アカウント名:
パスワード:
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。権限を厳しくすると何とかして回避しようとするのよね。こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
ローカルで完結する機能だよねえ (スコア:0)
ウェブブラウザに保存されてるcookieをテキストファイルとして抜き出す拡張だそうで。本来の用途からすると外部通信の必要のない拡張なので、マルウェア化するに当たってその辺りの権限が追加されてると思われる。それをレビュアーがスルーしていたとしたら、ザルにも程があるだろうなあ。
Re: (スコア:0)
事実かどうかは知らんが、
Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.txtは、自ドメインにcookieを送ることで回避するようにしたらしい。
だそうだ。
Re:ローカルで完結する機能だよねえ (スコア:0)
事実か怪しいし間抜けな話だが、Manifest V3がセキュリティへの侵害のきっかけになった例の一つってことだな。
権限を厳しくすると何とかして回避しようとするのよね。
こういう事態を避けるためのManifest V3ってのも分かるけど。
クラウドサーバー使ってる場合はサーバーサイドのコードを第三者が検証できる仕組みがあればこういうやり方を安全に実現できるかもしれないなと思った。既にある?