アカウント名:
パスワード:
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。権限を厳しくすると何とかして回避しようとするのよね。こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
君ならそういうときどうする? 警告の一つでも置くと思うんだ。ダウト。
ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか
俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
ローカルで完結する機能だよねえ (スコア:0)
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
Re:ローカルで完結する機能だよねえ (スコア:0)
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
Re: (スコア:0)
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
権限を厳しくすると何とかして回避しようとするのよね。
こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
Re: (スコア:0)
君ならそういうときどうする? 警告の一つでも置くと思うんだ。
ダウト。
Re:Re: (スコア:0)
ダウトもなにもプライバシーポリシーにしっかり書いてあるんだか
Re: (スコア:0)
俺や君がどう思ったかはこれの作者がどう思ったかとは特に関連性はないよ。