Google Chrome Extensies: Broncode controleren!
07-01-2012,16:43 door
Een vriend van me wilde graag de mogelijkheid om YouTube videos te kunnen downloaden zonder al die onzinnige download programma's of websites. Hij wilde gewoon een extensie voor Chrome die met behulp van wat javascript de download URL van youtube's servers zou geven zodat hij de video kon downloaden.
Na wat zoeken vond hij er een, installeerde hem en stuurde hem in enthousiasme naar mij. Ik wilde hem ook installeren maar na installatie gebeurde er niks. Toen bleek dat die extensie alleen maar een andere pagina had geöpend waar ik de eigenlijke extensie kon installeren. Vreemd. Toen ik die wilde installeren vroeg Chrome mij toestemming om toegang tot ALLE data. Daar trap ik natuurlijk niet in, vooral niet als het al zo verdacht is. Dit lijkt mij gewoon een manier om de beveiliging van Chrome Store te omzeilen.
Ik wilde weten hoe je de source code kon bekijken. Op het internet raadt men aan: Installeren, en dan naar Chrome's profile directory, waar dan de source uitgepakt staat. Maar goed, je wil hem juist pas installeren als je zeker weet dat hij veilig is, advies van niks dus. Ik heb zelf ook een Chrome extensie gemaakt voor persoonlijk gebruik, dus ik weet ongeveer hoe het werkt.
Nu kom ik tot mijn punt; als je een chrome extension verdacht vindt, kun je de source code zeer gemakkelijk even controleren, zonder die te installeren. Een extensie is namelijk een .crx bestand, welke eigenlijk een header + een zip bestand is. (In de Header staat onder andere een signature van Google, etc.) Je kunt hem dus gewoon hernoemen tot .zip en uitpakken, zodat je de source code kunt bekijken.
In mijn geval bleek dat er allerlei data werd doorgestuurd, dus het was maar goed dat ik niks heb geïnstalleerd. Ik heb de betreffende plugin ook al gerapporteerd aan Google.
Na wat zoeken vond hij er een, installeerde hem en stuurde hem in enthousiasme naar mij. Ik wilde hem ook installeren maar na installatie gebeurde er niks. Toen bleek dat die extensie alleen maar een andere pagina had geöpend waar ik de eigenlijke extensie kon installeren. Vreemd. Toen ik die wilde installeren vroeg Chrome mij toestemming om toegang tot ALLE data. Daar trap ik natuurlijk niet in, vooral niet als het al zo verdacht is. Dit lijkt mij gewoon een manier om de beveiliging van Chrome Store te omzeilen.
Ik wilde weten hoe je de source code kon bekijken. Op het internet raadt men aan: Installeren, en dan naar Chrome's profile directory, waar dan de source uitgepakt staat. Maar goed, je wil hem juist pas installeren als je zeker weet dat hij veilig is, advies van niks dus. Ik heb zelf ook een Chrome extensie gemaakt voor persoonlijk gebruik, dus ik weet ongeveer hoe het werkt.
Nu kom ik tot mijn punt; als je een chrome extension verdacht vindt, kun je de source code zeer gemakkelijk even controleren, zonder die te installeren. Een extensie is namelijk een .crx bestand, welke eigenlijk een header + een zip bestand is. (In de Header staat onder andere een signature van Google, etc.) Je kunt hem dus gewoon hernoemen tot .zip en uitpakken, zodat je de source code kunt bekijken.
In mijn geval bleek dat er allerlei data werd doorgestuurd, dus het was maar goed dat ik niks heb geïnstalleerd. Ik heb de betreffende plugin ook al gerapporteerd aan Google.
Laatst gewijzigd:
07-01-2012,
16:50
