Quel est le niveau de risque des extensions Chrome populaires?

Je suis sur le point de passer à Chromium et j'ai installé quelques extensions. Chaque fois que j'ai installé une extension, j'ai été informé des données auxquelles l'extension a accès, par exemple:

Je comprends que l'accès à ces données est nécessaire pour que l'extension fonctionne, mais je suis un peu inquiet qu'une telle extension puisse un jour décider de mettre à jour et de voler ("téléphone à la maison") toutes mes données de navigation.

Un autre exemple d'un message effrayant (lors de l'activation des extensions pour les fenêtres de navigation privée):

Avertissement: Chromium ne peut pas empêcher les extensions d'enregistrer votre historique de navigation. Pour désactiver cette extension en mode navigation privée, désélectionnez cette option.

Est-ce une menace possible lors de l'utilisation d'extensions Chrome populaires? C'est un peu effrayant d'avoir à faire confiance à une autre partie pour chaque nouvelle fonction que vous ajoutez au navigateur.

Vous oubliez ce qui suit:

Plus une extension est populaire, plus petite est la probabilité que personne ne remarque que le module complémentaire fait quelque chose de dangereux.

Contrairement à cela, si vous installez une extension que personne d'autre n'a utilisée auparavant, vous risquez plus que, disons, d'installer AdBlock. Étant donné que tant de personnes l'utilisent, il est presque sûr de dire: quelqu'un aurait remarqué un trafic inhabituel.

En fait, toutes les extensions divulguent leur code source, de sorte que n'importe qui peut essentiellement aller de l'avant et rechercher lui-même tout élément suspect.

Les avertissements sont juste là, vous ne pouvez donc pas blâmer les fournisseurs de navigateur pour tout dommage causé, au cas où vous installeriez quelque chose qui va mal avec vos données. Lisez toujours les critiques des modules complémentaires qui vous semblent suspects avant de les installer.

Notez également que, par exemple, Google peut vérifier les soumissions:

Bien que Google ne soit pas obligé de surveiller les produits ou leur contenu, Google peut à tout moment examiner ou tester vos produits et leur code source pour la conformité avec le présent accord, les politiques du programme Google Chrome Web Store et toutes les autres conditions, obligations et lois applicables. , ou des réglementations, et peut utiliser des moyens automatisés pour effectuer un tel examen

La suppression d'une extension peut bien sûr causer des problèmes au développeur.

C'est une évaluation des risques difficile à essayer. La popularité apporte deux choses:

• Plus de gens essaient de l'améliorer (repérer un mauvais code)
• Plus de gens essaient de le pirater (et d'introduire du mauvais code) pour attaquer une plus grande base d'utilisateurs

Supposons que pour ces exemples, nous parlons d'un projet open source avec du code hébergé dans quelque chose comme github.

Si quelque chose a un développeur, c'est juste une personne qui vérifie le code. Si quelqu'un (pas le développeur) veut ajouter du code à cela, il doit soit tromper le développeur en ajoutant un correctif malveillant (cela arrive), soit cibler l'authentification de ce développeur afin qu'il puisse ajouter le code lui-même (cela arrive aussi). La probabilité que l'un de ces événements se produise dépend de la capacité du développeur et de sa sécurité.

S'il y a 10 développeurs, il y a 10 fois plus de vecteurs d'attaque. Mais aussi 10 fois plus de personnes qui pourraient repérer le code.

Je suis sûr qu'il y a un point dans un projet où il prend suffisamment d'élan pour que des personnes effectuent régulièrement des audits de sécurité sur son code. Mais à tout moment avant cela, ce sont des balançoires et des ronds-points.

tl; dr Il est trop difficile de travailler de façon réaliste. Il y a trop d'éléments humains. Si cela est important, ne lui faites pas confiance, sauf si vous pouvez vérifier le code vous-même.