ТК
Это было может даже и не в этом чате
Ребят, мб ошибаюсь, но кто-то когдато что-то рассказывал, что дополнения в хроме не особо безопасны
Возможно, просто "слышал звон"
Size: a a a
2019 July 23
ТК
Не, кто-то в чатике утверждал это
a
Не, кто-то в чатике утверждал это
Ну да, перед докладом @jabher тут сообщения постил с размышлениями
UT
Не, кто-то в чатике утверждал это
По-моему, говорили про дополнительный вектор атаки
DS
Иначе расширения творят что хотят
в рамках выданных прав?
ТК
История в том что единственный способ изолироваться от влияния браузерных расширений - это дикие костыли через Service Worker
По-моему оно, да
a
в рамках выданных прав?
В рамках полного доступа к dom и JS
VL
Вот такая статья где-то на днях мелькала, свежая
https://www.washingtonpost.com/technology/2019/07/18/i-found-your-data-its-sale/?noredirect=on&utm_term=.1e9f6917876b
https://www.washingtonpost.com/technology/2019/07/18/i-found-your-data-its-sale/?noredirect=on&utm_term=.1e9f6917876b
VR
Помню, что кто-то говорил, что дополнения в хроме говно, в файрфоксе чуть получше, но тоже говно
По-моему (но не точно), разговор был в контексте взломанных дополнений, которые либо майнили, либо сливали данные
По-моему (но не точно), разговор был в контексте взломанных дополнений, которые либо майнили, либо сливали данные
В среднем браузерный плагин имеет доступ к любой из открытых вкладок, просто потому что уже имеет этот пермишн.
ҪҸ
да и к дому если имеют дотуп, то все
ҪҸ
тогда даже хистори не нужен в общем-то отдельный
VR
Ну вообще есть отдельные правила доступа по доменам, но всяким адблокам и плагинчикам люди дают доступ ко всем сайтам
VR
Очень не хватает пермишна для анонимного доступа - чтобы не мог читать содержимое парольных форм, хранилищ и не анонимные фетчи делать
VR
Просто рисовать поверх страницы что нибудь
ҪҸ
это вряд ли можно как-то адекватным способом запретить
ҪҸ
только на уровне имплементации в движке
ҪҸ
а нужно чтобы работало везде где web extensions api