Почему плагинам Chrome нужен доступ ко всем моим данным и просмотрам?

Если вы установили подключаемые модули Chrome, вы, вероятно, видели предупреждение о том, что они могут получить доступ к вашим данным на всех веб-сайтах, вашим вкладкам и просмотрам страниц или даже ко всем данным на вашем компьютере. Это предупреждение может быть страшным, особенно если вы устанавливаете простое расширение для браузера, которое выглядит безвредным.

У Chrome есть система разрешений, как у Android

, К сожалению, работа веб-браузеров и веб-страниц означает, что расширения должны запрашивать довольно много разрешений для выполнения простых задач. Система разрешений Chrome не особо детализирована.

Разрешения плагинов

В отличие от Mozilla Firefox и Internet Explorer

Оба из которых позволяют расширениям делать все, что они хотят, Chrome использует систему разрешений для своих расширений. Все плагины Chrome должны декларировать необходимые им разрешения. При установке плагина вы увидите список необходимых ему разрешений. Это дает вам некоторое представление о том, что может сделать плагин. Например, если расширение не требует каких-либо разрешений, его безопасно установить. Если расширение требует разрешения для доступа ко всем данным на вашем компьютере, вы должны быть уверены, что расширение было создано кем-то, кому вы доверяете.

Очень простые плагины, такие как плагин Timer, который отображает кнопку таймера на панели инструментов браузера и не взаимодействует с какими-либо веб-сайтами, не требует никаких разрешений.

Другие плагины требуют разных типов разрешений, в зависимости от того, что они делают.

Доступ к вашим данным на всех сайтах

Плагины, которые взаимодействуют с веб-страницами, должны декларировать разрешения «Доступ к вашим данным на всех веб-сайтах». Плагины, которым необходимо просматривать адреса и названия веб-сайтов, которые вы посещаете, должны декларировать разрешение «Доступ к вашим вкладкам и активность просмотра».

Например, LastPass

это менеджер паролей

для этого необходимо определить, какой веб-сайт вы посещаете, автоматически заполнить формы сохраненными паролями, а также определить, когда вы ввели пароль, и предложить его сохранить. Расширение LastPass Chrome должно запрашивать все эти разрешения, поскольку оно должно просматривать веб-сайты, к которым вы обращаетесь, и запускать код JavaScript на посещаемых вами страницах.

Другие менее инвазивные расширения также могут запрашивать эти разрешения. Любое расширение, которое работает с помощью кода JavaScript на посещаемых вами веб-сайтах, должно иметь возможность «Доступ к вашим данным на всех веб-сайтах». Например, плагин colorPicker позволяет выбрать цвет, используемый на текущем веб-сайте, и просмотреть его точный код цвета. Он работает, выполняя код JavaScript на текущей странице, поэтому он должен иметь доступ ко всем вашим данным.

У Google нет возможности узнать, делает ли расширение, управляющее посещаемыми вами страницами, что-то безобидное, например, выбор цвета.

или делать что-то более опасное, например, следить за номером вашей кредитной карты и информацией об оплате.

Расширения, которые работают только на одном веб-сайте, например расширение, добавляющее дополнительные функции в Gmail.

, будет иметь разрешение только на доступ к вашим данным на этом конкретном веб-сайте. Такие расширения, как LastPass и colorPicker, должны работать везде и требовать дополнительных разрешений.

Доступ ко всем данным на вашем компьютере

Некоторые плагины Chrome — это не просто расширения Chrome. Они включают в себя плагины NPAPI. Плагины NPAPI — это просто программы, которые запускаются на вашем компьютере. Плагины для браузера, такие как Adobe Flash, Oracle Java

и Adobe PDF Reader являются плагинами NPAPI.

Когда расширение Chrome содержит плагин NPAPI, у него есть разрешение «Доступ ко всем данным на вашем компьютере и к веб-сайтам, которые вы посещаете». Плагин NPAPI запускается точно так же, как программа на вашем компьютере с доступом ко всему вашему в вашей системе. Вы должны быть осторожны при установке плагинов Chrome с этим разрешением — это все равно что устанавливать программу на ваш компьютер.

Например, LastPass имеет специальную версию своего плагина Chrome, доступную на его веб-сайте. Этот плагин имеет возможность поделиться вашим состоянием входа в LastPass с другими веб-браузерами, работающими на вашем компьютере. Он работает с помощью плагина NPAPI, который запускается как программа на вашем компьютере.

Плагины в других браузерах

Несмотря на то, что сообщения с предупреждениями Chrome для некоторых пользователей могут показаться немного пугающими, важно учитывать, что ситуация хуже с другими веб-браузерами.

Например, когда вы устанавливаете надстройку Firefox, надстройка имеет полное разрешение на доступ ко всему компьютеру, если он этого хочет. В Firefox нет системы разрешений. Единственное ограничение — контроль учетных записей Windows.

, что предотвращает запуск надстройки с правами администратора.

Если вы обратите внимание при установке дополнения Firefox, вы увидите похожее предупреждающее сообщение, хотя оно менее конкретное, чем предупреждение Chrome.

Это также относится ко всему другому программному обеспечению на вашем компьютере. Когда вы устанавливаете приложение для настольного компьютера Windows, оно имеет полный доступ к каждому файлу на вашем компьютере и возможность контролировать вашу активность в Интернете — если он этого хочет.

Хотя было бы неплохо, если бы система разрешений расширений Chrome была более детальной, было бы крайне сложно ограничить возможности более мощных расширений. Чтобы увидеть полный список разрешений для плагинов Chrome и краткое объяснение каждого из них, прочитайте эту страницу на веб-сайте Google.

Сколько внимания вы уделяете разрешениям при установке плагинов Chrome? Вы избегали установки плагинов, когда они запрашивают много разрешений, или система разрешений Chrome выдает так много предупреждений, что вы игнорируете их? Оставьте комментарий и поделитесь своими мыслями!