Hacker News

क्रोम एक्सटेन्सनहरूले प्रयोगकर्ताहरूको ब्राउजिङ डेटामा जासुसी गर्दै

क्रोम एक्सटेन्सनहरूले प्रयोगकर्ताहरूको ब्राउजिङ डेटामा जासुसी गर्दै क्रोमको यो बृहत् विश्लेषणले यसको मूल भाग र फराकिलो प्रभावहरूको विस्तृत परीक्षण प्रदान गर्दछ। फोकसका प्रमुख क्षेत्रहरू छलफल केन्द्रहरू: कोर संयन्त्र र प्रो...

1 min read Via qcontinuum.substack.com

Mewayz Team

Editorial Team

Hacker News

क्रोम एक्सटेन्सनहरूले URL, कुकीहरू, फारम इनपुटहरू, र नेटवर्क अनुरोधहरू जस्ता संवेदनशील जानकारीहरू पहुँच गरेर तपाईंको ब्राउजिङ डेटामा जासूसी गर्न सक्छन्—प्रायः तपाईंको जानकारी बिना। यो निगरानीले कसरी काम गर्छ र आफूलाई कसरी सुरक्षित राख्ने भन्ने कुरा बुझ्नु व्यवसाय वा व्यक्तिगत कार्यका लागि ब्राउजर प्रयोग गर्ने जो कोहीको लागि आवश्यक छ।

क्रोम एक्सटेन्सनहरूले तपाईंको ब्राउजिङ डाटामा कसरी पहुँच प्राप्त गर्छ?

जब तपाईंले क्रोम एक्स्टेन्सन स्थापना गर्नुहुन्छ, यसले यसको manifest.json फाइलमा परिभाषित अनुमतिहरूको सेट अनुरोध गर्दछ। धेरै प्रयोगकर्ताहरूले यी अनुमति अनुरोधहरू नपढिकनै "Chrome मा थप्नुहोस्" क्लिक गर्छन्, अनजानमा विस्तारहरूलाई उनीहरूको डिजिटल जीवनमा व्यापक पहुँच प्रदान गर्दै।

सबैभन्दा खतरनाक अनुमतिहरू समावेश छन्:

  • ट्याबहरू - तपाईंले खोल्नुहुने प्रत्येक ट्याबको URL, शीर्षक, र फेभिकन पढ्नको लागि विस्तारलाई अनुमति दिन्छ, प्रभावकारी रूपमा तपाईंले भ्रमण गर्ने प्रत्येक वेबसाइट ट्र्याक गर्दै।
  • webRequest / webRequestBlocking - लगइन प्रमाणहरू र API टोकनहरू सहित, सर्भरमा पुग्न अघि नेटवर्क अनुरोधहरूलाई विस्तारलाई अवरोध गर्न, निरीक्षण गर्न र परिमार्जन गर्न दिन्छ।
  • कुकीहरू - तपाईंको ब्राउजरमा भण्डारण गरिएका सबै कुकीहरूमा पहुँच प्रदान गर्दछ, जुन बैंकिङ, इमेल, र SaaS प्लेटफर्महरूमा प्रमाणीकृत सत्रहरू अपहरण गर्न प्रयोग गर्न सकिन्छ।
  • इतिहास - तपाईंको ब्राउजिङ इतिहासको पूर्ण लग प्रदान गर्दछ, विस्तारहरूलाई तपाईंको अनलाइन गतिविधिको विस्तृत व्यवहार प्रोफाइल निर्माण गर्न अनुमति दिँदै।
  • भण्डारण - विस्तारलाई स्थानीय रूपमा निरन्तर डाटा पढ्न र लेख्न सक्षम बनाउँछ, सम्भावित रूपमा क्याप्चर गरिएको जानकारी पछि एक्सफिल्टेशनको लागि भण्डारण गर्दछ।

एड ब्लकरहरू, व्याकरण जाँचकर्ताहरू, उत्पादकता उपकरणहरू वैध देखिने एक्सटेन्सनहरू पनि प्रयोगकर्ताको डेटालाई स्केलमा काट्ने र डाटा ब्रोकरहरू वा एनालिटिक्स फर्महरूलाई बेच्ने गरेको पाइन्छ।

विस्तार जासूसीको वास्तविक-विश्व परिणामहरू के हुन्?

जोखिमहरू हल्का गोपनियताको असुविधाभन्दा धेरै टाढा छन्। खराब वा खराब डिजाइन गरिएका विस्तारहरूले व्यक्ति र संस्थाहरूलाई समान रूपमा मापनयोग्य हानि पुर्‍याएको छ।

2023 मा, अन्वेषकहरूले Chrome वेब स्टोरमा लाखौं प्रयोगकर्ताहरूको संयुक्त स्थापना आधारको साथ दर्जनौं विस्तारहरू पहिचान गरे, सबै चुपचाप बाह्य सर्भरहरूमा ब्राउजिङ इतिहासहरू प्रसारण गर्दै। कर्पोरेट वातावरणमा एकल सम्झौता गरिएको विस्तारले स्वामित्व अनुसन्धान, ग्राहक डेटा, आन्तरिक उपकरण URL र प्रमाणीकरण टोकनहरू उजागर गर्न सक्छ।

"एउटा ब्राउजर एक्सटेन्सनले तपाईले भ्रमण गर्ने वेबसाइटहरू जस्तै विश्वासको स्तरमा काम गर्दछ — तर विशेषाधिकारहरू जुन प्रत्येक साइटमा एकैसाथ पुग्छन्। यसले यसलाई आधुनिक कम्प्युटिङमा सबैभन्दा शक्तिशाली र कम अनुमानित आक्रमण सतहहरू मध्ये एक बनाउँछ।" — ब्राउजर विस्तार जोखिममा सुरक्षा अनुसन्धानकर्ता परिप्रेक्ष्य

संवेदनशील कार्यहरू प्रबन्ध गर्ने व्यवसायहरूका लागि—पेरोल, CRM डेटा, वित्तीय ड्यासबोर्डहरू—एउटा कर्मचारीको मेसिनमा एक बदमाश विस्तार पूर्ण संगठनात्मक उल्लंघन हुन सक्छ। आक्रमणको सतह बढाइएको छ किनभने विस्तारहरू चुपचाप अपडेट हुन्छन्, यसको अर्थ एक पटक-सुरक्षित उपकरण अधिग्रहण वा शान्त कोड परिवर्तन पछि खराब हुन सक्छ।

तपाईँमा कुन एक्स्टेन्सनले जासुसी गरिरहेको छ भनेर कसरी पहिचान गर्न सक्नुहुन्छ?

पत्ता लगाउने कार्य सीधा छैन, तर त्यहाँ व्यावहारिक कदमहरू छन् जुन तपाईंले आफ्नो ब्राउजर वातावरण अडिट गर्न अहिले नै लिन सक्नुहुन्छ।

chrome://extensions मा नेभिगेट गरेर र स्थापित प्रत्येक विस्तारको समीक्षा गरेर सुरु गर्नुहोस्। प्रत्येकमा "विवरण" मा क्लिक गर्नुहोस् अनुमतिहरू जाँच गर्न यो प्रदान गरिएको छ। विशेष गरी "सबै साइटहरू" मा पहुँचको अनुरोध गर्ने विस्तारहरूबाट सावधान हुनुहोस् जब तिनीहरूको उल्लेखित प्रकार्य साँघुरो हुन्छ—एक साधारण रङ पिकरले तपाइँको नेटवर्क अनुरोधहरू पढ्न कुनै व्यवसाय गर्दैन।

एउटा एक्स्टेन्सन सक्रिय हुँदा आउटबाउन्ड ट्राफिकको निगरानी गर्न तपाईँले Chrome को बिल्ट-इन DevTools नेटवर्क प्यानल पनि प्रयोग गर्न सक्नुहुन्छ। तेस्रो-पक्ष उपकरणहरू जस्तै गोपनीयता ब्याजर वा ब्राउजर नेटवर्क मोनिटरहरूले डाटा ब्रोकर डोमेनहरूमा अप्रत्याशित बाह्य कलहरू फ्ल्याग गर्न सक्छन्। थप रूपमा, Reddit को r/chrome वा स्वतन्त्र सुरक्षा ब्लगहरू जस्ता फोरमहरूमा विस्तार समीक्षाहरू समीक्षा गर्नुहोस्, किनकि गुगलले यसमा कार्य गर्नु अघि समुदायले प्रायः शंकास्पद व्यवहार देखाउँछ।

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

विस्तार निगरानीबाट आफ्नो व्यवसायको डेटालाई सुरक्षित राख्न तपाईं के कदमहरू चाल्न सक्नुहुन्छ?

संरक्षणका लागि संगठनात्मक नीतिसँग प्राविधिक नियन्त्रणहरू जोड्ने तहगत दृष्टिकोण चाहिन्छ।

व्यक्तिगत स्तरमा, कम्तिमा विशेषाधिकारको सिद्धान्त लागू गर्नुहोस्: कडा रूपमा आवश्यक पर्ने विस्तारहरू मात्र स्थापना गर्नुहोस्, पारदर्शी गोपनीयता नीतिहरू भएका प्रतिष्ठित प्रकाशकहरूबाट प्राप्त गरिएको, र स्वतन्त्र सुरक्षा अनुसन्धानकर्ताहरूद्वारा नियमित रूपमा लेखा परीक्षण गरिएको। तपाईंले पछिल्लो 30 दिनमा सक्रिय रूपमा प्रयोग नगरेको कुनै पनि विस्तार हटाउनुहोस्।

संगठनात्मक स्तरमा, व्यवसायहरूले Google Workspace Admin वा इन्टरप्राइज ब्राउजर व्यवस्थापन उपकरणहरू मार्फत विस्तार अनुमति दिने सूचीहरू लागू गर्नुपर्छ। यसको मतलब केवल पूर्व-अनुमोदित, जाँच गरिएको विस्तारहरू कम्पनी उपकरणहरूमा स्थापना गर्न सकिन्छ। नियमित सुरक्षा अडिटहरू, ब्राउजर स्वच्छतामा कर्मचारी प्रशिक्षण, र आउटबाउन्ड DNS प्रश्नहरूको निगरानीले एक्सपोजर कम गर्न सक्छ।

मजबूत सुरक्षा आसनका साथ प्लेटफर्महरूमा तपाईंको व्यापार सञ्चालनहरू केन्द्रित गर्नाले पनि तपाईंको आक्रमणको सतहलाई नाटकीय रूपमा घटाउँछ। जब तपाईंको टोलीले दर्जनौं विस्तारहरू आवश्यक पर्ने ब्राउजर-आधारित उपकरणहरूको प्याचवर्कको सट्टा एकल, एकीकृत व्यापार अपरेटिङ सिस्टमबाट सञ्चालन गर्दछ, तपाईंले विस्तारहरू शोषण गर्ने धेरै अनुमति भेक्टरहरू हटाउनुहुनेछ।

एक एकीकृत व्यापार प्लेटफर्मले तपाइँको विस्तार जोखिम कसरी कम गर्छ?

ब्राउजर एक्स्टेन्सन निर्भरताको सबैभन्दा कम मूल्यवान ड्राइभरहरू मध्ये एक उपकरण विखंडन हो। जब तपाइँको टोलीले CRM, परियोजना व्यवस्थापन, इमेल मार्केटिङ, इनभ्वाइसिङ, र विश्लेषणका लागि 15 विभिन्न SaaS एपहरू प्रयोग गर्दछ, कर्मचारीहरूले अनिवार्य रूपमा खाली ठाउँहरू पूरा गर्न विस्तारहरू स्थापना गर्छन्—अटो-फिल उपकरणहरू, डेटा स्क्र्यापरहरू, ट्याब प्रबन्धकहरू, र क्रस-प्लेटफर्म कनेक्टरहरू।

यी विस्तारहरू मध्ये प्रत्येक एक सम्भावित निगरानी भेक्टर हो। उपकरण फैलावट घटाउँदा विस्तार निर्भरता कम हुन्छ। Mewayz ले यसलाई सिधै 207-मोड्युल व्यवसाय सञ्चालन प्रणालीको रूपमा सम्बोधन गर्दछ जसले दर्जनौं स्ट्यान्डअलोन उपकरणहरूको कार्यहरूलाई एकल, सुरक्षित प्लेटफर्ममा समेकित गर्दछ। 138,000 प्रयोगकर्ताहरूले लिङ्क-इन-बायो पृष्ठहरूबाट ई-वाणिज्य स्टोरफ्रन्टहरू, CRM पाइपलाइनहरू, र एक वातावरण भित्र सामग्री समयतालिका सबै चीजहरू प्रबन्ध गर्दै, जोखिमपूर्ण तेस्रो-पक्ष ब्राउजर विस्तारहरू स्थापना गर्ने आवश्यकता नाटकीय रूपमा घट्छ।

जब तपाईंको व्यापार कार्यप्रवाह एक सुसंगत, अनुमति-नियन्त्रित प्लेटफर्म भित्र रहन्छ — कार्य गर्नको लागि विस्तारहरू आवश्यक पर्ने दर्जनौं ट्याबहरूमा छरिएको भन्दा — तपाईंले विस्तारहरूले शोषण गर्ने सबैभन्दा सामान्य डेटा एक्सफिल्टेशन मार्गहरू बन्द गर्नुहुन्छ।

बारम्बार सोधिने प्रश्नहरू

के क्रोम एक्स्टेन्सनले मेरो पासवर्ड चोर्न सक्छ?

हो। webRequest अनुमति वा विशेष पृष्ठ सामग्रीमा पहुँच भएका विस्तारहरूले लगइन फिल्डहरू सहित फारम सबमिशनहरूलाई इन्क्रिप्ट गरि सर्भरमा पठाउनु अघि अवरोध गर्न सक्छन्। कुकीहरू अनुमतिहरू भएका विस्तारहरूले सत्र टोकनहरू पनि चोर्न सक्छन्, जसले प्रभावकारी रूपमा तपाईंको वास्तविक पासवर्डको आवश्यकता बिना नै तपाईंको खाताहरूमा पहुँच प्रदान गर्दछ। सँधै स्थापना गर्नु अघि एक्स्टेन्सनको अनुमतिहरू प्रमाणित गर्नुहोस् र यदि कडाइका साथ आवश्यक छैन भने संवेदनशील डोमेनहरूमा पहुँच प्रदान नगर्नुहोस्।

के गुगलले खराब विस्तारहरूलाई Chrome वेब स्टोरमा पुग्नबाट रोक्छ?

Google ले स्वचालित र म्यानुअल समीक्षा प्रक्रियाहरू प्रयोग गर्दछ, तर तिनीहरू मूर्ख छैनन्। मालिसियस एक्स्टेन्सनहरूले बारम्बार समीक्षा पास गरेका छन् र हटाउनु अघि लाखौं डाउनलोडहरू जम्मा गरेका छन्। केहि विस्तारहरू वैध उपकरणको रूपमा सुरु हुन्छन् र खराब अभिनेताहरू द्वारा अधिग्रहण गरेपछि वा शान्त अपडेट पछि मालिसियस हुन्छन्। Google को समीक्षा प्रक्रियामा मात्र भर पर्नु संवेदनशील डेटा भएका व्यवसायहरूको लागि अपर्याप्त छ; स्वतन्त्र जाँच र संगठनात्मक अनुमति सूचीहरू आवश्यक अतिरिक्त नियन्त्रणहरू हुन्।

मैले मेरो क्रोम विस्तारहरू कति पटक अडिट गर्नुपर्छ?

व्यक्तिगत प्रयोगकर्ताहरूका लागि, त्रैमासिक लेखापरीक्षण उचित आधार रेखा हो। व्यावसायिक प्रयोगकर्ताहरू वा संवेदनशील व्यावसायिक डेटा ह्यान्डल गर्ने जो कोहीको लागि, मासिक समीक्षा अधिक उपयुक्त छ। तपाईंले ब्राउजर विस्तारहरू समावेश गर्ने कुनै पनि प्रमुख सुरक्षा समाचारहरू, नयाँ टोली सदस्यहरू अनबोर्डिङ गरेपछि, र कुनै पनि बेला तपाईंले अप्रत्याशित ब्राउजर व्यवहार जस्तै ढिलो, रिडिरेक्टहरू, वा अपरिचित आउटबाउन्ड नेटवर्क गतिविधि देख्नुहुन्छ तुरुन्त अडिट गर्नुपर्छ।

ब्राउजर सुरक्षा तपाईंले स्थापना गर्ने र विश्वास गर्ने उपकरणहरूको बारेमा तपाईंले गर्ने छनौटहरूबाट सुरु हुन्छ। यदि तपाईं आफ्नो व्यवसाय सञ्चालनलाई एकल, सुरक्षित प्लेटफर्ममा समेकित गरेर आफ्नो डेटालाई जोखिममा पार्ने एक्सटेन्सन निर्भरतालाई हटाउन तयार हुनुहुन्छ भने—आज Mewayz अन्वेषण गर्नुहोस्। $19/महिनाबाट सुरु हुने योजनाहरू, 207 एकीकृत मोड्युलहरू, र 138,000 प्रयोगकर्ताहरूको बढ्दो समुदायको साथ, Mewayz ले तपाईंको डेटा अरू कसैको हातमा राख्ने ब्राउजर विस्तारहरू बिना नै तपाईंको टोलीलाई आवश्यक पर्ने सबै कुरा दिन्छ।