Installer les extensions GNOME via le site Web: vulnérabilité de sécurité?

9

J'ai trouvé une extension GNOME via une recherche Google (à l'aide de Chromium), et j'ai été très surpris de pouvoir simplement basculer le commutateur marche / arrêt pour que le site Web installe une extension GNOME complète sur mon ordinateur sans aucune autre étape manuelle. (testé, cela fonctionne également avec Firefox.) Certes, il apparaît une boîte de dialogue me demandant de confirmer l'installation, mais ...

  1. Bien que cela soit idéal pour la facilité d'utilisation et la convivialité, n'y a-t-il pas des failles de sécurité? Je serais intéressé de savoir comment fonctionne exactement cette fonctionnalité et si je devrais être préoccupé par les "backdoors" que cela pourrait permettre aux pirates d'installer facilement les exécutables sur ma machine.

  2. Les extensions du site GNOME sont-elles approuvées? Existe-t-il un moyen de savoir si les extensions sont sûres ou non?

  3. Les navigateurs Chromium et Firefox sont-ils modifiés par GNOME afin de permettre cette fonctionnalité? Existe-t-il d'autres modifications personnalisées de GNOME Chromium / Firefox que les utilisateurs devraient connaître?

MISE À JOUR: Après avoir compris comment cela fonctionne, je pense maintenant que c'est une fonctionnalité vraiment géniale, en particulier pour les utilisateurs non techniques, mais cela m'a un peu alarmé lorsque je l'ai rencontré pour la première fois.

Suman
la source

Réponses:

3

Oui et non.

Tout d'abord, le lien sur lequel vous avez cliqué pour installer une extension a été codé, spécifiquement (je pense) pour gnome 3.2 comme méthode d'instillation. En ce sens, il s'agit donc d'un site "de confiance".

Deuxièmement, les extensions gnome sont des scripts utilisateur, stockés uniquement pour votre utilisateur. Ils n'ont accès à aucune information à laquelle l'utilisateur n'a pas accès. Ainsi, par exemple, il ne peut pas y avoir d'extensions shell pour écrire des fichiers dans /.

Troisièmement, les navigateurs n'ont pas été modifiés, mais le gnome shell l'a été.

Fondamentalement, la méthode d'installation n'est pas moins sûre que de vous fournir un fichier tar.gz et de vous dire de l'extraire manuellement dans votre répertoire personnel. Plutôt ou non, les extensions individuelles sont sûres est une décision que vous devez prendre au cas par cas. Cependant, gnome.org est un site légitime, tout comme le sous-domaine des extensions.

coteyr
la source
J'ai compris, merci beaucoup pour l'explication détaillée. Mais pour permettre l'installation automatisée, le navigateur ne devrait-il pas être modifié pour permettre cela? J'ai fait un peu plus de lecture, des sons comme ça se font via un plugin Firefox / Chromium?
Suman
Oui Plugin "Gnome Shell Integration" basé sur Firefox et Chrome.
coteyr