Instale as extensões do GNOME através do site: vulnerabilidade de segurança?

Navegue suas respostas
7

Eu encontrei uma extensão do GNOME através de uma pesquisa no Google (usando o Chromium), e fiquei muito surpreso que eu pudesse simplesmente alternar o botão On / Off para que o site instalasse uma extensão completa do GNOME no meu computador sem quaisquer outras etapas manuais envolvidas. (testado, isso também funciona com o Firefox.) Com certeza, ele abre uma caixa de diálogo solicitando que eu confirme a instalação, mas ...

  1. Embora isso seja ótimo para facilidade de uso e usabilidade, não há vulnerabilidades de segurança com isso? Eu estaria interessado em saber exatamente como esse recurso funciona, e se eu deveria estar preocupado com quaisquer "backdoors" que isso possa permitir que hackers instalem facilmente executáveis em minha máquina.

  2. As extensões do site do GNOME foram avaliadas? Existe uma maneira de saber se as extensões são seguras ou não?

  3. Os navegadores Chromium e Firefox são modificados pelo GNOME para permitir esse recurso? Existem outras alterações personalizadas no GNOME Chromium / Firefox que os usuários devem conhecer?

ATUALIZAÇÃO: Tendo entendido como isso funciona, agora acredito que esse é um ótimo recurso, especialmente para usuários não técnicos, mas me alarmou um pouco quando o encontrei pela primeira vez.

    
por Suman 01.12.2012 / 19:25

1 resposta

2

Sim e não.

Primeiro, o link em que você clicou para instalar uma extensão foi codificado, especificamente (eu acho) para o gnome 3.2 como um método para instilação. Então, nesse sentido, é um site "confiável".

Segundo, as extensões gnome são scripts de usuário, armazenados apenas para o usuário. Eles não têm acesso a nenhuma informação que o usuário não tenha acesso. Então, por exemplo, não pode haver extensões do shell para gravar arquivos em /.

Em terceiro lugar, os navegadores não foram modificados, mas o shell do gnome foi.

Basicamente, o método de instalação não é menos seguro, fornecendo-lhe um arquivo tar.gz e dizendo para você extraí-lo manualmente em seu diretório pessoal. Em vez disso, as extensões individuais são seguras é uma decisão que você precisa tomar caso a caso. No entanto, o gnome.org é um site legítimo, assim como o subdomínio de extensões.

    
por coteyr 01.12.2012 / 19:34

Tags

Este é um bug do Unity Dash ou do Aptana Studio 3? Ícone no Dash sendo exibido muito grande. O que há de errado com esse método de usar um plano de fundo de tela de bloqueio alternativo?