설치하기 전에 Chrome 확장 프로그램을 확인하세요.
- 범주: 구글 크롬
Google 크롬 확장 프로그램은 웹 브라우저의 기능을 확장하거나 웹을 탐색하는 동안 작업을 더 쉽게 만들어줍니다. 이 경우에도 인터넷에서 사용자를 추적하거나 광고를 표시하거나 사용자 시스템에 악성 코드를 다운로드하기 위해 회사에서 악용 될 수도 있습니다.
이 도움말은 Chrome 확장 프로그램을 설치하기 전에 확인하는 방법을 제공합니다. 설치 후 이미 너무 늦었을 수 있으므로 확장 프로그램이 브라우저에 설치되기 전에 그렇게하는 것이 중요합니다.
예를 들어 Sandbox 및 Wireshark와 같은 네트워크 트래픽 모니터를 사용하여 브라우저 확장에 대한 테스트 환경을 설정할 수 있지만 실제로는 대부분의 사용자가 편안하게 느끼지 못할 수 있습니다.
파트 0 : 신뢰하지 말아야 할 것
Chrome 웹 스토어는 모든 확장 프로그램에 필요한 안전한 위치처럼 보일 수 있지만 그렇지 않습니다. Google은 개발자가 스토어에 업로드하는 확장 프로그램을 스캔하는 자동 검사를 사용합니다. 이러한 검사는 모든 형태의 개인 정보 침해 또는 노골적인 악의적 인 기능을 일부만 포착합니다.
Trend Micro의 발견 예를 들어 2014 년 공식 웹 스토어에 악성 브라우저 확장이 있었는데, 그렇게 한 회사는 이것이 유일한 회사가 아닙니다.
확장 프로그램에서 모든 보안 검사를 통과하는 일반적인 방법은 악성 페이로드를로드하는 스크립트를 포함하는 것입니다.
확장 프로그램 자체에는 Chrome 웹 스토어에 제출할 때 포함되지 않습니다. 따라서 확장 프로그램은 검사를 통과하고 모든 Chrome 사용자가 다운로드 할 수있는 스토어에 추가됩니다.
최근 한 가지 불쾌한 예에 관심이 있다면 브라우저의 맬웨어 Maxime Kjear의 기사.
설명은 확장 프로그램 개발자가 작성하므로 확인 없이는 신뢰할 수 없습니다.
사용자 의견은 문제가있는 확장을 강조 표시 할 수 있지만 항상 그런 것은 아닙니다. 따라서 검증 없이는이 점에서도 신뢰할 수 없습니다.
마지막으로, 권장 사항을 맹목적으로 신뢰하거나 확장 기능이 필요하거나 광고에 필요하기 때문에 설치를 제안해서는 안됩니다.
1 부 : 설명
분석, 클릭 추적, 검색 기록 추적 및 기타 추적 양식을 사용하는 많은 확장 프로그램은 확장 프로그램 설명에서 사실을 강조합니다.
Google은 매장의 실체보다 스타일을 선호하기 때문에 이것을 한 눈에 보지 못할 수도 있습니다. 설명 필드는 작기 때문에 모든 것을 읽으려면 스크롤해야하는 경우가 많습니다.
인기있는 멋진 스크린 샷 예를 들어 확장. 합법적으로 보입니까? 많은 긍정적 인 리뷰, 580,000 명 이상의 사용자.
시간을내어 설명을 스크롤하면 결국 다음 구절을 발견하게됩니다.
Awesome Screenshot 브라우저 확장 프로그램을 사용하려면 익명의 클릭 스트림 데이터를 캡처 할 수있는 권한을 부여해야합니다.
다른 예를 원하십니까? 과거 통합 추적에 대해 비판을 받았던 120 만 명 이상의 사용자가있는 확장 프로그램 인 Hover Zoom은 어떻습니까? 아래로 스크롤하면 ..
Hover Zoom은 확장 사용자가 내부적으로 사용하고 제 3 자와 공유 할 브라우징 활동을 수집 할 수있는 Hover Zoom 권한을 부여해야합니다.
Flash Player +는 데이터를 기록하고 해당 데이터를 타사와 공유한다는 설명을 강조하는 또 다른 확장 기능입니다.
이 소프트웨어를 지속적으로 지원하고 개선하기 위해이를 설치 한 사용자는 Fairshare가 비즈니스 및 연구 목적으로 자신과 웹 사용 활동에 대한 정보를 수집하고 제 3 자와 공유 할 수 있도록 허용합니다.
이러한 확장을 찾는 빠른 방법은 해당 설명에 사용 된 구문을 검색하는 것입니다. 예를 들어 옵트 아웃을 검색하면 검색 결과에 많은 항목이 표시됩니다 (적법한 확장 옆에 있음). 많은 사람들이 동일한 설명을 사용하므로 '정보 수집 및 공유'를 검색하면 이러한 종류의 추적을 사용하는 확장 프로그램이 표시됩니다.
2 부 : 직접적인 정보
Chrome 웹 스토어의 확장 프로그램 프로필 페이지에 다음 정보가 표시됩니다.
그것을 생성 / 제공 한 회사 또는 개인.
집계 등급 및 등급을 지정한 사용자 수입니다.
총 사용자 수입니다.
마지막 업데이트 날짜입니다.
버전.
정보는 단서를 제공하지만 연장을 판단하기에 충분하지 않습니다. 예를 들어 많은 사람들이 가짜로 만들거나 인위적으로 부 풀릴 수 있습니다.
Google은 회사 또는 개인의 모든 확장에 대한 링크를 제공하지 않으며 유효성 검사를받을 수있는 옵션이 없습니다.
검색을 사용하여 회사 또는 개인의 다른 확장을 찾을 수 있지만 결과에 모두 나열된다는 보장은 없습니다.
파트 3 : 권한
일반적으로 확장 프로그램이 합법적인지, 단독으로 요청하는 권한을 기반으로 사용자를 추적하는지 또는 노골적으로 악의적인지 판단하는 것은 불가능합니다.
그러나 그 지표가 있습니다. 예를 들어, Facebook을 개선하는 확장 프로그램이 '방문하는 웹 사이트의 모든 데이터를 읽고 변경'하도록 요청하는 경우이를 기반으로 확장 프로그램을 설치하지 않는 것이 좋습니다. Facebook에서만 작동해야하므로 모든 사이트에서 데이터를보고 조작하기 위해 광범위한 권한을 부여 할 필요가 없습니다.
그러나 이것은 단지 지표 일 뿐이지 만 상식을 사용하면 문제가있는 확장 프로그램 설치를 피할 수 있습니다. 일반적으로 유사한 기능을 제공하지만 광범위한 권한 요청없이 사용할 수있는 대안이 있습니다.
설치된 모든 확장 프로그램에 대해서도 이러한 권한을 확인할 수 있습니다. chrome : // extensions /를로드하고 각 확장 아래의 세부 정보 링크를 클릭합니다. 그러면 해당 확장 프로그램의 모든 권한 요청이 브라우저에 팝업으로 다시 표시됩니다.
파트 4 : 개인 정보 보호 정책
확장 프로그램이 개인 정보 보호 정책 페이지로 연결되는 경우 사용자를 추적하는지 여부를 나타내는 정보를 찾을 수 있습니다. 이것은 노골적인 악성 확장 프로그램에 대해 분명히 작동하지 않습니다.
예를 들어 Hover Zoom과 같은 확장 프로그램에서 연결된 Fairshare 개인 정보 보호 정책을 확인하면 다음과 같은 구절을 찾을 수 있습니다.
회사는 브라우저 쿠키, 웹 및 DOM 저장 데이터, Adobe Flash 쿠키, 픽셀, 비콘 및 익명의 고유 식별자를 포함 할 수있는 기타 추적 및 데이터 수집 기술을 사용할 수 있습니다.
이러한 기술은 귀하가 액세스 한 웹 페이지, 기능 및 콘텐츠, 귀하가 실행 한 검색 쿼리, 추천 URL 정보, 귀하가 클릭 한 링크 및 귀하의 광고를 포함하되 이에 국한되지 않는 귀하의 서비스 사용에 관한 정보를 수집하고 저장하는 데 사용될 수 있습니다. 본.
이 데이터는 관련성 높은 광고 및 콘텐츠 제공, 시장 조사와 같은 비즈니스 목적으로 사용됩니다.
파트 5 : 소스 코드
소스 코드를 살펴 보는 것이 확장 프로그램이 사용자를 추적하는지 또는 악의적인지 확인하는 데 가장 좋은 옵션 일 수 있습니다.
이것은 들리는 것만 큼 기술적이지 않을 수 있으며 초보적인 HTML 및 JavaScript 기술을 사용하여 결정하는 것이 종종 가능합니다.
가장 먼저 필요한 것은 확장을 설치하지 않고도 확장의 소스 코드를 가져올 수있는 확장입니다. Chrome 확장 소스 뷰어 이를 지원하는 Chrome 용 오픈 소스 확장 프로그램입니다.
그에 대한 대안은 샌드 박스 환경에서 Chrome을 실행하고 확장 프로그램을 설치하여 파일에 액세스하는 것입니다.
확장 소스 뷰어를 사용하는 경우 Chrome 웹 스토어의 주소 표시 줄에서 crx 아이콘을 클릭하여 확장을 zip 파일로 다운로드하거나 브라우저에서 바로 소스를 볼 수 있습니다.
모든 .css 및 이미지 파일을 즉시 무시할 수 있습니다. 자세히 살펴 봐야하는 파일의 확장자는 일반적으로 .js 또는 .json입니다.
먼저 manifest.json 파일을 확인하고 content_security_policy 값을 확인하여 도메인 목록을 볼 수 있지만 일반적으로 충분하지 않습니다.
일부 확장 프로그램은 추적 파일, 예를 들어 광고에 명백한 이름을 사용하므로 여기서 시작하는 것이 좋습니다.
JavaScript를 모르면 알 수 없지만 그렇지 않은 경우에는 알 수 없습니다.
이제 당신 : Chrome 확장 프로그램을 실행하십니까? 설치하기 전에 확인 했습니까?