Nutzer installieren eine Erweiterung nicht, wenn sie ihre Privatsphäre gefährdet oder nach weiteren Berechtigungen fragt das sie benötigt. Berechtigungsanfragen sollten für Nutzer Sinn ergeben und auf die kritischen Informationen, die zur Implementierung der Erweiterung erforderlich sind. Erweiterungen, die Nutzerdaten erheben oder übertragen Sie müssen die Datenschutzrichtlinien für Nutzerdaten einhalten .
Schützen und respektieren Sie die Nutzer von Erweiterungen, indem Sie diese Vorsichtsmaßnahmen ergreifen, um ihre Identität zu schützen. Denken Sie daran: Je weniger Daten eine Erweiterung zugänglich ist, desto weniger Daten können versehentlich gehackt werden.
Erforderliche Berechtigungen reduzieren
Die APIs, auf die eine Erweiterung zugreifen kann, sind im Berechtigungsfeld im Manifest angegeben. Die Je mehr Berechtigungen ein Angreifer gewährt wird, desto mehr Möglichkeiten hat er, Informationen abzufangen. Nur die APIs sollte eine Erweiterung aufgelistet und weniger invasive Erweiterungen in Betracht gezogen werden. Optionen. Je weniger Berechtigungen eine Erweiterung anfordert, desto weniger Berechtigungswarnungen werden einem Nutzer Nutzer. Erweiterungen werden eher installiert, wenn nur eingeschränkte Warnungen vorhanden sind.
Erweiterungen sollten nicht „zukunftssicher“ sein. auf Nutzerdaten zugreifen, indem sie Berechtigungen anfordert, die Sie aktuell brauchen, aber möglicherweise in Zukunft implementiert werden. Neue Berechtigungen bei Erweiterungsupdates und sollten Sie sie als optional definieren.
activeTab
Erweiterungen, die Hostberechtigungen zum Einschleusen von Scripts verwenden, können stattdessen häufig activeTab ersetzen.
Die Berechtigung „activeTab“ gewährt einer Erweiterung vorübergehenden Zugriff auf den derzeit aktiven Tab.
wenn der Nutzer die Erweiterung auffordert. Der Zugriff wird abgeschnitten, wenn Nutzende die Seite verlassen oder
Schließt den aktuellen Tab. Es dient als Alternative für viele Anwendungsfälle von <all_urls>.
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"permissions": ["activeTab"],
"manifest_version": 2
}
Mit der ActiveTab-Berechtigung werden während der Installation keine Warnmeldungen angezeigt.
Optionale Berechtigungen aktivieren
Bieten Sie Nutzern die Möglichkeit, die Funktionen und Berechtigungen, die sie von einer Erweiterung benötigen, auszuwählen.
optionalen Berechtigungen. Ist eine Funktion für die Hauptfunktion einer Erweiterung nicht erforderlich,
können Sie sie optional machen und die API oder Domain in das Feld optional_permissions verschieben.
{
"name": "Very Secure Extension",
...
"optional_permissions": [ "tabs", "https://www.google.com/" ],
...
}
Mit optionalen Berechtigungen kann eine Erweiterung erklären, warum eine bestimmte Berechtigung erforderlich ist. wenn der Nutzer die jeweilige Funktion aktiviert. Über die Erweiterung kann der Nutzer Funktionen.
Wenn Sie auf OK! klicken, wird das folgende Ereignis im Hintergrundskript ausgelöst.
document.querySelector('#button').addEventListener('click', function(event) {
// Permissions must be requested from inside a user gesture, like a button's
// click handler.
chrome.permissions.request({
permissions: ['tabs'],
origins: ['https://www.google.com/']
}, function(granted) {
// The callback argument will be true if the user granted the permissions.
if (granted) {
// doSomething();
} else {
// doSomethingElse();
}
});
});
Der Nutzer erhält dann die folgende Anfrage.
Optionale Berechtigungen können auch in einem Erweiterungsupdate implementiert werden. Dadurch wird das neue eine Funktion, die Nutzern zur Verfügung steht, ohne die Erweiterung zu deaktivieren, wie es bei der Aktualisierung mit neuen erforderlichen Berechtigungen.
Nutzerdaten einschränken und schützen
Fordern Sie nur die Nutzerdaten an, die für eine Erweiterung mindestens erforderlich sind. Je weniger Informationen eine Erweiterung abfragt, von einem Nutzer bedeutet weniger Präsenz, wenn die Erweiterung kompromittiert wird.
Alle angeforderten Nutzerdaten sollten mit Sorgfalt behandelt werden. Speichern und Abrufen von Daten auf einem sicheren Server mit eine registrierte Domain. Verwenden Sie für die Verbindung immer HTTPS und vermeiden Sie, dass vertrauliche Nutzerdaten im Client aufbewahrt werden. der Erweiterung, da der Erweiterungsspeicher nicht verschlüsselt ist.