Vlákno názorů k článku Hledání škodlivého kódu mezi doplňky prohlížeče aneb odhalujeme malware od peci1 - Proto je lepsi tyhle podezrele doplnky deaktivovat a...

Proto je lepsi tyhle podezrele doplnky deaktivovat a zapinat jenom ve chvili, kdy jsou opravdu potreba.

A jak poznám, který doplněk je podezřelý? "Dark mode" nebo "I dont care about fucking cookies" používám pořád.

Podezřelé jsou všechny, kromě těch, o kterých vím, že podezřelé nejsou.

nóó tak třeba taková mozilla jim přiřazuje vodznáčky jestli je třeba doporučujou nebo že je ověřili a četli zdrojáček hele

kdyby pan autor misto chromu používal firefox tak by si jako moh ušetřit starosti protože by si u doplňku moh přečíst že
This add-on is not actively monitored for security by Mozilla. Make sure you trust it before installing. :D ;D

To ano, ale ani Mozilla nemůže uchránit každou verzi a není nad vlastní ověření, byť jen na možnou podezřelost.

Děkuju autorovi, taky si addony ověřuji ne ale tak sofistikovaně.
Tak jsem svoji sbírku addonů prohlédl na použité řetězce jako "atob, strreverse, decode, console.error" ani jeden z mých https://ctrlv.cz/2MpP

* atob – kóduje řetězce z base64, má řadu validních využití
* strreverse – to bylo vymyšlené jméno zřejmě jen pro tento doplněk
* console.error – to je jenom výpis na konzoli pro programátora, nedovedu si dobře představit zneužití

Hlavní podezřelá funkce zůstává `eval`. Problém je, že funkci lze maskovat – například tak, že uložím dvě proměnné, "ev" a "al" a pak je spojím a pustím na objektu `window`. Pouhé prohledání textu tak řetězec eval nenajde. Ale nechci vás děsit – někdy třeba stačí přečíst recenze uživatelů.

Firefox používám také. Mozille fandím!

Celý článek mi ihned připomněl jiný, pět let starý, který řeší něco velice podobného. (Tímto aktuální článek ale nekritizuji - nejenže hledaný viník je trochu víc ukrytý, ale především jde o téma, které je IMHO vhodné pravidelně připomínat.)

Po přečtení onoho článku jsem doposud neměl odvahu si nainstalovat jediný doplněk do prohlížeče a celkově jsem k instalaci nového SW poněkud střízlivý až paranoidní. Takže

„A jak poznám, který doplněk je podezřelý? [...]“
Jestli myslíte „poznat“ ve smyslu „vědět“, tak jedině vlastním auditem kódu při každé aktualizaci (a i tak je to spíš víra ve vlastní schopnosti, než jednoznačný, nezpochybnitelný fakt, s výjimkou triviálních případů).

V opačném případě musíte něčemu věřit - tvůrci doplňku, straně, která doplňkům rozdává nejrůznější nálepky, jiným auditorům, atd.

Já to řeším tak, že si sám pro sebe vágně vyhodnocuji pravděpodobnost, že daný SW (nejen doplněk) je rizikový a cenu za případ, že je vyhodnocení špatné. U doplňků je problém jejich možného prodeje jiné straně (vizte výše zmíněný článek), takže nemám ani chuť se tomu nějak věnovat, byť bych třeba nějaký AdBlock uvítal - zdá se mi poslední dobou, že se Youtube snaží mi jeho služby totálně znechutit reklamami a celkem se mu to daří.