หน้านี้ได้รับการแปลโดย Cloud Translation API

ปลอดภัย

ส่วนขยายมีสิทธิ์พิเศษภายในเบราว์เซอร์ จึงกลายเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี หากส่วนขยายถูกบุกรุก ผู้ใช้ทุกคนที่ใช้ส่วนขยายนั้นจะมีความเสี่ยงต่อการบุกรุกที่เป็นอันตรายและไม่พึงประสงค์ รักษาความปลอดภัยให้กับส่วนขยายและปกป้องผู้ใช้ด้วยการใช้แนวทางปฏิบัติเหล่านี้

ปกป้องบัญชีนักพัฒนาแอป

ระบบจะอัปโหลดและอัปเดตโค้ดส่วนขยายผ่านบัญชี Google หากบัญชีของนักพัฒนาแอปถูกบุกรุก ผู้โจมตีอาจส่งโค้ดที่เป็นอันตรายไปยังผู้ใช้ทุกคนได้โดยตรง ปกป้องบัญชีเหล่านี้โดยเปิดใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย โดยควรใช้คีย์ความปลอดภัย

เก็บกลุ่มไว้แบบมีการเลือก

หากใช้การเผยแพร่กลุ่ม ให้จำกัดกลุ่มไว้เฉพาะนักพัฒนาแอปที่เชื่อถือได้ อย่ายอมรับคำขอเป็นสมาชิกจากผู้ที่ไม่รู้จัก

ไม่ใช้ HTTP

หลีกเลี่ยงการเชื่อมต่อ HTTP เมื่อขอหรือส่งข้อมูล สมมติว่าการเชื่อมต่อ HTTP ใดๆ จะมีผู้แอบฟังหรือมีการแก้ไข คุณควรใช้ HTTPS เสมอ เนื่องจากมีการรักษาความปลอดภัยในตัวซึ่งหลีกเลี่ยงการโจมตีแบบแทรกกลางการสื่อสารส่วนใหญ่ได้

ขอสิทธิ์ขั้นต่ำ

เบราว์เซอร์ Chrome จะจำกัดสิทธิ์เข้าถึงของส่วนขยายไว้เฉพาะสิทธิ์ที่ขออย่างชัดแจ้งในmanifest ส่วนขยายควรลดสิทธิ์ให้เหลือน้อยที่สุดโดยลงทะเบียนเฉพาะ API และเว็บไซต์ที่ตนใช้

การจํากัดสิทธิ์ของส่วนขยายจะจํากัดสิ่งที่ผู้โจมตีที่อาจเกิดขึ้นสามารถใช้ประโยชน์ได้

fetch() แบบข้ามแหล่งที่มา

ส่วนขยายจะใช้ได้เฉพาะ fetch() และ XMLHttpRequest() เพื่อรับทรัพยากรจากส่วนขยายและจากโดเมนที่ระบุไว้ในสิทธิ์ โปรดทราบว่าการเรียกใช้ทั้ง 2 รายการจะถูกขัดจังหวะโดยตัวแฮนเดิล fetch ใน Service Worker

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
  "host_permissions": [
    "https://developer.chrome.com/*",
    "https://*.google.com/*"
  ],
  "manifest_version": 3
}

ส่วนขยายในตัวอย่างด้านบนขอสิทธิ์เข้าถึงทุกอย่างใน developer.chrome.com และโดเมนย่อยของ Google โดยระบุ "https://developer.chrome.com/*" และ "https://*.google.com/*" ในสิทธิ์ หากส่วนขยายถูกบุกรุก ก็จะยังคงมีสิทธิ์โต้ตอบกับเว็บไซต์ที่ตรงกับรูปแบบการจับคู่เท่านั้น ผู้โจมตีจะมีสิทธิ์เข้าถึง "https://user_bank_info.com" หรือโต้ตอบกับ "https://malicious_website.com" แบบจํากัดเท่านั้น

จำกัดช่องไฟล์ Manifest

การใส่คีย์และสิทธิ์ที่ไม่จำเป็นในไฟล์ Manifest จะทำให้เกิดช่องโหว่และทำให้ส่วนขยายปรากฏขึ้นมากขึ้น จำกัดฟิลด์ไฟล์ Manifest ไว้เฉพาะฟิลด์ที่ส่วนขยายใช้

เชื่อมต่อภายนอกได้

ใช้ช่อง "externally_connectable" เพื่อประกาศส่วนขยายภายนอกและหน้าเว็บที่ส่วนขยายจะแลกเปลี่ยนข้อมูลด้วย จำกัดผู้ที่ส่วนขยายจะเชื่อมต่อภายนอกได้เพื่อไปยังแหล่งที่มาที่เชื่อถือได้

{
  "name": "Super Safe Extension",
  "externally_connectable": {
    "ids": [
      "iamafriendlyextensionhereisdatas"
    ],
    "matches": [
      "https://developer.chrome.com/*",
      "https://*.google.com/*"
    ],
    "accepts_tls_channel_id": false
  },
  ...
}

แหล่งข้อมูลที่เข้าถึงได้ทางเว็บ

การทำทรัพยากรให้เข้าถึงได้ทางเว็บในส่วน "web_accessible_resources" จะทำให้เว็บไซต์และผู้โจมตีตรวจพบส่วนขยายได้

{
  ...
  "web_accessible_resources": [
    {
      "resources": [ "test1.png", "test2.png" ],
      "matches": [ "https://web-accessible-resources-1.glitch.me/*" ]
    }
  ]
  ...
}

ยิ่งมีทรัพยากรที่เข้าถึงได้ทางเว็บมากเท่าใด ผู้โจมตีก็ยิ่งมีโอกาสที่จะใช้ประโยชน์ได้มากขึ้นเท่านั้น โปรดใช้ไฟล์เหล่านี้ให้น้อยที่สุด

ระบุนโยบายรักษาความปลอดภัยเนื้อหาที่อาจไม่เหมาะสม

ใส่นโยบายรักษาความปลอดภัยเนื้อหาสำหรับส่วนขยายในไฟล์ Manifest เพื่อป้องกันการโจมตีด้วย Cross-site Scripting หากส่วนขยายโหลดทรัพยากรจากตัวมันเองเท่านั้น ให้ลงทะเบียนข้อมูลต่อไปนี้

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
   "content_security_policy": {
    "extension_pages": "default-src 'self'"
  },
  "manifest_version": 3
}

หากส่วนขยายต้องใช้ Web Assembly หรือเพิ่มข้อจำกัดในหน้าที่อยู่ในแซนด์บ็อกซ์ ให้เพิ่มส่วนขยายดังนี้

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
   "content_security_policy": {
    "extension_pages": "script-src 'self' 'wasm-unsafe-eval'; object-src 'self';",
    "sandboxed_pages":"script-src 'self' 'wasm-unsafe-eval'; object-src 'self';"
  },

  "manifest_version": 3
}

หลีกเลี่ยง document.write() และ innerHTML

แม้ว่าการสร้างองค์ประกอบ HTML แบบไดนามิกด้วย document.write() และ innerHTML จะง่ายกว่า แต่จะทำให้ส่วนขยายและหน้าเว็บที่ส่วนขยายนั้นใช้เปิดโอกาสให้ผู้โจมตีแทรกสคริปต์ที่เป็นอันตรายได้ แต่ให้สร้างโหนด DOM ด้วยตนเองและใช้ innerText เพื่อแทรกเนื้อหาแบบไดนามิกแทน

function constructDOM() {
  let newTitle = document.createElement('h1');
  newTitle.innerText = host;
  document.appendChild(newTitle);
}

ใช้สคริปต์เนื้อหาอย่างระมัดระวัง

แม้ว่าสคริปต์เนื้อหาจะอยู่ในโลกที่แยกต่างหาก แต่ก็อาจถูกโจมตีได้ ดังนี้

สคริปต์เนื้อหาเป็นส่วนเดียวของส่วนขยายที่โต้ตอบกับหน้าเว็บโดยตรง ด้วยเหตุนี้ หน้าเว็บที่เป็นอันตรายจึงอาจดัดแปลงบางส่วนของ DOM ที่สคริปต์เนื้อหาใช้อยู่ หรือใช้ประโยชน์จากลักษณะการทำงานมาตรฐานของเว็บที่คาดไม่ถึง เช่น รายการที่มีชื่อ
หากต้องการโต้ตอบกับ DOM ของหน้าเว็บ สคริปต์เนื้อหาต้องทำงานในกระบวนการแสดงผลเดียวกับหน้าเว็บ ซึ่งทำให้สคริปต์เนื้อหามีความเสี่ยงที่จะเกิดการรั่วไหลของข้อมูลผ่านการโจมตีช่องทางข้างเคียง (เช่น Spectre) และถูกผู้โจมตีควบคุมหากหน้าเว็บที่เป็นอันตรายทำให้กระบวนการแสดงผลเสียหาย

การดำเนินการโดยใช้ข้อมูลที่ละเอียดอ่อน (เช่น ข้อมูลส่วนตัวของผู้ใช้) หรือ Chrome API ที่มีสิทธิ์เข้าถึงฟังก์ชันของเบราว์เซอร์ควรทำใน Service Worker ของส่วนขยาย หลีกเลี่ยงการเปิดเผยสิทธิ์ของส่วนขยายแก่สคริปต์เนื้อหาโดยไม่ตั้งใจ

สมมติว่าข้อความจากสคริปต์เนื้อหาอาจสร้างขึ้นโดยผู้โจมตี (เช่น ตรวจสอบและทำให้ข้อมูลเป็นรูปแบบที่ปลอดภัยอินพุตทั้งหมด และปกป้องสคริปต์จากสคริปต์ข้ามเว็บไซต์)
สมมติว่าข้อมูลที่ส่งไปยังสคริปต์เนื้อหาอาจรั่วไหลไปยังหน้าเว็บ อย่าส่งข้อมูลที่ละเอียดอ่อน (เช่น ข้อมูลลับจากส่วนขยาย ข้อมูลจากต้นทางอื่นๆ ของเว็บ ประวัติการท่องเว็บ) ไปยังสคริปต์เนื้อหา
จำกัดขอบเขตของการดำเนินการที่มีสิทธิ์ซึ่งสคริปต์เนื้อหาสามารถทริกเกอร์ได้ ไม่อนุญาตให้สคริปต์เนื้อหาทริกเกอร์คำขอไปยัง URL ที่กำหนดเองหรือส่งอาร์กิวเมนต์ที่กำหนดเองไปยัง API ของส่วนขยาย (เช่น ไม่อนุญาตให้ส่ง URL ที่กำหนดเองไปยังเมธอด fetch() หรือ chrome.tabs.create())

ลงทะเบียนและตรวจสอบอินพุต

ปกป้องส่วนขยายจากสคริปต์ที่เป็นอันตรายด้วยการจำกัดผู้ฟังให้ฟังเฉพาะสิ่งที่ส่วนขยายคาดหวัง ตรวจสอบผู้ส่งข้อมูลขาเข้า และทำให้อินพุตทั้งหมดปลอดภัย

ส่วนขยายควรลงทะเบียนสำหรับ runtime.onMessageExternal เฉพาะในกรณีที่คาดว่าจะมีการติดต่อสื่อสารจากเว็บไซต์หรือส่วนขยายภายนอก ตรวจสอบเสมอว่าผู้ส่งตรงกับแหล่งที่มาที่เชื่อถือได้

// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";

chrome.runtime.onMessageExternal.addListener(
  function(request, sender, sendResponse) {
    if (sender.id === kFriendlyExtensionId)
      doSomething();
});

แม้แต่ข้อความผ่านเหตุการณ์ runtime.onMessage จากส่วนขยายเองก็ควรตรวจสอบอย่างละเอียดเพื่อให้แน่ใจว่า MessageSender ไม่ได้มาจากสคริปต์เนื้อหาที่ถูกบุกรุก

chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
  if (request.allowedAction)
    console.log("This is an allowed action.");
});