Instal ekstensi GNOME melalui situs web: kerentanan keamanan?

9

Saya menemukan ekstensi GNOME melalui pencarian Google (menggunakan Chromium), dan sangat terkejut bahwa saya dapat dengan mudah mengaktifkan sakelar Nyala / Mati untuk membuat situs web menginstal ekstensi GNOME penuh di komputer saya tanpa melibatkan langkah manual lainnya. (diuji, ini berfungsi dengan Firefox juga.) Memang, itu muncul kotak dialog yang meminta saya untuk mengkonfirmasi instalasi, tetapi ...

  1. Meskipun ini bagus untuk kemudahan penggunaan dan kegunaan, bukankah ada kerentanan keamanan dengan ini? Saya akan tertarik mengetahui bagaimana tepatnya fitur ini bekerja, dan apakah saya harus khawatir tentang "pintu belakang" yang memungkinkan peretas untuk dengan mudah menginstal executable pada mesin saya.

  2. Apakah ekstensi di situs GNOME diperiksa? Apakah ada cara untuk mengetahui apakah ekstensi aman atau tidak?

  3. Apakah browser Chromium dan Firefox dimodifikasi oleh GNOME untuk memungkinkan fitur ini? Apakah ada perubahan khusus Chromome / Firefox GNOME khusus yang harus diketahui pengguna?

PEMBARUAN: Setelah mengerti bagaimana ini bekerja, saya sekarang percaya ini adalah fitur yang sangat bagus terutama untuk pengguna non-teknis, tapi itu sedikit membuat saya khawatir ketika saya pertama kali menemukannya.

Suman
sumber

Jawaban:

3

Iya dan tidak.

Pertama, tautan yang Anda klik untuk memasang ekstensi dikodekan, khususnya (saya pikir) untuk gnome 3.2 sebagai metode untuk penanaman. Jadi dalam pengertian itu situs "tepercaya".

Kedua, ekstensi gnome adalah skrip pengguna, disimpan hanya untuk pengguna Anda. Mereka tidak memiliki akses ke informasi apa pun yang tidak dapat diakses oleh pengguna. Jadi misalnya tidak ada ekstensi shell untuk menulis file ke /.

Ketiga, Browser tidak dimodifikasi, tetapi shell gnome.

Pada dasarnya metode instalasi tidak kurang aman daripada memberikan Anda file tar.gz dan memberitahu Anda untuk secara manual mengekstraknya di direktori home Anda. Sebaliknya atau tidak, masing-masing ekstensi aman adalah keputusan yang harus Anda buat berdasarkan kasus per kasus. Namun gnome.org adalah situs yang sah, seperti halnya sub domain ekstensi.

kapas
sumber
Terima kasih banyak atas penjelasan terperincinya. Tetapi untuk memungkinkan instalasi otomatis, bukankah browser harus dimodifikasi untuk mengizinkan ini? Saya membaca lagi, sepertinya ini dilakukan melalui plugin Firefox / Chromium?
Suman
Ya plugin "Gnome Shell Integration" di berbasis firefox dan chrome.
coteyr