Расширения имеют доступ к особым привилегиям в браузере, что делает их привлекательной целью для злоумышленников. Если расширение взломано, каждый пользователь этого расширения становится уязвимым для злонамеренного и нежелательного вторжения. Обеспечьте безопасность расширения и защиту его пользователей, применяя эти методы.
Защитите учетные записи разработчиков
Код расширения загружается и обновляется через учетные записи Google. Если учетные записи разработчиков будут скомпрометированы, злоумышленник может передать вредоносный код непосредственно всем пользователям. Защитите эти учетные записи, включив двухфакторную аутентификацию , желательно с ключом безопасности .
Делайте группы выборочными
Если вы используете групповую публикацию , оставьте группу только доверенным разработчикам. Не принимайте заявки на членство от неизвестных лиц.
Никогда не используйте HTTP
При запросе или отправке данных избегайте HTTP-соединения. Предположим, что любые HTTP-соединения будут перехватывать или содержать изменения. Всегда следует отдавать предпочтение HTTPS, поскольку он имеет встроенную систему безопасности, позволяющую обойти большинство атак «человек посередине» .
Запросить минимальные разрешения
Браузер Chrome ограничивает доступ расширения к привилегиям, явно запрошенным в манифесте . Расширения должны минимизировать свои разрешения, регистрируя только API и веб-сайты, от которых они зависят.
Ограничение привилегий расширения ограничивает возможности потенциального злоумышленника.
Извлечение из перекрестного источника()
Расширение может использовать только fetch()
и XMLHttpRequest()
для получения ресурсов из расширения и из доменов, указанных в разрешениях. Обратите внимание, что вызовы обоих перехватываются обработчиком выборки в сервис-воркере.
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"host_permissions": [
"https://developer.chrome.com/*",
"https://*.google.com/*"
],
"manifest_version": 3
}
Это расширение в приведенном выше примере запрашивает доступ ко всему на сайте Developer.chrome.com и поддоменам Google, указав "https://developer.chrome.com/*"
и "https://*.google.com/*"
в разрешения. Если бы расширение было скомпрометировано, оно все равно имело бы разрешение на взаимодействие только с веб-сайтами, которые соответствуют шаблону соответствия . Злоумышленник будет иметь лишь ограниченные возможности доступа к "https://user_bank_info.com"
или взаимодействия с "https://malicious_website.com"
.
Ограничить поля манифеста
Включение ненужных ключей и разрешений в манифест создает уязвимости и делает расширение более заметным. Ограничьте поля манифеста теми, от которых зависит расширение.
Внешнее подключение
Используйте поле "externally_connectable"
чтобы указать, с какими внешними расширениями и веб-страницами расширение будет обмениваться информацией. Ограничьте круг лиц, с которыми расширение может подключаться извне, доверенными источниками.
{
"name": "Super Safe Extension",
"externally_connectable": {
"ids": [
"iamafriendlyextensionhereisdatas"
],
"matches": [
"https://developer.chrome.com/*",
"https://*.google.com/*"
],
"accepts_tls_channel_id": false
},
...
}
Доступные через Интернет ресурсы
Если сделать ресурсы доступными через Интернет в разделе "web_accessible_resources"
, расширение будет обнаружено веб-сайтами и злоумышленниками.
{
...
"web_accessible_resources": [
{
"resources": [ "test1.png", "test2.png" ],
"matches": [ "https://web-accessible-resources-1.glitch.me/*" ]
}
]
...
}
Чем больше доступных веб-ресурсов, тем больше возможностей может использовать потенциальный злоумышленник. Сведите эти файлы к минимуму.
Включите явную политику безопасности контента.
Включите в манифест политику безопасности контента для расширения, чтобы предотвратить атаки с использованием межсайтовых сценариев. Если расширение загружает ресурсы только от себя, пропишите следующее:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": {
"extension_pages": "default-src 'self'"
},
"manifest_version": 3
}
Если расширению необходимо использовать веб-сборку или увеличить ограничения на страницы в песочнице , их можно добавить:
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": {
"extension_pages": "script-src 'self' 'wasm-unsafe-eval'; object-src 'self';",
"sandboxed_pages":"script-src 'self' 'wasm-unsafe-eval'; object-src 'self';"
},
"manifest_version": 3
}
Избегайте document.write() и InnerHTML.
Хотя динамически создавать HTML-элементы с помощью document.write()
и innerHTML
может быть проще, это оставляет расширение и веб-страницы, от которых зависит расширение, открытыми для злоумышленников, вставляющих вредоносные сценарии. Вместо этого вручную создайте узлы DOM и используйте innerText
для вставки динамического контента.
function constructDOM() {
let newTitle = document.createElement('h1');
newTitle.innerText = host;
document.appendChild(newTitle);
}
Используйте сценарии контента осторожно
Хотя контент-скрипты живут в изолированном мире , они не застрахованы от атак:
- Скрипты контента — единственная часть расширения, которая напрямую взаимодействует с веб-страницей. Из-за этого враждебные веб-страницы могут манипулировать частями DOM, от которых зависит сценарий содержимого, или использовать неожиданное поведение веб-стандартов, например именованные элементы .
- Для взаимодействия с DOM веб-страниц сценарии контента должны выполняться в том же процессе рендеринга, что и веб-страница. Это делает сценарии контента уязвимыми для утечки данных через атаки по побочным каналам (например, Spectre ), а также для захвата злоумышленником, если вредоносная веб-страница ставит под угрозу процесс рендеринга.
Операции с использованием конфиденциальных данных (например, личной информации пользователя) или API Chrome с доступом к функциям браузера должны выполняться в сервис-воркере расширений. Избегайте случайного предоставления привилегий расширения скриптам контента:
- Предположим, что сообщения из сценария содержимого могли быть созданы злоумышленником (например, проверить и очистить все входные данные и защитить ваши сценарии от межсайтового сценария ).
- Предположим, что любые данные, отправленные в сценарий содержимого, могут попасть на веб-страницу. Не отправляйте конфиденциальные данные (например, секреты расширения, данные из других веб-источников, историю посещений) в сценарии контента.
- Ограничьте объем привилегированных действий, которые могут быть инициированы сценариями содержимого. Не разрешайте сценариям содержимого инициировать запросы к произвольным URL-адресам или передавать произвольные аргументы в API расширений (например, не разрешайте передавать произвольные URL-адреса в методы
fetch()
илиchrome.tabs.create()
).
Регистрация и дезинфекция входных данных
Защитите расширение от вредоносных сценариев, ограничив прослушиватели только тем, что ожидает расширение, проверяя отправителей входящих данных и очищая все входные данные.
Расширение должно регистрироваться для runtime.onMessageExternal
только в том случае, если оно ожидает связи с внешним веб-сайтом или расширением. Всегда проверяйте, соответствует ли отправитель надежному источнику.
// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";
chrome.runtime.onMessageExternal.addListener(
function(request, sender, sendResponse) {
if (sender.id === kFriendlyExtensionId)
doSomething();
});
Даже сообщения через событие runtime.onMessage от самого расширения должны быть тщательно проверены, чтобы убедиться, что MessageSender не относится к скомпрометированному сценарию содержимого .
chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
if (request.allowedAction)
console.log("This is an allowed action.");
});