Vlákno názorů k článku Man-in-the-browser aneb jak jsem si nechal infikovat prohlížeč od Lukas - Já používám Adblock plus už dlouhá léta a...

Je pravda, že kdybych se v problematice blokování reklam a duplikování oblíbených rozšíření orientoval lépe, vybral jsem si před měsícem "ten originální Adblock" a dnešní článek by nevyšel. Na druhou stranu, to varování má obecný charakter - například i oblíbený GreaseMonkey, resp. skripty do něj, mohou nadělat podobnou paseku. A takových modifikátorů zobrazení webů bude určitě mnohem víc (jen je neznám).

Pointa je v tom, že Chrome Webstore je totálně nedůvěryhodné místo umožňující doslova čarovat s tím, co tam třetí strany vystavují. Dále jakékoliv rozšíření sosající externí javascripty je potenciální díra. A nakonec, při automatické aktualizaci je snaha o počáteční ověření rozšíření či jeho autora zbytečná, neboť se může v čase dramaticky změnit a uživatel si toho ani nevšimne. U Adblock Super se to sešlo včera všechno dohromady (plus ten aktivní malware), ale i každá jednotlivost z těch tří je v principu špatná.

To už asi přeháníte. Věřím, že většina lidí by se ohradila, kdyby měli ztratit soukromí svých platebních karet a dalších finančních kanálů. Jak jsem psal v článku, potenciálně jsem odevzdal přístupy ke všem svým aktivům (a vlastně i pasivům - teď mi někdo může zrádně splatit hypotéku :-) To by nikdo dobrovolně neudělal. Bohužel ten pocit bezpečí v Chrome (založený na důvěře ve výrobce prohlížeče) je po instalaci rozšíření jen iluze.

Teď mě napadá, jak je dobře, že nemám datovou schránku - to už bych měl pryč i identitu.. Začínám doceňovat 2FA.

Ano, rád. Rozhodl jsem se věřit Google ve věci prohlížení webových stránek. Používám na to jeho program Chrome. Dle mého uváženého rozhodnutí je pro mě Chromě důvěryhodný. Google také provozuje pro svůj Chrome obchod s rozšířeními zvaný Webstore který pro mě automaticky zdědil důvěryhodnost stejnou, jakou se u mě těší samotný Google a jeho Chrome (podobně jako věřím Google Drive a dalším produktům od stejné firmy).

Tak tedy věřím Google, že v Chrome není vestavěn systém na špiclování. Google se snaží dělat prohlížeč tak, aby byl pro mě i nadále důvěryhodným partnerem (otevřený vývoj Chromia atd.). ALE zároveň Google provozuje a v Chrome doporučuje ten Webstore, který (z pohledu uživatele) distribuuje jasný malware. Takže Webstore už pro mě není nadále stejně důvěryhodný jako Google a jeho Chrome, dokonce je ta důvěra v to technické řešení distribuce Chrome doplňků na nule, takže je nedůvěryhodný. Už to dává smysl?