Instale extensões do GNOME através do site: vulnerabilidade de segurança?

9

Encontrei uma extensão do GNOME através de uma pesquisa no Google (usando o Chromium) e fiquei muito surpreso ao poder simplesmente alternar o botão On / Off para que o site instalasse uma extensão completa do GNOME no meu computador sem nenhuma outra etapa manual envolvida. (testado, isso também funciona com o Firefox.) É verdade que ele abre uma caixa de diálogo pedindo para confirmar a instalação, mas ...

  1. Embora isso seja ótimo para facilitar o uso e a usabilidade, não existem vulnerabilidades de segurança nisso? Eu estaria interessado em saber exatamente como esse recurso funciona e se devo me preocupar com quaisquer "backdoors" que possam permitir que hackers instalem facilmente executáveis ​​em minha máquina.

  2. As extensões no site GNOME são examinadas? Existe uma maneira de saber se as extensões são seguras ou não?

  3. Os navegadores Chromium e Firefox foram modificados pelo GNOME para permitir esse recurso? Existem outras alterações personalizadas do GNOME Chromium / Firefox que os usuários devem conhecer?

ATUALIZAÇÃO: Depois de entender como isso funciona, agora acredito que esse é um recurso realmente excelente, especialmente para usuários não técnicos, mas me assustou um pouco quando o encontrei pela primeira vez.

gnome  security  gnome-shell  gnome-shell-extension  extension 
Suman
fonte

Respostas:

3

Sim e não.

Primeiro, o link em que você clicou para instalar uma extensão foi codificado, especificamente (eu acho) para o gnome 3.2 como um método de instilação. Portanto, nesse sentido, é um site "confiável".

Segundo, as extensões gnome são scripts de usuário, armazenados apenas para o seu usuário. Eles não têm acesso a nenhuma informação à qual o usuário não tem acesso. Por exemplo, não pode haver extensões de shell para gravar arquivos em /.

Terceiro, os navegadores não foram modificados, mas o shell gnome era.

Basicamente, o método de instalação não é menos seguro do que fornecer um arquivo tar.gz e solicitar que você o extraia manualmente no diretório inicial. Em vez disso, as extensões individuais são seguras ou não, é uma decisão que você precisa tomar caso a caso. No entanto, o gnome.org é um site legítimo, assim como o subdomínio das extensões.

coteyr
fonte
Entendi, muito obrigado pela explicação detalhada. Mas para permitir a instalação automatizada, o navegador não precisaria ser modificado para permitir isso? Eu li um pouco mais, parece que isso é feito através de um plugin Firefox / Chromium?
Suman
Sim plug-in "Gnome Shell Integration" no firefox e no Chrome.
Coteyr 01/12/12
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.