如何在安装之前验证 Google Chrome 扩展程序？

      Google Chrome 扩展程序可以扩展网络浏览器的功能，或者让浏览网络时的生活更轻松。在这种情况下，它们也可能被公司滥用以通过 Internet 跟踪用户、显示广告或将恶意代码下载到用户系统。

　　本文为您提供了在安装 Chrome 扩展程序之前对其进行验证的方法。在浏览器中安装扩展程序之前这样做很重要，因为安装后可能已经太晚了。

　　虽然您可以为浏览器扩展设置测试环境，例如在沙盒中和使用 Wireshark 之类的网络流量监视器，但大多数用户可能并不喜欢它。

　　第 0 部分：你不应该相信什么

　　Chrome 网上应用店可能看起来像是满足您所有扩展程序需求的安全位置，但事实并非如此。Google 使用自动检查来扫描开发人员上传到商店的扩展程序。这些检查会捕获一些但不是所有形式的侵犯隐私或完全恶意的功能。

　　扩展程序用来通过所有安全检查的常用方法是包含一个将加载恶意负载的脚本。

　　提交到 Chrome 网上商店时，扩展程序本身不包含它。因此，该扩展程序通过了检查并被添加到所有 Chrome 用户都可以下载的商店中。

　　该描述是由扩展的开发者创建的，因此未经验证是不可信的。

　　用户评论可能会突出有问题的扩展，但情况并非总是如此。因此，在没有验证的情况下，它们在这方面也不可信。

　　最后但并非最不重要的一点是，您不应该盲目相信推荐，或者因为某事需要或向您宣传而提供安装扩展程序。

　　第 1 部分：描述

　　许多使用分析、点击跟踪、浏览历史跟踪和其他跟踪形式的扩展在扩展的描述中突出显示了这一事实。

　　您可能不会第一眼看到这一点，因为谷歌在商店中更喜欢风格而不是实质。描述字段很小，您经常需要滚动才能阅读全部内容。

　　如果您花时间滚动浏览描述，您最终会偶然发现以下段落：

　　使用 Awesome Screenshot 浏览器扩展需要授予其捕获匿名点击流数据的权限。

　　例如：查看流行的Hover Zoom 扩展，这个拥有超过 120 万用户的扩展程序过去曾因跟踪集成而受到批评？向下滚动，你会发现..

　　Hover Zoom 要求扩展用户授予 Hover Zoom 权限以收集浏览活动以供内部使用并与第三方共享，所有这些都以匿名和汇总的方式用于研究目的

　　Flash Player+ 是另一个扩展，在其描述中强调它记录数据并与第三方共享该数据。

　　为了持续支持和改进此软件，安装该软件的用户允许 Fairshare 收集并与第三方共享有关他们及其网络使用活动的信息，以用于商业和研究目的

　　查找这些扩展的一种快速方法是搜索这些描述中使用的短语。

　　第 2 部分：直接信息

　　以下信息显示在 Chrome 网上应用店的扩展程序配置文件页面上：

　　创建它/提供它的公司或个人。

　　综合评分，以及对其评分的用户数。

　　用户总数。

　　上次更新日期。

　　版本。

　　这些信息为您提供线索，但不足以判断延期。例如，许多可以被伪造或人为夸大。

　　Google 未能提供指向公司或个人的所有扩展名的链接，并且没有获得验证的选项。

　　虽然您可以使用搜索来查找公司或个人的其他扩展，但不能保证结果会全部列出。

　　第 3 部分：权限

　　通常无法根据单独请求的权限来确定扩展程序是合法的、跟踪您还是完全恶意的。

　　然而，有迹象表明这一点。例如，如果改进 Facebook 的扩展程序请求“读取和更改您访问的网站上的所有数据”，您可能会得出结论，您最好不要基于此安装扩展程序。由于它只能在 Facebook 上运行，因此无需授予它广泛的权限来查看和操作所有站点上的数据。

　　然而，这只是一个指标，但如果您使用常识，您可能能够避免安装有问题的扩展。通常，有一种替代方案可以提供类似的功能，但没有广泛的权限请求。

　　您可能还想检查所有已安装扩展的这些权限。加载 chrome://extensions/ 并单击每个扩展下方的详细信息链接。这将在浏览器中再次显示该扩展程序的所有权限请求作为弹出窗口。

　　第 4 部分：隐私政策

　　如果扩展程序链接到隐私政策页面，您可能会在其中找到显示用户是否被它跟踪的信息。对于彻底的恶意扩展，这不会不经意间起作用。

　　例如，如果您查看从 Hover Zoom 等扩展程序链接的 Fairshare 隐私政策，您会在其中找到以下段落：

　　公司可能会使用浏览器 cookie、Web 和 DOM 存储数据、Adobe Flash cookie、像素、信标以及其他跟踪和数据收集技术，其中可能包括匿名唯一标识符。

　　这些技术可用于收集和存储有关您使用服务的信息，包括但不限于您访问的网页、功能和内容、您运行的搜索查询、推荐 URL 信息、您点击的链接以及您的广告看到。

　　这些数据用于商业目的。

　　第 5 部分：源代码

　　浏览源代码可能是您必须找出扩展程序是否正在跟踪您或恶意的最佳选择。

　　这可能不像听起来那么技术性，而且通常可以通过基本的 HTML 和 JavaScript 技能来确定。

　　您需要的第一件事是一个扩展，它使您能够在不安装扩展的情况下获取扩展的源代码。Chrome 扩展源查看器是 Chrome 的一个开源扩展，可以帮助您。

　　另一种方法是在沙盒环境中运行 Chrome，在其中安装扩展程序以访问其文件。

　　如果您使用扩展源查看器，您可以单击 Chrome 网上应用店地址栏中的 crx 图标以将扩展下载为 zip 文件或立即在浏览器中查看其源代码。

　　您可以立即忽略所有 .css 和图像文件。您应该仔细查看的文件通常具有 .js 或 .json 扩展名。

　　您可以先检查 manifest.json 文件并检查 content_security_policy 值以查看那里的域列表，但这通常是不够的。

　　一些扩展使用明显的名称来跟踪文件，例如广告，以便您可能希望从那里开始。