Развлекательная социальная сеть Одноклассники 2017 Что мы знаем про вредоносные расширения Хрома 

Развлекательная социальная сеть Одноклассники 0 История 

3 

4 

Развлекательная социальная сеть Одноклассники 1 Вредоносные расширения 

6 Расширения в Хроме https://developer.chrome.com/extensions/overview - Manifest file - Background pages - Event pages - Content Scripts 

7 Что могут расширения - Подписываться на события - Выполнять код в контексте произвольного домена - Изменять DOM - chrome.* APIs - Inline установка 

8 Что могут плохие расширения - Слушать ввод, собирать данные - Выполнять код в контексте вашего домена - Изменять интерфейс - Изменять настройки браузера 

9 В чем проблема - Content Scripts => Same Origin Policy - Вирус на js - Плохо обнаруживаются антивирусами - Не вызывают подозрений пользователя 

10 Подмена рекламы в браузерах Данные: https://security.googleblog.com/2015/05/new-research-ad-injection-economy.html статистика Google, 2015 % 5.5 

Развлекательная социальная сеть Одноклассники 2 Content Security Policy 

12 

13 Отчеты о нарушении Content Security Policy 

14 Content Security Policy 

15 Ой 

16 9.1. Vendor-specific Extensions and Addons Policy enforced on a resource SHOULD NOT interfere with the operation of user- agent features like addons, extensions, or bookmarklets. These kinds of features generally advance the user’s priority over page authors, as espoused in [HTML- DESIGN]. http://www.w3.org/TR/CSP3/#extensions … we model extensions more or less as an application of the user's will, and … we prioritize the user above the site. This means that the extension is explicitly allowed to do things that the site owner would prefer that it not do. https://bugs.chromium.org/p/chromium/issues/detail?id=634265 

Развлекательная социальная сеть Одноклассники 3 MutationObserver 

18 MutationObserver https://developer.mozilla.org/en-US/docs/Web/API/MutationObserver 

19 ok.ru/alexandra.svatikova linkedin.com/in/asvatikova/ [email protected] Спасибо