Chrome 的安全性是众所周知的，但这并不意味着它不会走漏你的隐私：喜爱干坏事的人运用 Chrome 扩展，简略几行代码就能够盗取你的邮箱暗码，阅读记载等。跟着 Chrome 阅读器的遍及以及近期呈现的一些可疑扩展，我觉得需求慎重提示我们慎重装置扩展。

Chrome扩展能做什么？

Chrome 扩展能够引进 np 插件与体系交互，比方我们用的 Chrome 下载帮手能够直接调用迅雷并新建一个使命。同理扫描银行记载、扫描你的 program 文件夹等一般软件能够做到的它也能够。不过，走运的是运用 np 插件的扩展假如想要提交到 Chrome 扩展中心的话需求经过 Google 人肉查看，所以在这方面来说仍是比较安全的。

那么，假如不运用 npapi，Chrome 扩展还能做些什么呢？答案是：你的收藏夹，前史记载，web QQ 的谈天数据，乃至你的各类帐号暗码都能够获取到——即便你运用某某加密署理或 vpn。

这个是我做的一个演示扩展。这个扩展装置后，能够在你登陆 QQ 邮箱时检测到你的帐号和暗码。当然，这只是一个演示，略微改一下就能够获取各种邮箱，BBS，乃至网上银行的暗码，再加上几行简略的代码就能够直接把暗码发送给扩展作者了。

怎么防备？

作为一般的用户，或许无法经过查看源代码来确保扩展安全性，不过经过装置时确实认信息就能够识别出大部分不良扩展：比方谷奥 Chrome扩展 只要获取谷奥网数据的权限。

最近谷奥介绍过的两个（1，2）协助你检测淘宝上某些产品打折状况的扩展，理论上它们只需求获取淘宝的数据就能够了，可是实际状况却并非如此：

当然这只是个初步判断，不能据此说某某扩展盗取用户隐私。比方扩展申请了新建一个标签的权限，但 Chrome 会解释为“您的阅读前史记载”权限。别的用户需求分外留心针对某些灵敏网站的扩展，比方 gmail，网银等。#p#

另一种危险

假如 Chrome 扩展被上传到扩展中心，即便它作恶，那也会留有痕迹（前史版别）。但有一些方法能够避开程序版别被记载，比方引进长途 JavaScript 。

引进长途 JS 分两种状况，一种是引进到扩展页面（即 background.html，popup.html 等），另一种是引进到阅读的网页。

引进到扩展页面

这么做仅有的理由或许便是确保用户运用的最新的 JS。尽管 Chrome 会每隔一段时间自动更新扩展，但有些开发者或许并不满意，所以引进了长途 JS。但这么做的价值便是每逢扩展启用时都会去开发者的服务器上下载 JS 文件，这样一旦衔接不到服务器，扩展就彻底不能用了，而且也会影响功率，更为重要的是某些扩展经过引进外部 JS 取得更大权限和更多数据，且用户无法追寻其代码。（下图仅是一个演示，并不代表谷奥以为56/57折的这两个扩展有歹意行为）

引进到阅读的网页

Chrome 扩展有一些机制维护用户数据安全，其中就包含扩展 JS 履行环境和网页的 JS 环境彻底分隔，只是同享页面 DOM。比方，网页 JS 里有个变量 guao，那么在 Chrome 扩展的 JS 中是无法检测到这个变量的。但开发者如经过技术手法修正阅读网页的代码（很简略滴），使其引进一个开发者所指定的 JS，这样开发者就能够彻底假造网页的程序了。修正一些函数，运用户的暗码、谈天记载等提交到开发者的服务器是非常简略就能够做到的。

结语

网络安全是每个人都不应该忽视的问题，尽管 Chrome 自身非常安全，可是 Chrome 扩展却给了一些心怀叵测的人待机而动。作为最终用户来说，最简略的防备方法便是只装置出自 Chrome 扩展中心的扩展，而且留心扩展所需求的运转权限。至于长途 JS 注入这样的手法，现在看来好像没有太好的方法，只能靠各位扩展作者自律了。

【修改引荐】

1. 谷歌修正12个Chrome阅读器安全漏洞
2. OneCare测验差强人意 微软在全球扩展安全事务
3. Juniper公司M系列路由器扩展安全路由架构使用