Vejledning til sikker installation af udvidelser i Chrome


(OracleJMT) #1

Google Chrome regnes generelt for, at være blandt de mest sikre browsere i verden. Det skyldes det faktum, at Chrome benytter sig af en metode til, at isolere hver fane i en proces. Det beskytter imod mange grimme ting, du som bruger kan udsættes for, blandt andet såkaldte buffer overflows, som giver udvidede rettigheder til malware på din maskine. Denne sandbox-teknologi er smart, og kombineret med det indbyggede URL-filter og rodcertifikat-kontrol i Chrome, giver Chrome i sin bare form en udmærket beskyttelse imod alverdens grusomheder.

Du vil sikkert som de fleste gerne have udvidet funktionalitet i form af udvidelser, da det i 2018 er mere end svært, at få en respektabel browseroplevelse uden en sikker adgangskodehusker, en god adblocker, site advisor med mere.

Derfor går mange lystigt i Chrome Webshop og fylder browseren med udvidelser, der dækker den enkeltes behov.

Men mange er ligeså lidt klar over, at i Chrome Webshop gemmer der sig ikke så lidt malware i krogene af diverse udvidelser. Skadelige udvidelser, der aflurer dine passwords, bruger din cpu til, at generere kryptovaluta, sløver din maskine ned, sælger dine informationer videre til tredjepart og andre ting, der udhuler den indbyggede browsersikkerhed.

Jeg vil nu tale om, hvordan du kan blive bedre til, at undgå, at få installeret skadelige udvidelser, og så vil jeg komme med en liste over kendte, gode udvidelser der vil komme de fleste til nytte.

Ting, du bør holde øje med:

  1. Udvidelser, der lover urealistiske ting. Det kan være f.eks. at afsløre hvem der fjernede dig som ven på Facebook.

  2. Det kan være en udvidelse, der markant vil ændre browsers funktionalitet.

  3. Det kan være en uofficiel temapakke.

  4. Skadelige udvidelser, der ligner kendte lødige udvidelser:

Hold dig til få, men meget nyttige udvidelser. På den måde udelukker du et hav af de tvivlsomme, men bevarer en fornuftig browseroplevelse.

Derfor bid i det sure æble, og hold dig til de mest nødvendige på denne liste:

WOT - Web Of Trust. Det er rigtigt, at de har været i vælten for, at give informationer videre, men de har rettet op på alle problemerne og firmaet bag er respektabelt, og de har bevist i en årrække, at de er til, at stole på. Anbefalelsesværdigt.

Https Everywhere. Denne er god at have, hvis du værdsætter dit privatliv og dine informationer på nettet. Tvinger websites med Https-funktionalitet til, at bruge Https-forbindelse, som udvidelsen nævner - https overalt. - Der vil dog være undtagelser og sider den ikke virker perfekt på. Og selvom Chrome som standard bruger HTTPS så meget den kan, giver Https Everywhere mulighed for, at endnu flere sider benytter sig af Https.

uBlock Origin.

Denne udvidelse har jeg talt meget om. Men det skyldes formentlig, at det er fordi den er virkelig effektiv. Den er OpenSource og kildekoden ligger frit tilgængelig på https://github.com/gorhill/uBlock.
Det er en såkaldt content-blocker. Termen går ud på, at ud over, at blokere for reklamer går uBlock Origin skridtet videre og blokerer malwaresider, tracking og alle de andre ting, som alle ønsker, at slippe for.

LastPass og Roboform.

At bruge en af disse to password managers er et must for de fleste, der gerne vil have sikkert styr på deres passwords i browseren, da den indbyggede adgangskodehusker i de fleste browsere rent sikkerhedsmæssigt ikke er tilstrækkelig. Det er den ikke, fordi måden hvorpå dine adgangskoder bliver opbevaret ikke er tilstrækkelig - kryptering er ofte for svag, nogle gange og i visse browsere er der slet ingen kryptering. Alt i alt kan du regne med styrken af kryptering hos både LastPass og Roboform til, at passe på dine passwords og logininformationer. De har begge to-faktor-autentifikation, som mulighed. En ting, der er bydende nødvendig i disse tider - og som ses implementeret overalt, hos Google, Twitter, Facebook, mfl.

Hvis du ikke ønsker, at bruge Lastpass eller Roboform, kan du nøjes med KeePass, som ikke er en Chrome-udvidelse, men et program du har installeret på maskinen. Det er en databasebaseret password manager. Jeg har skrevet en vejledning i forebyggelse, som du kan finde her på siden. Link

Det er vigtigt, at du holder dig til de allermest nødvendige, gode udvidelser, som jeg her har anført på listen. Hvis du vil gå skridtet videre, er det på eget ansvar. Undertegnede fralægger sig ethvert ansvar for, hvad du videre vil gøre. Men bid mærke i brugeranmeldelser af udvidelser. Kig efter hvem der står bag. Det kan du læse om i udvidelsens pop-up-menu. Kig efter antal af stjerner, og især i forhold til hvor mange der har anmeldt udvidelsen.

God fornøjelse!

EDIT. Flere ting du kan gøre for, at være på den sikre side, inden du installerer en udvidelse:

  1. Kig efter hvilke tilladelser udvidelser beder om, inden installation. Du ønsker for eksempel ikke, at udvidelsen får adgang til din mikrofon, eller dit evt. kamera, hvis ikke udvidelsens specifikke formål er, at optage din stemme og/eller optage video, læs: Skype-lignende udvidelse.

  2. Læs hele beskrivelsen inden du installerer.

  3. Har du mod på det, (og evnerne) og er udvidelsen open source, læs hele kildekoden igennem.


(hans) #2

Det ser ud til at Tor project er indblandet i Https Everywhere.
Er det ikke dem med tor browseren ?


(OracleJMT) #3

Det kan meget vel passe. Tor Projektet og EFF er gode projekter i den gode sags tjeneste. :blush:


(hans) #4

Hvis det er dem der har lavet Tor browseren, så er det vel ikke i den gode sags tjeneste ?
Tor browseren bliver jo brugt til både det ene og det andet.


(OracleJMT) #5

Det er ikke Tor projektet, der står bag Https Everywhere. Det er EFF. EFF beskytter det frie internet og dets brugere og er i den grad i den gode sags tjeneste.

Desuden er Tor en lovligt anerkendt teknologi, der bliver brugt vidt og bredt verden over. At beskytte sit privatliv er en menneskeret. Hvad du bruger Tor browseren til, er dit eget ansvar. Derfor skal du også opføre dig ordentligt og følge lovene. Og det er ikke ulovligt, at bruge kryptering til, at beskytte dit privatliv.


(hans) #6

Ifølge nedenstående link så er Tor projektet med i Https Everywhere.

Men kan godt se din pointe med at det er op til en selv, hvordan man anvender teknologien i Tor browseren


(OracleJMT) #7

Jamen det er da dejligt, at to frie, uafhængige projekter, passer på mennesker under kontrol, (Kina) og andre lande, og lande med mennesker, der har måtte få brug for sikkerhed og privatliv fra Google, Facebook, og deres regeringers snagen.


(OracleJMT) #8

Men når nu vi har fået slået det sidste søm i den Tor-kiste, - kan vi så begynde, at snakke lidt om min vejledning, som jeg gjorde mig meget umage for, at skrive for alle jer andre brugeres skyld? :slight_smile:

Er der noget den mangler, finder i fejl, synes i bare det er nogle super gode råd.

Jeg lader gerne høre.


(Ejvindh) #9

Jeg synes ideen med indlægget er god, og jeg tænker måske også umiddelbart, at mine egne anbefalinger kunne have lignet det, du skriver. Selvom jeg personligt bruger endnu færre plugins.

Men hvis jeg skulle komme med et forslag, så tænker jeg måske det kunne være interessant at høre noget om, hvad du baserer dine vurderinger ud fra? Er det fra, hvad du hører hos pålidelige kilder (og hvis ja: hvem?), er det fordi du selv har checket efter, at de ikke ødelægger sandboxen (og hvis ja: hvordan?).

Pointen er, at rådet måske kunne blive lidt mere generativt, hvis den indeholdt lidt bud på, hvad man kan gøre, hvis man ikke kan nøjes med de plugins, som du bruger. Vi kan jo nok ikke helt nøjes med at kigge på tidligere brugeres vurderinger, da mange vel netop falder i grøften og kommer til at installere de uhensigtsmæssige plugins.


(OracleJMT) #10

Det er faktisk helt rart, at den hurdle jeg slås med, med hensyn til, at “det er brugernes anbefalinger” jeg ser som den eneste mulighed for, at garantere en vis indsigt i hvad der er skidt eller kanel, bliver understøttet, Ejvindh.

Jeg ved bare ikke hvordan jeg skal komme ind over det problem, da jeg ikke ser andre måder, at verificere Chrome-udvidelser på for lægmand. Du kan jo ikke bede den almindelige bruger om, at kigge i koden på udvidelser og se hvad koden gør. Det kan man jo slet ikke forvente, at de fleste brugere er i stand til. Såfremt, at kildekoden overhovedet er tilgængelig. Derfor kan jeg ikke komme på andre måder for de fleste, end at kigge på antallet af anmeldelser plus eventuelle antal af stjerner, i kombination. Udvidelsens tilladelser, og så oven i hatten måske bede brugerne, at læse om udvidelserne på betroede tech-sider. Der forefindes visse reviews og anmeldelser/anbefalinger, som man kan høste viden fra. Men nogle garantier findes der vel reelt set ikke. Så jeg giver dig ret i, at det er problematisk, at anbefale udvidelser, uden nogen form for dokumentation. Lige med den slags er det svært, at finde understøttede beviser på, at tingene er i orden.


(vaf) #11

At man skal være opmærksom og varsom omkring browser-udvidelser, siger denne tråd noget om - https://www.wilderssecurity.com/threads/seven-more-chrome-extensions-compromised.396131/#post-2785608

indlæg # 7 er vejen frem -


(OracleJMT) #12

Det må jeg så ringe til Google og fortælle dem, så de kan implementere det i Chrome.


(vaf) #13

Held og lykke med det :slightly_smiling_face:


(OracleJMT) #14

Tak. Jeg tror mest det var lettere sarkastisk ment. :wink:


(vaf) #15

Ja den fangede jeg godt nok hr. :grin:


(OracleJMT) #16

Det ser ud til, at Google begynder, at implementere en funktion i deres webmotor, der medfører, at content blockeren Ublock Origin holder permanent op med at fungere i fremtiden.

Dette er virkeligt dårligt nyt, da Ublock Origin er den eneste contentblocker, der så effektivt kan blokere både reklamer og skadelige links og scripts.

Implementeringen kommer til, - ud over Google Chrome, - at få indflydelse på den nye version af Microsoft Edge, som kommer til senere hen, at benytte Chrome’s webmotor. Også Vivaldi, Opera og andre Chrome baserede browsere vil være ramt. Udvidelsen Ghostery vil også blive ødelagt i Chrome baserede browsere.

Ublock Origin’s udvikler har nærmest gjort oprør over ændringen. Det samme har udviklerne bag Ghostery.


(Jens V) #17

Jeg ved ikke om DuckduckGo er noget værd, men forstår jeg det ret vil den heller ikke virke efter dette tiltag da den vel er en en tilføjelse


(OracleJMT) #18

Jo, det kommer til, at virke fint i fremtiden. Det er adblockers/contentblockers, det handler om.

Jeg anbefaler folk, at skifte til Firefox, så de stadig kan beskytte sig.


(OracleJMT) #19

Og nej, jeg tror Epic har deres egen motor. Så det kommer ikke til at påvirke Epic.


(hans) #20

Vil det så også påvirke Epic browseren ?
Der er en indbygget adblocker i den, men jeg er ikke klar over hvilken en det er.