Mögliches Exploit für Chrome

Ein Programmierer demonstriert in einem Blog-Artikel wie (auf recht einfache Weise) ein Schad-Plugin für Chrome erstellt werden kann, das bei jeder Passworteingabe eine E-Mail mit den Daten an den Autor schickt: http://blog.dreasgrech.com/2010/07/stealing-login-details-with-google.html

Anfangs dachte ich dass das bei Firefox sowieso nicht geht, weil der Browser Cross-Site-Ajax in den Standardeinstellungen unterbindet (da bin ich schon mal angeeckt). Augenscheinlich hat sich das seit 3.5 geändert.

So wie sich das liest wird mit dem nun implementierten Origin-Header, den Firefox bei einem Cross-Site Ajax-Request anfügt, nur am Server geprüft, ob der Request von einer bestimmten Domain kommt. Das soll offenbar die Server vor unkontrollierten Anfragen schützen, aber der Nutzer wird nicht gefragt ob er dahin überhaupt was übermitteln möchte. So ganz leuchtet mir das nicht ein... gibt es damit überhaupt mehr Sicherheit für den unbedarften Anwender?

Womit der Fall dann wohl klar wäre. Bin gespannt ob und wie Google und Mozilla hier für mehr Sicherheit sorgen wollen - das Review-System ist sicher eine sinnvolle Maßnahme welche die offiziellen Seiten sicherer macht, aber ob die reicht?

Entsprechender Schadcode muss ja nicht zwangsweise so offensichtlich in der Erweiterung selber vorhanden sein, der Code könnte auch versteckt, z.B. während den normalen Ajax-Operationen des Plugins vom Server her eingeschleust werden oder beim Besuch bestimmter Seiten, auf die der Plugin-Entwickler Einfluss hat.

Momentan kann man nur davon abraten, mit Erweiterungen allzu sorglos umzugehen und wie Du sagtest nur die vertrauenswürdigsten Quellen wie addons.mozilla.org und chrome.google.com nutzen.