web-dev-qa-db-fra.com

Installer des extensions GNOME via un site Web: faille de sécurité?

J'ai trouvé une extension GNOME grâce à une recherche Google (à l'aide de Chromium) et j'ai été très surpris de pouvoir basculer simplement le commutateur Marche/Arrêt pour que le site Web installe une extension GNOME complète sur mon ordinateur sans aucune autre procédure manuelle. (testé, cela fonctionne également avec Firefox.) Cela dit, une boîte de dialogue s'affiche pour me demander de confirmer l'installation, mais ...

  1. Bien que ce soit très pratique pour la facilité d’utilisation et la convivialité, n’y at-il pas de vulnérabilité en matière de sécurité? Je souhaiterais savoir exactement comment cette fonctionnalité fonctionne et si je devrais me préoccuper des "portes dérobées" qui pourraient permettre aux pirates d'installer facilement des fichiers exécutables sur ma machine.

  2. Les extensions sur le site GNOME sont-elles vérifiées? Existe-t-il un moyen de savoir si les extensions sont sûres ou non?

  3. Les navigateurs Chrome et Firefox sont-ils modifiés par GNOME afin de permettre cette fonctionnalité? Existe-t-il d'autres modifications personnalisées GNOME Chromium/Firefox que les utilisateurs devraient connaître?

MISE À JOUR: Après avoir compris comment cela fonctionne, je pense maintenant que c’est une fonctionnalité vraiment intéressante, en particulier pour les utilisateurs non techniques, mais cela m’a un peu alarmé lorsque je l’ai rencontré pour la première fois.

8
Suman

Oui et non.

D'abord, le lien sur lequel vous avez cliqué pour installer une extension a été codé, plus précisément (je pense) vers le gnome 3.2 en tant que méthode d'instillation. Donc, dans ce sens, c'est un site "de confiance".

Deuxièmement, les extensions gnome sont des scripts utilisateur, stockés uniquement pour votre utilisateur. Ils n'ont accès à aucune information à laquelle l'utilisateur n'a pas accès. Ainsi, par exemple, il ne peut pas y avoir d’extension Shell pour écrire des fichiers dans /.

Troisièmement, les navigateurs n'étaient pas modifiés, mais gnome Shell l'était.

Fondamentalement, la méthode d'installation n'est pas moins sûre que de vous fournir un fichier tar.gz et de vous l'extraire manuellement dans votre répertoire personnel. Plutôt ou non les extensions individuelles sont sûres est une décision que vous devez prendre au cas par cas. Cependant, gnome.org est un site légitime, tout comme le sous-domaine des extensions.

3
coteyr