javascript — Можно ли защитить веб-приложения от расширений браузера?

Можно ли защитить веб-приложения от расширений браузера?

Кажется, существует огромное количество расширений браузера, которые демонстрируют вредоносное поведение. Кроме того, даже допустимые расширения могут страдать от уязвимостей, которые заставляют их вести себя злонамеренно.

Одним из способов избежать этой проблемы является упаковка вашего веб-приложения с платформой, такой как NWJS, Electron или аналогичной. Преимущество этого заключается в удалении экосистемы расширений, но также имеет ряд недостатков (процесс установки, увеличение потребления ресурсов, увеличение трудозатрат и т. Д.).

Некоторые утверждают, что « В конце концов, это ответственность пользователя, а не вина веб-сайта, что пользователь скомпрометирован ». Хотя это имеет смысл, те из нас, кто отвечает за программное обеспечение, которое управляет конфиденциальными данными, по-прежнему обязаны защищать.

При написании веб-приложения, которое будет обращаться к конфиденциальным данным, можно ли что-нибудь сделать для защиты от расширений браузера?


Изменить: Любые творческие решения этой проблемы было бы здорово. В качестве альтернативы, приветствуется также отрицательный результат. Некоторые следы мысли, которые вытекают из этого вопроса:

  • Может ли объект окна быть защищенным или как-то закрытым?
  • Существуют ли какие-либо ограничения для JavaScript-кода расширения, загружаемого перед страницей, который может быть использован в интересах веб-приложения?
  • Может ли сопутствующее расширение обнаруживать другие расширения и затем сообщать веб-приложению, что его запуск небезопасен? Или хотя бы уведомить пользователя о возможном злоупотреблении?
  • Фоновые сценарии расширения также внедряются в iframes и дочерние окна, создаваемые путем вызова window.open? Возможно, веб-приложение заменит объект окна другой безопасной копией объекта окна.
  • Может ли быть какой-нибудь умный способ определить, был ли на странице запущен сторонний код? Этакий хэш среды JavaScript?
Понравилась статья? Поделиться с друзьями:
JavaScript & TypeScript
Adblock
detector