Installieren Sie GNOME-Erweiterungen über die Website: Sicherheitslücke?

9

Ich habe eine GNOME-Erweiterung über eine Google-Suche (mit Chromium) gefunden und war sehr überrascht, dass ich einfach den Ein- / Ausschalter umschalten konnte, damit die Website eine vollständige GNOME-Erweiterung auf meinem Computer installiert, ohne dass weitere manuelle Schritte erforderlich sind. (getestet, dies funktioniert auch mit Firefox.) Zugegeben, es wird ein Dialogfeld angezeigt, in dem ich aufgefordert werde, die Installation zu bestätigen, aber ...

  1. Dies ist zwar für die Benutzerfreundlichkeit und Benutzerfreundlichkeit von Vorteil, gibt es dabei jedoch keine Sicherheitslücken? Ich würde gerne wissen, wie genau diese Funktion funktioniert und ob ich mir Sorgen über "Hintertüren" machen sollte, die es Hackern ermöglichen könnten, einfach ausführbare Dateien auf meinem Computer zu installieren.

  2. Werden die Erweiterungen auf der GNOME-Site überprüft? Gibt es eine Möglichkeit festzustellen, ob Erweiterungen sicher sind oder nicht?

  3. Werden die Chromium- und Firefox-Browser von GNOME geändert, um diese Funktion zu ermöglichen? Gibt es andere benutzerdefinierte GNOME Chromium / Firefox-Änderungen, über die Benutzer Bescheid wissen sollten?

UPDATE: Nachdem ich verstanden habe, wie das funktioniert, glaube ich jetzt, dass dies eine wirklich großartige Funktion ist, insbesondere für nicht-technische Benutzer, aber es hat mich ein wenig beunruhigt, als ich sie zum ersten Mal entdeckte.

gnome security gnome-shell gnome-shell-extension extension Suman
quelle

Antworten:

3

Ja und nein.

Zuerst wurde der Link, auf den Sie geklickt haben, um eine Erweiterung zu installieren, speziell für Gnome 3.2 als Instillationsmethode codiert (glaube ich). In diesem Sinne handelt es sich also um eine "vertrauenswürdige" Site.

Zweitens sind Gnome-Erweiterungen Benutzerskripte, die nur für Ihren Benutzer gespeichert werden. Sie haben keinen Zugriff auf Informationen, auf die der Benutzer keinen Zugriff hat. So kann es beispielsweise keine Shell-Erweiterungen zum Schreiben von Dateien in / geben.

Drittens wurden Browser nicht modifiziert, Gnome Shell jedoch.

Grundsätzlich ist die Installationsmethode nicht weniger sicher als die Bereitstellung einer tar.gz-Datei und die Anweisung, diese manuell in Ihr Home-Verzeichnis zu extrahieren. Eher oder nicht, die einzelnen Erweiterungen sind sicher, ist eine Entscheidung, die Sie von Fall zu Fall treffen müssen. Gnome.org ist jedoch eine legitime Site, ebenso wie die Erweiterungs-Subdomain.

coteyr
quelle
Verstanden, vielen Dank für die ausführliche Erklärung. Müsste der Browser nicht geändert werden, um die automatische Installation zu ermöglichen? Ich habe noch etwas gelesen, hört sich so an, als ob dies über ein Firefox / Chromium-Plugin erfolgt?
Suman
Ja "Gnome Shell Integration" Plugin in Firefox und Chrome.
Coteyr