パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Chrome拡張機能のGet cookies.txt、スパイウェアに変貌」記事へのコメント

  • ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。

    • by Anonymous Coward

      事実かどうかは知らんが、

      Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。

      だそうだ。

      • by Anonymous Coward on 2023年03月02日 13時27分 (#4419763)

        事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
        権限を厳しくすると何とかして回避しようとするのよね。
        こういう事態を避けるためのManifest V3ってのも分かるけど。

        クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?

        親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...