доступ, нажмите Меню → Дополнительные инструменты → Расширения.
Нажмите кнопку «Подробнее» для расширения, которым вы хотите управлять.
Под «Разрешить расширению просмотр и изменение ваших данных на посещаемых сайтах», выберите «На выбранных сайтах».
Теперь вы можете управлять определенным списком сайтов, к которым расширение может получить доступ. Добавьте сайты, на которых может работать данное расширение.
Это то же самое, что выбрать опцию «[На текущем веб-сайте]: вкл.» в контекстном меню расширения, но в настройках расширения вы можете видеть все веб-сайты, к которым расширение имеет доступ, и легко управлять ими.
Кроме того, не забывайте, что вы можете сделать так, что расширение не будет работать, пока вы не кликните по его кнопке, для этого выберите пункт «При нажатии».
Кстати, обратите на эту кнопку — при клике на неё будет показана информация о правах доступа расширений относительно странице, на которой вы находитесь.
Почему с расширениями для браузеров нужно быть осторожнее
Расширения для браузеров — это удобно, но иногда очень опасно. Мы расскажем, что с ними может быть не так и как с этим справиться.
Наверняка вы знаете, что такое расширения для браузера, — почти все мы пользуемся ими каждый день. С ними у вашего браузера появляется масса полезных возможностей, но при этом они угрожают вашей безопасности и конфиденциальности. Давайте рассмотрим, что может пойти не так с расширениями для браузеров и как минимизировать риски от их использования. Но сначала давайте разберемся, что же они из себя представляют.
Что такое расширения для браузеров и зачем они нужны?
Расширение (browser extension) — это дополнительный модуль, который можно подключить к браузеру, чтобы добавить те или иные функции. Что-то вроде плагина. Расширения могут менять интерфейс браузера или добавлять возможности для работы в Интернете.
Например, с помощью расширений можно блокировать рекламу, переводить страницы с иностранных языков или добавлять адреса страниц в специальные сервисы для работы с закладками вроде Evernote или Pocket. Расширений очень много — тысячи и тысячи разных программ на любой вкус: для более удобной и эффективной работы, для настройки внешнего вида браузера, для онлайн-покупок, игр и много другого.
Расширения поддерживают почти все популярные браузеры: Chrome и Chromium, Firefox, Safari, Opera, Internet Explorer и Edge. Расширения легко скачать, они могут быть очень полезны, поэтому многие используют по несколько расширений, а иногда — и по несколько десятков. Но, как мы уже сказали, за этим удобством кроется и опасность.
Что может пойти не так
Зловредные расширения
Во-первых, расширения могут быть просто зловредными. В основном это характерно для расширений, которые предлагают установить на сторонних сайтах, но иногда вредоносное ПО проникает и в официальные источники вроде магазина расширений Chrome Web Store — так же, как оно иногда прокрадываются в Google Play.
Например, недавно исследователи нашли четыре зловредных расширения в интернет-магазине Chrome Web Store. Плагины притворялись обычными приложениями для заметок, но на самом деле приносили своим создателям прибыль, незаметно кликая на рекламные ссылки.
Как расширению это удается? Чтобы что-то делать, ему нужно разрешение. Но из популярных браузеров только Google Chrome запрашивает такое разрешение у пользователя. Другие браузеры по умолчанию позволяют плагинам делать все что угодно. Пользователя они не спрашивают.
Однако даже в Chrome управление разрешениями работает только в теории — а на практике получается не очень. Даже простейшие расширения обычно требуют, чтобы им предоставили право «читать и изменять все ваши данные на посещаемых вами сайтах», что дает им возможность делать практически все что угодно. А если не дать им это разрешение, не получится их установить.
Ну или вот еще пример: ранее мы нашли еще одно зловредное расширение, с помощью которого мошенники распространяли хакерское ПО в Facebook Messenger. Вот подробный пост на эту тему.
Покупка и взлом расширений
Для преступников расширения — лакомый кусок, ведь некоторые из них установлены у многих тысяч пользователей, а обновляются они автоматически. Это значит, что вы можете скачать безобидное расширение, а затем оно обновится и станет зловредным — а вы ничего не заметите.
Хороший разработчик так поступать не станет, но его учетную запись могут взломать злоумышленники, чтобы загрузить зловредное обновление в официальный магазин от его имени. Например, так мошенники с помощью фишинга добыли данные разработчиков популярного плагина Copyfish. Это расширение, которое изначально распознавало текст с картинок, после обновления начало показывать пользователям рекламу.
Другой вариант: иногда компании предлагают разработчикам расширений неплохую сумму за их продукты. Как правило, расширения тяжело монетизировать, и разработчики часто с радостью соглашаются. После осуществления сделки компания может выпустить зловредное обновление, которое автоматически установится у всех скачавших расширение пользователей. Именно это случилось с Particle, популярным расширением для Chrome, с помощью которого можно было кастомизировать YouTube. Разработчики в какой-то момент забросили его, а компания, выкупившая у них этот плагин, сразу же превратила его в рекламное ПО.
Не зловредные, но все равно опасные
Даже те расширения, которые создавались без цели навредить кому-либо, тоже могут быть опасными. Почти все они собирают множество данных о пользователях (помните про разрешение «читать и редактировать все данные на всех посещаемых вами сайтах»?) Чтобы свести концы с концами, некоторые разработчики продают данные пользователей в анонимном виде третьим лицам. Обычно они честно предупреждают об этом в пользовательском соглашении, и в большинстве случаев это не страшно.
Проблема в том, что иногда данные оказываются недостаточно анонимными, что приводит к нарушению конфиденциальности. Например, компания, купившая данные, может по ним выяснить личность пользователей плагина. Именно это случилось с Web of Trust — некогда популярным расширением для Chrome, Firefox, Internet Explorer, Opera, Safari и других браузеров. Оно составляло рейтинг сайтов, основываясь на мнениях пользователей — и собирало полную историю посещения всех сайтов.
Один немецкий сайт заявил, что разработчики Web of Trust продавали данные пользователей сторонним компаниям, недостаточно тщательно их обезличивая. Администрация магазина расширений Mozilla сразу же перестала распространять Web of Trust, а сами авторы вскоре удалили его из всех остальных магазинов. Однако уже через месяц оно вернулось в ассортимент — якобы с доработанным кодом. Web of Trust — ни в коей мере не зловредное расширение. Но оно может навредить пользователям, раскрыв их данные тем, кому, наверное, не стоило бы видеть историю посещений сайтов и действий на них.
Как работать с расширениями максимально безопасно
Расширения могут быть опасными, но некоторые из них очень полезны, поэтому вы вряд ли захотите совсем от них отказаться. Я до сих пор использую несколько расширений, и я точно знаю, что у двух из них есть то самое разрешение все читать и редактировать.
Было бы безопаснее их удалить, но они очень удобные. Поэтому нам нужен способ более-менее безопасно использовать расширения. Защитить себя можно, соблюдая следующие правила.
Запросы на разрешения для расширений Firefox
Во время установки вами расширения в Firefox, может появиться сообщение, похожее на это:
Чтобы вы могли лучше понять, что означают эти сообщения с точки зрения практического воздействия на ваш веб-серфинг и ваши данные, в этой статье приведены сведения о каждом из сообщений.
(Вам также рекомендуется прочитать статью Советы по оценке безопасности расширения, чтобы в дальнейшем руководствоватся ими при оценке расширений).
Оглавление
Доступ к вашим данным для всех веб-сайтов
Расширение может считывать содержимое любой веб-страницы, которую вы посещаете, а также данные, которые вы вводите на этих веб-страницах, такие, как имена пользователей и пароли.
Расширения, запрашивающие это разрешение, могут:
Доступ к информации об IP-адресе и имени хоста
Когда вы посещаете веб-сайт, вы обычно видите или вводите имя хоста (например, amazon.com). Служба под названием DNS преобразует имя хоста в IP-адрес, номер, который идентифицирует устройство, подключающееся к сети. Это также верно для устройств в вашей локальной работе или домашней сети. Это разрешение позволяет расширению преобразовывать имена хостов в IP-адреса.
Расширения, запрашивающие это разрешение, могут:
Доступ к вашим данным на сайтах в «именованном» домене
Расширение может читать содержимое веб-страниц, которые вы посещаете в указанном домене, а также данные, которые вы вводите на эти веб-страницы, такие как имена пользователей и пароли.
Расширения, запрашивающие это разрешение, могут:
Доступ к вашим данным в # других доменах
Используется совместно с именованным доменным сообщением (см. выше), когда расширение запрашивает доступ к пяти или более доменам; первые три перечислены и подсчитываются другие доменные запросы.
Доступ к данным «именованного сайта»
Расширение может читать содержимое веб-страниц, которые вы посещаете на указанном веб-сайте, а также данные, которые вы вводите на эти веб-страницы, такие как имена пользователей и пароли.
Расширения, запрашивающие это разрешение, могут:
Доступ к вашим данным на # других сайтах
Используется вместе с указанным сообщением веб-сайта (см. выше), когда расширение запрашивает доступ к пяти или нескольким веб-сайтам — перечислены первые три и подсчитаны другие запросы веб-сайта.
Чтение и изменение закладок
Расширение может создавать, изменять и удалять закладки или менять структуру папок, в которой закладки сохранены.
Расширения, запрашивающие это разрешение, могут:
Чтение и изменение настроек браузера
Расширение может выполнять одно или несколько из следующих действий:
Очистка последней истории просмотров, файлов кук и связанных с ними данных
Расширения, запрашивающие это разрешение, могут предлагать расширенные функции для очистки истории просмотров браузера.
Расширение может очистить что-либо или всё из списка:
Получение данных из буфера обмена
Расширение может извлекать данные из буфера обмена. Это равнозначно функции «вставить».
Расширения запрашивающие это разрешение могут:
Помещение данных в буфер обмена
Это расширение помещает данные в буфер обмена. Равнозначно «копировать» или «вырезать».
Расширения, запрашивающие это разрешение, могут добавлять содержимое в буфер обмена, чтобы вы могли использовать его в другом месте в вашем браузере или на компьютере.
Расширенные инструменты разработчика для доступа к вашим данным на открытых вкладках
Расширение может добавить новую панель в инструменты разработчика и предоставить доступ ко всем данным во всех вкладках.
Закачка файлов, а также чтение и изменение истории закачек браузера
Расширение может сохранять файлы из интернета или по ссылке, созданной в расширении, с помощью диспетчера загрузки браузера. Расширение также может получать доступ и обновлять информацию о загруженных файлах, хранящихся в диспетчере загрузки.
Примечание: Расширение должно подчиняться настройкам диспетчера загрузки, позволяя вам управлять сохранением файлов.
Расширения, запрашивающие данное разрешение могут:
Открытие файлов, загруженных на ваш компьютер
Расширение может запросить открытие загруженного файла приложением на вашем компьютере, которое обрабатывает файлы этого типа. Например, если Microsoft Word установлен на вашем компьютере, а расширение запрашиваемого на открытие файла «.docx», он откроется в Word.
Расширения, запрашивающие это разрешение, могут:
Чтение текста на всех открытых вкладках
Расширение может выполнять поиск текстового содержимого любой вкладки.
Расширения, запрашивающие это разрешение могут предоставить расширенную возможность «поиска».
Доступ к вашему местоположению
Расширение может определить ваше местоположение с вашего компьютера, GPS, местоположения, связанного с вашим IP-адресом или каким-либо другим способом.
Расширения, запрашивающие это разрешение, могут:
Доступ к истории просмотров
Расширение могло бы сделать с вашей историей браузера одно из следующего:
Расширения, запрашивающие это разрешение, могут:
Расширение контроля использования и управления темами
Расширения, запрашивающие это разрешение, могут:
Обмен сообщениями с другими программами кроме Firefox
Расширение может отправлять сообщения и получать их из дополнительного локального приложения на вашем компьютере.
Дополнительное приложение должно быть установлено на вашем компьютере независимо от расширения. Обычно это происходит одним из двух способов:
Пожалуйста, обратите внимание, что Mozilla не проверял или не просматривал дополнительное приложение. Вы должны подходить к установке дополнительного приложения с той же осторожностью, что и при установке стороннего программного обеспечения из интернета.
Расширения, запрашивающие это разрешение, могут:
Показ вам уведомлений
Расширение может выдавать уведомления через стандартную систему уведомлений, предлагаемую операционными системами вашего компьютера.
Расширения, запрашивающие это разрешение, могут:
Предоставление служб криптографической аутентификации
Расширение может получить доступ к программному обеспечению вашего компьютера для создания и проверки ключей и сертификатов безопасности с использованием стандарта PKCS#11. (Обратите внимание, что расширение не может установить программное обеспечение PKCS#11 на вашем компьютере, установить программное обеспечение вам будет предложено отдельно.)
Расширения, запрашивающие это разрешение, могут:
Чтение и изменение настроек приватности
Расширение может изменить настройки, связанные с конфиденциальностью:
Расширения, запрашивающие это разрешение, могут:
Управление настройками прокси-сервера браузера
Расширение может частично или полностью направить трафик вашего веб-браузера на другой компьютер (прокси) в интернете.
Расширения, запрашивающие это разрешение, могут:
Доступ к недавно закрытым вкладкам
Расширение может получить доступ к списку недавно закрытых окон и вкладок, снова открыть эти вкладки и окна, а также удалить данные этих вкладок и окон из списков.
Расширения, запрашивающие это разрешение, могут:
Доступ к вкладкам браузера
Это расширение может получить URL, заголовок и значок с любой вкладки.
Расширения, запрашивающие это разрешение, могут:
Хранение неограниченного количества клиентских данных
Расширение может хранить неограниченное количество данных, используя функции хранения данных вашего браузера.
Расширения, запрашивающие это разрешение, могут:
Доступ к активности браузера во время навигации
Расширение может отслеживать шаги, которые браузер выполняет для перехода от ссылки на другую страницу. Затем расширение может предоставить новые функции для контента на странице.
Расширения, запрашивающие это разрешение, могут:
These fine people helped write this article:
ఔత్సాహికులవ్వండి
Grow and share your expertise with others. Answer questions and improve our knowledge base.
Знаете ли вы, что расширения браузера могут просматривать ваши онлайн платежи?
Расширения могут видеть остатки на вашем счету, ваши транзакции и ваш пароль от онлайн-банкинга. Они видят все в вашем браузере: пароли, номера кредитных карт, личные сообщения и веб-сайты, которые вы посещаете.
Расширения имеют полный доступ к контенту вашего веб-браузера
Вы когда-нибудь обращали внимание на сообщение, которое вы видите при установке расширения, например, для браузера Google Chrome? Для большинства расширений браузера вы увидите сообщение о том, что устанавливаемое расширение может «просматривать и изменять ваши данные на посещаемых сайтах».
Это означает, что расширение браузера имеет полный доступ ко всем веб-страницам, которые вы посещаете. Оно может видеть, какие веб-страницы вы просматриваете, читать их содержимое и видеть все, что вы вводите. Расширение может даже изменять веб-страницы, например, добавляя дополнительные рекламные объявления. Если расширение является вредоносным, оно может собирать ваши личные данные – от активности просмотра веб-страниц и электронных писем, которые вы вводите, до ваших паролей и финансовой информации – и отправлять их на удаленный веб-сервер.
Итак, когда вы авторизуетесь в своей учетной записи онлайн-банкинга, расширения вашего браузера так же получают доступ к содержимому страницы. Они могут видеть ваш пароль, когда вы авторизуетесь, и просматривать все, что вы видите в своей учетной записи онлайн-банкинга. Они даже могут изменить страницу онлайн-банкинга, прежде чем вы ее увидите.
Есть система разрешений, но большинство расширений имеют полный доступ
Конечно, не каждое расширение может иметь доступ ко всем веб-страницам, включая онлайн-банкинг. В современных веб-браузерах, таких как Google Chrome, Microsoft Edge, Opera, Mozilla Firefox и Apple Safari, существует система разрешений для плагинов. Некоторые расширения браузера используют гораздо меньше разрешений.
Например, они могут запускаться только тогда, когда вы нажимаете кнопку расширения браузера, что означает, что они не имеют фактически никакого доступа для просмотра веб-страниц, пока вы не нажмете на функциональную кнопку расширения. Они могут работать только на определенных веб-сайтах – например, расширение браузера, влияющее на Gmail, может работать только на веб-сайте Google, и не иметь доступа к остальным веб-сайтам.
Однако подавляющее большинство расширений браузера, которые использует большинство людей, имеют разрешение на запуск на каждом веб-сайте, загружаемом браузером.
В браузерах Google Chrome, Microsoft Edge и Opera вы можете управлять разрешениями «доступа к данным сайта» расширения и выбирать, будет ли оно запускаться автоматически на всех веб-сайтах, которые вы открываете, только при нажатии на них, или только на определенных веб-сайтах, которые вы укажите.
Насколько опасен полный доступ расширений?
Большинство (или все) расширения браузера, которые вы используете, могут видеть информацию о вашем банковском счете, так же, как они могут видеть все остальное, что вы делаете в Интернете с помощью веб-браузера.
Если расширение для браузера полностью заслуживает доверия и надежно, то это нормально. Расширение браузера может вести себя ответственно и не собирать никаких данных и не мешать обработке вашей банковской информации или другой конфиденциальной информации.
Если же расширение браузера не заслуживает доверия, то оно может злоупотребить полным доступом – подобное возможно.
Разработчик может продать расширение другой компании, и эта компания может добавить код отслеживания, кейлоггеры или что-то подобное. Это большой бизнес. Расширение может отображать рекламу на загружаемых вами веб-страницах и отслеживать ваши действия, чтобы лучше настраивать таргетинг рекламы, или злоумышленники могут захватывать ваши пароли, личную информацию и номера кредитных карт.
Ваш браузер автоматически установит обновление, и новая вредоносная версия расширения начнет действовать. Надеюсь, разработчик вашего браузера заметит проблему и отключит расширение – например, Google может удалить его из Интернет-магазина Chrome – но на это может потребоваться некоторое время.
И да, некоторые расширения были были пойманы на краже банковских данных.
Устанавливайте расширения только от разработчиков, которым вы доверяете
Мы не говорим вам, что вам нужно удалить все имеющиеся у вас расширения браузера. Вместо этого просто осознайте огромный риск к доступу, который вы предоставляете устанавливаемым расширениям браузера, и действуйте соответственно.
Если вы доверяете разработчику расширения, то конечно стоит установить предлагаемое расширение. Например, если вы используете менеджер паролей и уже доверяете этой организации свои пароли, смело устанавливайте расширение браузера для менеджера паролей. (Если вы не доверяете этой организации установку расширения для браузера, вам определенно не следует доверять ей управление своими паролями!).
С другой стороны, если вам нужна отличная функция и вы найдете расширение, которое её предлагает, но вы никогда не слышали о разработчике и не уверены, насколько ему можно доверять – подумайте о том, что возможно вам следует проигнорировать данное расширение браузера.
Вы также можете ограничить доступ, который имеет расширение. Например, вы можете установить расширение и настроить его для работы только на определенных веб-сайтах в Chrome, Edge или Opera, или вы можете использовать отдельный браузер, в котором не установлены какие-либо потенциально опасные расширения и в нем безопасно пользоваться онлайн-банкингом.
Но подумайте: если вы не доверяете расширению, возможно, вам вообще не стоит его устанавливать.
В конечном итоге расширения браузера имеют доступ ко всему, что вы делаете в своем браузере. Когда вы думаете об установке расширения браузера, задайте себе следующий вопрос: вы бы установили настольное приложение для Windows от создателя расширения и позволили бы ему работать в фоновом режиме на вашем компьютере? Если нет, подумайте также о том, что вам стоит пропустить данное расширение и не устанавливать его.
Ограничиваете или вы доступ расширений в используемых браузерах?