yunssr稳定下载

马克-斯托克利
2023 年 9 月 5 日

威斯康星大学麦迪逊分校的研究人员已经证明Chrome 浏览器扩展可窃取密码即使扩展符合 Chrome 浏览器最新的安全和隐私标准，也会从网站的文本输入框中删除、宣言 V3.

为了证明这一点，他们创建了一个可以窃取密码的概念验证浏览器扩展，并通过none.

none

一方面，浏览器扩展程序的访问权限越大，它们能做的事情就越多，功能也就越实用。 另一方面，扩展程序是由第三方制作的，这些第三方可能值得信赖，也可能不值得信赖，它们的访问权限越大，如果是恶意的，就会造成更大的危害。

谷歌最新推出的 Manifest V3 标准是在这两件事之间实现合理平衡的最佳尝试。微软Edge和火狐浏览器.

Manifest V3 以多种方式加强了安全性，其中最显著的是阻止扩展从远程网站下载代码。 这将阻止扩展在安装后改变其功能，从而使谷歌更容易在 Chrome 网上商城审核过程中了解扩展的功能。

尽管 Manifest V3 让那些想窃取密码和其他敏感信息的恶意扩展变得更难对付，但研究人员已经证明，窃取密码的扩展仍有可能通过审核流程。

这种攻击之所以可行，是因为扩展程序与网页之间的交互并没有改变。 扩展程序仍然可以访问网页的全部内容，包括用户可能输入密码、社会安全号（SSN）和信用卡信息等敏感信息的文本输入框。

攻击成功与否取决于扩展程序是否能够完全、不受限制地访问文档对象模型（DOM）none

......当扩展被加载到网站上时，它就被集成到 DOM 树中，通过 DOM API 无限制地访问所有 DOM 元素。 这就暴露了一个关键的安全问题--扩展与 DOM 树的其他部分之间缺乏安全边界。

none

为了证明这种技术在现实世界中是可行的，研究人员创建了一个浏览器扩展，伪装成一个基于 GPT 的助手，在网站上提供类似 ChatGPT 的功能。 这样，扩展程序就可以似是而非地请求在所有网站上运行的许可。 (该扩展一通过审核就被撤回了）。

在确定使用这些技术的恶意扩展有可能通过审核流程后，研究人员分析了网店上已有的扩展，发现其中 12.5% 的扩展拥有利用密码输入字段漏洞的必要权限，并确定了 190 个直接访问密码字段的扩展。

#@#The researchers offer two potential fixes: A "bolt on" remedy for vulnerable sites and a "built in" remedy for browsers. The bolt on is a JavaScript library that can be added to websites to prevent unwanted access to password fields. To be successful it would need to be widely adopted and, frankly, history suggests it probably wouldn't be. The built in remedy suggests changing Chrome to alert users whenever any JavaScript function accesses any password fields. This would be no small undertaking, but seems more likely to succeed if Google can be persuaded to adopt it.#@#

我们不仅要报告威胁，还要消除威胁

网络安全风险绝不能在标题之外蔓延。 让威胁远离您的设备立即下载 Malwarebytes.

评论