Instalar extensiones de GNOME a través del sitio web: ¿vulnerabilidad de seguridad?

9

Encontré una extensión de GNOME a través de una búsqueda en Google (usando Chromium), y me sorprendió mucho que simplemente pudiera alternar el interruptor de encendido / apagado para que el sitio web instale una extensión completa de GNOME en mi computadora sin ningún otro paso manual involucrado. (probado, esto también funciona con Firefox). De acuerdo, aparece un cuadro de diálogo que me pide que confirme la instalación, pero ...

  1. Si bien esto es excelente para la facilidad de uso y usabilidad, ¿no hay vulnerabilidades de seguridad con esto? Me interesaría saber cómo funciona exactamente esta característica, y si debería preocuparme por cualquier "puerta trasera" que pueda permitir a los hackers instalar fácilmente ejecutables en mi máquina.

  2. ¿Se verifican las extensiones en el sitio de GNOME ? ¿Hay alguna manera de saber si las extensiones son seguras o no?

  3. ¿GNOME modifica los navegadores Chromium y Firefox para permitir esta función? ¿Hay otros cambios personalizados de GNOME Chromium / Firefox que los usuarios deben conocer?

ACTUALIZACIÓN: Habiendo entendido cómo funciona esto, ahora creo que esta es una característica realmente excelente, especialmente para usuarios no técnicos, pero me alarmó un poco cuando la encontré por primera vez.

gnome security gnome-shell gnome-shell-extension extension Suman
fuente

Respuestas:

3

Si y no.

Primero, el enlace en el que hizo clic para instalar una extensión fue codificado, específicamente (creo) a gnome 3.2 como método de instilación. Entonces, en ese sentido, es un sitio "confiable".

En segundo lugar, las extensiones de gnome son scripts de usuario, almacenados solo para su usuario. No tienen acceso a ninguna información a la que el usuario no tenga acceso. Entonces, por ejemplo, no puede haber extensiones de shell para escribir archivos en /.

En tercer lugar, los navegadores no se modificaron, pero sí el shell gnome.

Básicamente, el método de instalación no es menos seguro que proporcionarle un archivo tar.gz y decirle que lo extraiga manualmente en su directorio de inicio. Más bien o no, las extensiones individuales son seguras es una decisión que debe tomar caso por caso. Sin embargo, gnome.org es un sitio legítimo, como lo es el subdominio de extensiones.

coteyr
fuente
Lo tengo, muchas gracias por la explicación detallada. Pero para permitir la instalación automatizada, ¿no tendría que modificarse el navegador para permitir esto? Leí un poco más, ¿parece que esto se hace a través de un complemento de Firefox / Chromium?
Suman
Sí, el complemento "Integración de Shell Gnome" en Firefox y Chrome.
coteyr