研究人員又增加了乙個對web瀏覽器擴充套件持懷疑態度的理由。根據最近發表的乙份學術報告,各種chrome,firefox和opera瀏覽器擴充套件可能會受到攻擊者的攻擊,這些攻擊者可以竊取敏感瀏覽器資料並在目標系統上植入任意檔案。
蔚藍海岸大學的研究人員doliere francis some在一篇題為《用瀏覽器擴充套件增強web應用程式的能力》的學術**中寫道:「我們發現了大量可以被web應用程式利用的擴充套件,它們可以從這些應用程式的特權功能中獲益。」
這種訪問對於web應用程式來說是唯一的,web應用程式受到所謂的同源策略(sop)的約束,該策略禁止應用程式在域之間讀寫使用者資料。然而,該研究展示了乙個特殊設計的web應用程式如何通過利用特權瀏覽器擴充套件繞過sop保護。
「我們的研究結果表明,瀏覽器擴充套件和web應用程式之間的通訊對瀏覽器、web應用程式,更重要的是對使用者,構成了嚴重的安全和隱私威脅。」根據研究人員的說法,攻擊原理如下:「攻擊者[使用]當前在使用者瀏覽器中執行的web應用程式中存在的指令碼。該指令碼屬於web應用程式或屬於第三方。攻擊者的目標是與已安裝的擴充套件進行互動,以訪問使用者敏感資訊。它依賴於擴充套件,其特權功能可以通過與web應用程式中的指令碼交換訊息來利用。即使內容指令碼,背景頁面和web應用程式在不同的執行上下文中執行,它們也可以建立通訊通道以相互交換訊息.……api [用於]在內容指令碼之間傳送和接收(偵聽)訊息,背景頁面和web應用程式。」
somé專注於一種名為「webexstress api」的特定型別的web擴充套件,這是一種跨瀏覽器的擴充套件系統,相容包括chrome、firefox、opera和microsoft edge在內的主要瀏覽器。在分析使用特定webextension api的78315個擴充套件之後,它發現3996個可疑的擴充套件。(見下表)
雖然看起來很多,但somé指出,研究發現存在少量易受攻擊的擴充套件,應該重視考量這種擔憂。但是,「瀏覽器**商需要更嚴格地審查擴充套件,特別是考慮在擴充套件中使用訊息傳遞介面。」
Android 瀏覽器啟動應用程式
首先做成html的頁面,頁面內容格式如下 href scheme host path query 啟動應用程式a 作為測試好好寫了一下,如下 href scheme host path?query value 啟動應用程式a 接下來是android端。首先在androidmanifest.xml的m...
iOS 從瀏覽器啟動應用程式
實現這樣的功能並不麻煩,通過將網上一些相關教程彙總以後就寫了下面的教程分享。實現效果如下,在瀏覽器中輸入 haogaoming.com 之後就會開啟這個程式,開啟後程式中會顯示跳轉過來的鏈結位址。下邊是啟動應用程式之後的畫面,alert一下請求過來的協議。第一步 在info.plist中加入這些內容...
瀏覽器如何呼叫外部應用程式
1 首先需要編寫乙個登錄檔,副檔名.reg windows registry editor version 5.00 hkey classes root rtmp url rtmp protocol handler url protocol hkey classes root rtmp shell ...