插件/扩展安全实践

Question

软件开发人员在允许将扩展或插件添加到他们的软件中时，应用了哪些常见的安全实践，例如Firefox、Photoshop和GIMP？它可以在Windows、Linux或Mac上使用。

设想方案的实例：

1. 是什么阻止插件在系统中安装额外的恶意代码，从而允许它做它想做的任何事情(后门等等)？
2. 是什么阻止插件在使用时监视用户？

显然，任何人都可以创建一个恶意插件，没有人会怀疑。我想知道为什么它从来不会发生在Firefox上(据我们所知)。

Answer 1

如果您希望允许插件，确保父应用程序安全的唯一现实方法是：

• 审查守则，只允许可以审查的提交材料，并提供足够的资源来实际进行评审。评审可以是自动化的或手动的，两者混合无疑是最好的选择。审查-只有提交也需要某种官方市场的插件，你也应该有能力，最终用户审查和反馈公开。
• 应用限制性的安全模型，您可以确保插件只能采取某些相对安全的操作。例如，您可以防止它们与您自己的URL之外的URL联系，以阻止它们“打电话回家”和泄漏数据。您可以进一步扩展它，以允许不太安全的操作，但只在手动代码检查之后。

同时做这两件事是最好的方法。

这些都是相当常见的过程，但显然需要时间，这等于成本。第二个选择是最便宜的，但也可能是最难安全实施的。

有许多例子表明，这类应用程序的失败非常严重，最明显的例子是Android应用程序商店，在那里，恶意应用程序经常被发现，尽管这些应用程序经常被发现，只是在商店里呆了多年之后。Windows应用商店在早期也受到了影响。据我所知，3种主要浏览器中的每一种都有恶意扩展。

为了帮助保护自己，您应该只选择使用良好的、具有一致和大量正面评论的扩展。最好有资金充足的支持。显然，你应该将扩展的使用保持在最低限度，而且像Chrome这样的东西是好的，因为它允许您随意地轻松、快速地打开和关闭扩展。尽量不要使用新提交的扩展，直到您看到它们已被其他人尝试和信任。

如果可以的话，留意一下新闻，这样你就可以发现一个扩展是在什么时候被突出显示的，要么是因为它已经被独立的安全检查，要么是当它失败了。同时也要注意扩展，改变所有权，因为新的所有者可能不那么诚实。

实际上，大多数人将无法完成最后的建议。

Answer 2

这是一个信任问题，我认为这更多的是一个社会问题，而不是一个技术问题。当然，有一些技术解决方案(比如只允许访问有限的脚本语言，试图对插件进行沙箱化等等)，但这些解决方案经常会被破坏或滥用。

看看操作系统如何处理程序在这里可能是有帮助的，因为从某种意义上说，程序是操作系统的插件。

传统的桌面操作系统允许用户决定信任哪些程序，并自行运行它们。如果用户信任某个特定程序的发行者，她就必须做出自己的决定。

对于有经验的用户来说，这是可行的，但是如果你看看你父母电脑上的浏览器工具栏的数量，我相信你会同意这一点还远远不够完美。互联网上到处都是特洛伊木马，这些木马让那些没有经验的用户(有时也是经验丰富的用户)很容易成为攻击目标。

智能手机和平板电脑的崛起为开发商提供了一个全新的平台，他们选择了一种新的系统。操作系统供应商没有让用户决定他们信任哪个出版商，而是经营官方商店，所有的应用程序都必须从这些商店下载。要想在那里使用，它必须通过安全审查，供应商可以惩罚那些试图通过删除其产品传播恶意软件的出版商。

在这种情况下，用户不需要信任单个发布者。他们只需要相信供应商在他们的评论中做得很好。不幸的是，这个系统也被证明是不牢靠的，因为灰色地带的软件以及彻底的恶意软件仍然设法偷偷通过审查。

因此，我认为这是两个主要的选择：

• 让用户决定他们信任哪个插件，如果他们错了信任就会受到后果的影响。
• 有一个正式的商店，所有插件必须通过审查，并让用户信任这个过程。如果这种信任是错误的，你和他们都会承受后果。

Answer 3

这完全取决于该产品的开发团队。

通常，

• 插件的限制(访问cookie、浏览器历史记录、sqlite数据库)。这实际上取决于您希望使您的产品具有多大的灵活性。
• 代码审查/审核:在将插件推向市场并下载之前，先自动检查插件代码，然后手动检查插件代码。
• 块/部分允许插件下载从其他来源期待官方市场。