Seberapa besar risiko ekstensi Chrome yang populer?

Saya akan beralih ke Chromium dan saya menginstal beberapa ekstensi. Setiap kali saya memasang ekstensi, saya diberi tahu data mana yang memiliki akses, misalnya:

Saya mengerti bahwa akses ke data itu diperlukan agar ekstensi berfungsi, namun saya agak khawatir ekstensi semacam itu suatu hari nanti akan memutuskan untuk memperbarui dan mencuri ("telepon rumah") semua data penelusuran saya.

Contoh lain dari pesan menakutkan (saat mengaktifkan ekstensi untuk jendela penyamaran):

Peringatan: Chromium tidak dapat mencegah ekstensi merekam riwayat penelusuran Anda. Untuk menonaktifkan ekstensi ini dalam mode penyamaran, batalkan pilihan ini.

Apakah itu ancaman yang mungkin terjadi ketika menggunakan ekstensi Chrome yang populer? Agak menakutkan untuk mempercayai pihak lain untuk setiap fungsi baru yang Anda tambahkan ke browser.

Anda lupa yang berikut ini:

Semakin populer ekstensi, semakin kecil peluang untuk tidak ada yang menyadari bahwa add-on melakukan sesuatu yang berbahaya.

Berbeda dengan itu, jika Anda memasang beberapa ekstensi yang belum pernah digunakan orang lain, Anda berisiko lebih dari, katakanlah, memasang AdBlock. Mengingat begitu banyak orang menggunakannya, hampir aman untuk mengatakan: Seseorang akan memperhatikan lalu lintas yang tidak biasa.

Bahkan, semua ekstensi mengungkapkan kode sumbernya, sehingga siapa pun pada dasarnya bisa melanjutkan dan mencari sendiri sesuatu yang mencurigakan.

Peringatan ada di sana sehingga Anda tidak bisa menyalahkan vendor browser atas kerusakan yang dilakukan, jika Anda menginstal sesuatu yang tidak sesuai dengan data Anda. Selalu baca ulasan add-on yang terlihat mencurigakan sebelum Anda menginstalnya.

Perhatikan juga, misalnya Google dapat memeriksa kiriman:

Meskipun Google tidak berkewajiban untuk memantau Produk atau kontennya, Google dapat sewaktu-waktu meninjau atau menguji Produk Anda dan kode sumbernya untuk kepatuhan dengan Perjanjian ini, Kebijakan Program Google Web Store, dan semua syarat, kewajiban, hukum yang berlaku lainnya , atau peraturan, dan dapat menggunakan cara otomatis untuk melakukan tinjauan tersebut

Penghapusan ekstensi tentu saja dapat menyebabkan masalah bagi pengembang.

Penilaian risiko yang sulit untuk dilakukan. Popularitas membawa dua hal:

• Semakin banyak orang yang mencoba memperbaikinya (melihat kode yang buruk)
• Semakin banyak orang yang mencoba meretasnya (dan memperkenalkan kode buruk) untuk menyerang basis pengguna yang lebih besar

Mari kita asumsikan untuk contoh-contoh ini kita berbicara tentang proyek open source dengan kode yang dihosting dalam sesuatu seperti github.

Jika sesuatu memiliki satu pengembang, itu hanya satu orang yang memeriksa kode. Jika seseorang (bukan pengembang) ingin menambahkan kode itu, mereka perlu membodohi pengembang untuk menambahkan patch berbahaya (itu terjadi), atau menargetkan otentikasi pengembang sehingga mereka dapat menambahkan kode sendiri (juga terjadi). Kemungkinan salah satu dari ini terjadi tergantung pada kemampuan pengembang dan keamanannya.

Jika ada 10 pengembang, ada 10 kali lebih banyak vektor serangan. Tetapi juga 10 kali lebih banyak orang yang mungkin menemukan kode.

Saya yakin ada satu titik dalam proyek di mana ia memperoleh momentum yang cukup untuk membuat orang melakukan audit keamanan reguler pada kodenya. Tetapi setiap saat sebelum itu, itu adalah ayunan dan bundaran.

tl; dr Ada terlalu sulit untuk diselesaikan secara realistis. Ada terlalu banyak unsur manusia. Jika itu penting, jangan percayai kecuali Anda dapat memverifikasi kode sendiri.