アカウント名:
パスワード:
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
こっちの方で詳しくまとめられてるけどhttps://qiita.com/rana_kualu/items/e50e33bbde229882da8d [qiita.com]Manifest V3への対応との事だけど外部に送信しなくても出来るようなので作者がすっとぼけてるか、勘違いで実装してしまったっぽいそもそも外部に安易に送信しては行けないものだから勘違いでも相当駄目なんだが
NurseAngel氏 [srad.jp]の記事じゃん。(タレコミ時点の)この記事見て書いたのかな?
私は直接氏のツイート [twitter.com]を見て書きましたよ。(誰かのRTで回ってきた)
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。権限を厳しくすると何とかして回避しようとするのよね。こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
君ならそういうときどうする? 警告の一つでも置くと思うんだ。ダウト。
ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか
俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
ローカルで完結する機能だよねえ (スコア:0)
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
Re:ローカルで完結する機能だよねえ (スコア:3, 参考になる)
こっちの方で詳しくまとめられてるけど
https://qiita.com/rana_kualu/items/e50e33bbde229882da8d [qiita.com]
Manifest V3への対応との事
だけど外部に送信しなくても出来るようなので
作者がすっとぼけてるか、勘違いで実装してしまったっぽい
そもそも外部に安易に送信しては行けないものだから
勘違いでも相当駄目なんだが
Re: (スコア:0)
NurseAngel氏 [srad.jp]の記事じゃん。(タレコミ時点の)この記事見て書いたのかな?
Re:ローカルで完結する機能だよねえ (スコア:1)
私は直接氏のツイート [twitter.com]を見て書きましたよ。
(誰かのRTで回ってきた)
Re: (スコア:0)
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
Re: (スコア:0)
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
権限を厳しくすると何とかして回避しようとするのよね。
こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
Re: (スコア:0)
君ならそういうときどうする? 警告の一つでも置くと思うんだ。
ダウト。
Re:Re: (スコア:0)
ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか
Re: (スコア:0)
俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。