现在各大商家都在疯狂促销,大家买东西的热情也日益高涨,因为很多人对火狐 (Firefox)和 Chrome 的扩展中心的政策理解有误区,二者带来 的安全隐患也日益突出。现在支付宝已经推出支持 Windows, Mac 和 Linux 等操作系统上的大多数浏览器的安全控件,包括 IE、傲游和360等IE 内核浏览器,Chrome、火狐 (Firefox)、Safari 和 Opera 等非 IE 内核浏览器都。你可以通过这个官方页面下载,或者访问支付宝首页按照登录框的提示安装。建议不要在非支付宝官方网站安装任何“安全控件”,以免带来严重的安全隐患。如果你已经通过扩展等方式安装,请考虑卸载后从官方网站重新安装。
火狐扩展中心:没有传说中那么安全
任何人都可以在火狐的扩展中心 (AMO)发布扩展,如果你在通过审核前安装会有安全警告。每个扩展一般会在1-2周内被志愿者编辑审查。对于有远程加载运行脚本等常见安全问题的扩展,AMO 编辑 会不予批准“公开发布”,但是用户仍可以通过带警告提示的方式下载。
Chrome 扩展中心:鱼龙混杂,没有警察
1个多月前,im007boy 曾经在谷奥发表专稿“不可忽视的 Chrome 扩展安全性”。Chrome 扩展中心一般是不主动审查扩展的,即便是对那些用 NPAPI 接口的审查也是不严格的,所以任何人都可以提交几乎任何扩展,包括盗取帐号的、剽窃别人代码的、侵犯别人知识产权的等等。谷奥主要提供各种信息,不可能去代 Google 审查代码,所以难免推出臭鸡蛋,也请大家见谅。
下面是几个简单的自我保护的方法:
火狐:如果一个扩展的发布时间已经超过两周,但是仍显示“尚未经过Mozilla审核”,一般是这个扩展已经被 AMO 拒掉了。大家安装时,务必慎重。
Chrome:仔细看扩展安装提示框中的警告内容,是否提到“您计算机上的所有数据及您访问的网站”。如果提到,就要看扩展的功能是针对单一网站的,还是多个网站的。前者一般不应需要所有网站的权限,有很大嫌疑。还有一点是,看作者是否提供了个人网站、个人微博等个人信息。做恶的人一般不敢留下真实信息,而多数开发者都喜欢和用户互动。另外,由于 Chrome 扩展系统的历史原因,“您的浏览历史”这一个警告已经失去实际意义。
