Давеча на фронтах защиты онлайн-конфиденциальности полыхнул очередной скандал. Выяснилось "вдруг", что некоторые расширений для Chrome собирают данные о действиях своих пользователях, и потом эти самые данные распродаются. Расширения использовали известную директиву unsafe-eval и, по самым скромным подсчетам, скачать их успели более 4 млн. раз.
Если в двух словах, то каждая такая прога после установки запускала "левые" скрипты, но, как говорится, не просто так. Раймонд Хилл, разработчик uBlock Origin, суть данной "внезапной ситуации" когда-то описал следующим образом:
"Чтобы расширение могло выполнять удаленный код в своем собственном контексте, файл manifest.json должен явно содержать unsafe-eval".
Более подробную инфа в Сети присутствует в избытке и гуглится легко. А по состоянию на сейчас, пользователям Chrome и других браузеров рекомендуется воздержаться от использования расширений с unsafe-eval, а также проверять файл манифеста каждого расширения из магазина Chrome перед установкой.
Собственно, данная процедура рекомендуется в качестве обязательной уже лет 5 как. Так что, пользуясь случаем, вкратце напомним:
как проверить на unsafe-eval новое расширение в магазине Chrome
Сделать это можно следующим способом:
- далее в браузере открываем страницу нужного расширения в магазине Chrome;
- на панели расширений браузера кликаем кнопку "CRX" и в меню жмем "View Source";
- в таблице на открывшейся следом странице выделяем строку manifest.json (в колонке слева);
- далее жмем F3 с клавиатуры и в строке поиска на странице пишем unsafe-eval:
как проверить на unsafe-eval установленное расширение в Chrome
Само собой, можно поочередно найти и перепроверить файлы manifest.json всех установленных расширений, но, если расширений много, то это займет некоторое время. Потому если расширений много, то лучше поиск автоматизировать и мероприятие в целом ускорить. Для этого:
- сначала качаем на комп утилитку Everything (можно портативную версию) и текстовый редактор Notepad++ (либо любой другой с функций поиска по содержимому файла);
- сверху кликаем "Поиск" и "Расширенный поиск";
- в поле "Слово или фраза внутри файла" вводим unsafe-eval
- в поле "Местоположение" указываем диск C: либо сразу путь к папке с расширениями Chrome, его найти можно в описании версии браузера на странице chrome://version/, строка "Путь к профилю" (копируем эту строку, к примеру, C:\Users\Имя_пользователя\AppData\Local\Google\Chrome\User Data\Default в поле "Местоположение");
- ставим флажок в чек боксе "С вложенными папками";
- жмем OK.
Далее в результатах поиска отбираем файлы с названием manifest.json. Открываем каждый в Notepad++ и через поиск редактора проверяем код файла на предмет наличия в нем фразы unsafe-eval.
В такой способ, к слову, можно быстренько проверить расширения (аддоны) не только в Chrome, но и в любом другом браузере. Для профилактики...