Jika Ekstensi Chrome dipasang tetapi dimatikan, apakah masih bisa memata-matai saya?

50

Katakanlah ekstensi Chrome dimatikan dan memiliki izin: "Baca dan ubah semua data Anda di situs web yang Anda kunjungi" dan "Baca riwayat penelusuran Anda", atau izin pelacakan serupa lainnya.

Bisakah ekstensi Chrome ini masih mengakses izin ini atau memata-matai Anda dengan cara lain bahkan jika dimatikan?

Katakanlah Anda harus menonaktifkan ekstensi ini, tetapi kemudian mengaktifkannya selama 5 detik atau hingga 10 menit. Apakah mungkin mereka dapat mengunggah seluruh riwayat penelusuran Anda ke pengembang dalam rentang waktu singkat itu jika mereka bisa "Baca riwayat penelusuran Anda"?

Pertanyaan ini juga berlaku untuk peramban seperti Firefox.

google-chrome permissions google-chrome-extensions browser-addons privacy Michael d
sumber
4
Pertanyaannya adalah, bisakah ekstensi memodifikasi browser sedemikian rupa sehingga dapat membuat tombol mematikan pada dasarnya tidak melakukan apa-apa (hanya 'tampak mati'), atau menghidupkannya kembali pada tahap berikutnya? Jika jawabannya ya, maka jawaban di atas juga ya. (Aku akan pergi apakah mungkin bagi mereka yang lebih berpengetahuan daripada aku).
SSight3
6
@ SSight3 Ekstensi tidak diizinkan berjalan di chrome: // ekstensi halaman sejauh yang saya tahu, jadi ekstensi tidak mungkin untuk memalsukan status sakelar yang diaktifkan / dinonaktifkan.
Josh
2
Penggunaan Google setiap hari - Facebook, Twitter, apa pun - memiliki lebih banyak peluang untuk pengumpulan informasi daripada beberapa ekstensi Chrome yang baru. Bukan berarti penulis di balik ekstensi itu tidak dapat memiliki ambisi muluk, tapi ...
can-ned_food
4
Tolong jangan tandai pertanyaan sebagai dijawab dan sehari kemudian sebagai tidak dijawab dan edit untuk mengajukan pertanyaan baru. Jika Anda berubah pikiran tentang pertanyaan itu, Anda harus mengajukan pertanyaan baru yang terpisah, begitu Anda menerima jawaban.
LPChip
2
@ can-ned_food Layak dicatat jika rasa takut sedang terjadi datamining, MITM dapat digunakan dari mana saja (sniffer HTTP, CA yang cerdik, DNS yang buruk, hotspot Wifi berbahaya, router backdoored, seterusnya, dan sebagainya) dan jika kepedulian seseorang pada browser dibuat oleh sebuah perusahaan terkenal karena datamining, apakah 'apakah ekstensi saya bocor?' Saya sangat curiga mereka mungkin menghadapi masalah yang jauh lebih besar.
SSight3

Jawaban:

58

Ketika ekstensi dimatikan, itu tidak dimuat ke dalam memori, dan karena itu tidak dapat melakukan apa pun.

Saat Anda mengaktifkan ekstensi, ekstensi memiliki akses ke seluruh riwayat peramban Anda, dan jika suatu ekstensi menginginkannya, ia dapat mengirimkan seluruh riwayat Anda ke server.

Itu tergantung pada ekstensi jika benar-benar akan melakukan ini. Ekstensi jenis spyware akan, ekstensi yang dimaksudkan untuk membantu Anda biasanya hanya akan mengirimkan situs web yang sedang Anda jelajahi, tetapi apakah ekstensi akan melakukan atau tidak murni spekulasi.

Jika Anda ingin aman dan tidak ingin mengizinkan ekstensi mengirim data Anda ke server mereka, jangan pernah nyalakan.

LPChip
sumber
2
@wjandrea Hal ini mungkin untuk membaca kode sumber dari krom ekstensi ( .crxpaket).
rahuldottech
7
@ Davidvidul Untuk menjadi bertele-tele, Firefox sebagian besar menyalin sistem ekstensi Chrome karena lebih sederhana - mereka menulis ulang sebagian besar basis kode mereka, dan API ekstensi yang ada terikat erat dengan internal sehingga sulit untuk tetap bekerja. Memaksa setiap ekstensi ditulis ulang membuat hidup mereka lebih mudah, dan harapannya adalah mereka tidak perlu lagi karena API baru lebih ketat, dan lebih terpisah dari implementasi internal. Model izin adalah bonus yang bagus, tetapi mengingat bahwa sebagian besar ekstensi memerlukan akses ke DOM dari setiap halaman yang Anda lihat, itu tidak mencegah banyak.
IMSoP
2
@ Davidvidulder: Anda berasumsi bahwa Google memiliki semua data Anda di tempat pertama.
Eric Duminil
4
@ Davidviduler Kami tidak tahu apa yang dilakukan Chrome karena kami tidak dapat melihat kode. Mengatakan bahwa Chrome "sama sekali tidak memberikan data Anda ke Google" jelas-jelas salah; saat mengetik URL ke bilah alamat saya mengukur lalu lintas ke dan dari server Google bahkan sebelum saya menekan Enter!
wizzwizz4
2
@ wizzwizz4 Mungkin perlu dicatat SRWare Iron (versi fokus privasi Chrome) merinci beberapa ... fitur Chrome yang bermasalah .
SSight3