Hacker News

यूजर के ब्राउजिंग डेटा के जासूसी करत क्रोम एक्सटेंशन

यूजर के ब्राउजिंग डेटा के जासूसी करत क्रोम एक्सटेंशन क्रोम के ई व्यापक बिस्लेषण एकरे मूल घटक सभ के बिस्तार से जांच आ व्यापक निहितार्थ सभ के पेशकश करे ला। फोकस के प्रमुख क्षेत्र बा चर्चा के केंद्र में बा: कोर तंत्र आ प्रो...

1 min read Via qcontinuum.substack.com

Mewayz Team

Editorial Team

Hacker News

क्रोम एक्सटेंशन यूआरएल, कुकीज, फॉर्म इनपुट, आ नेटवर्क अनुरोध नियर संवेदनशील जानकारी तक पहुँच के आपके ब्राउजिंग डेटा के जासूसी क सके ला-अक्सर आपके जानकारी के बिना। ई समझल कि ई निगरानी कइसे काम करे ला आ अपना के कइसे बचावल जा सके ला, ई समझल जरूरी बा जे केहू भी बिजनेस भा निजी काम खातिर ब्राउजर के इस्तेमाल करे ला।

क्रोम एक्सटेंशन आपके ब्राउजिंग डेटा तक पहुंच कईसे हासिल करेला?

जब रउआ क्रोम एक्सटेंशन इंस्टॉल करीं, त ऊ अपना manifest.json फाइल में परिभाषित अनुमति के सेट के अनुरोध करेला। कई गो प्रयोगकर्ता लोग एह अनुमति के अनुरोध सभ के बिना पढ़ले "क्रोम में जोड़ीं" पर क्लिक करे ला, अनजाने में एक्सटेंशन सभ के अपना डिजिटल जीवन में व्यापक पहुँच देला।

सबसे खतरनाक अनुमति सभ में शामिल बाड़ें:

    के बा
  • टैब – एक्सटेंशन के रउआँ द्वारा खोलल हर टैब के यूआरएल, टाइटिल आ फेविकॉन पढ़े के इजाजत देला, जवना से रउआँ के हर वेबसाइट के प्रभावी ढंग से ट्रैक कइल जा सके ला।
  • webRequest / webRequestBlocking – एक्सटेंशन के नेटवर्क अनुरोध सभ के सर्वर पर पहुँचे से पहिले इंटरसेप्ट, निरीक्षण आ इहाँ तक कि संशोधित करे के इजाजत देला, जवना में लॉगिन क्रेडेंशियल आ एपीआई टोकन भी सामिल बाड़ें।
  • कुकीज – रउआँ के ब्राउजर में संग्रहीत सगरी कुकीज़ सभ के पहुँच देला, जेकर इस्तेमाल बैंकिंग, ईमेल, आ सास प्लेटफार्म सभ पर प्रमाणित सत्र सभ के अपहरण करे खातिर कइल जा सके ला।
  • इतिहास – रउआँ के ब्राउजिंग इतिहास के पूरा लॉग उपलब्ध करावे ला, जेह से एक्सटेंशन सभ के रउआँ के ऑनलाइन गतिविधि के बिस्तार से व्यवहार प्रोफाइल बनावे के इजाजत मिले ला।
  • भंडारण – एक्सटेंशन के लगातार डेटा के स्थानीय रूप से पढ़े आ लिखे में सक्षम बनावे ला, संभावित रूप से बाद में बाहर निकाले खातिर कैप्चर कइल जानकारी के संग्रहीत करे ला।
के बा

इहाँ तक कि जवन एक्सटेंशन वैध लउके लें-एड ब्लॉकर, व्याकरण चेकर, उत्पादकता टूल-अपना के पैमाना पर यूजर डेटा के कटाई करत आ डेटा ब्रोकर भा एनालिटिक्स फर्म सभ के बेचत पकड़ल गइल बाड़ें।

एक्सटेंशन जासूसी के वास्तविक दुनिया के परिणाम का होला?

जोखिम हल्का गोपनीयता बेचैनी से बहुत आगे तक फैलल बा। दुर्भावनापूर्ण भा खराब डिजाइन वाला एक्सटेंशन सभ के कारण ब्यक्ति आ संगठन सभ के नापे जोग नुकसान भइल बा।

2023 में शोधकर्ता लोग क्रोम वेब स्टोर में दर्जनों एक्सटेंशन सभ के पहिचान कइल जेह में लाखन यूजर लोग के मिलल जुलल इंस्टॉल बेस रहल, ई सभ चुपचाप ब्राउजिंग के इतिहास के बाहरी सर्वर सभ पर संचारित करत रहलें। कॉर्पोरेट माहौल में एकही समझौता एक्सटेंशन मालिकाना रिसर्च, क्लाइंट डेटा, इंटरनल टूल यूआरएल, आ प्रमाणीकरण टोकन सभ के उजागर क सके ला।

<ब्लॉककोट> के बा

"ब्राउजर एक्सटेंशन रउआँ द्वारा गइल वेबसाइट सभ के समान बिस्वास के स्तर के साथ काम करे ला-लेकिन अइसन बिसेसता सभ के साथ जे हर साइट पर एक साथ पहुँचे लें। एह से ई आधुनिक कंप्यूटिंग में सभसे ताकतवर आ कम आंकल जाए वाली हमला सतह सभ में से एक बा।" — ब्राउजर एक्सटेंशन रिस्क

पर सुरक्षा शोधकर्ता के नजरिया के बा

संवेदनशील संचालन के प्रबंधन करे वाला बिजनेस सभ खातिर-पेरोल, सीआरएम डेटा, फाइनेंशियल डैशबोर्ड-एकही कर्मचारी के मशीन पर बदमाश एक्सटेंशन पूरा संगठनात्मक उल्लंघन हो सके ला। हमला के सतह के एम्पलीफाई कइल जाला काहें से कि एक्सटेंशन चुपचाप अपडेट होला, मने कि एक बेर सुरक्षित टूल के अधिग्रहण भा शांत कोड बदलला के बाद दुर्भावनापूर्ण हो सके ला।

रउआ कइसे पहचान सकेनी कि कवन एक्सटेंशन रउरा पर जासूसी कर रहल बा?

पता लगावल सीधा नइखे, बाकी अइसन ब्यवहारिक कदम बाड़ें जिनहन के आप अभी अपना ब्राउजर वातावरण के ऑडिट करे खातिर उठा सकत बानी।

chrome://extensions पर जा के शुरू करीं आ हर इंस्टॉल एक्सटेंशन के समीक्षा करीं। हर एक पर "विवरण" पर क्लिक क के ओकरा के दिहल गइल अनुमति के जांच करीं. खासतौर पर अइसन एक्सटेंशन सभ से सावधान रहीं जे "सब साइट" सभ के पहुँच के अनुरोध करे लें जब इनहन के बतावल फंक्शन संकीर्ण होखे-साधारण रंग पिकर के आपके नेटवर्क अनुरोध सभ के पढ़े के कौनों बिजनेस ना होला।

रउआ क्रोम के बिल्ट-इन DevTools Network पैनल के भी इस्तेमाल आउटबाउंड ट्रैफिक के निगरानी करे खातिर कर सकत बानी जब कवनो एक्सटेंशन सक्रिय बा। प्राइवेसी बैजर भा ब्राउजर नेटवर्क मॉनिटर नियर थर्ड पार्टी टूल सभ डेटा ब्रोकर डोमेन सभ में अप्रत्याशित बाहरी कॉल सभ के फ्लैग क सके लें। एकरे अलावा, रेडिट के आर/क्रोम भा स्वतंत्र सुरक्षा ब्लॉग नियर मंच सभ पर एक्सटेंशन रिव्यू के समीक्षा करीं, काहें से कि समुदाय अक्सर गूगल के एह पर कार्रवाई करे से पहिले संदिग्ध व्यवहार के सोझा रखे ला।

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

रउआ अपना बिजनेस डेटा के एक्सटेंशन निगरानी से बचावे खातिर कवन कदम उठा सकत बानी?

संरक्षण खातिर एगो लेयर वाला तरीका के जरूरत होला जे तकनीकी नियंत्रण के संगठनात्मक नीति के साथ जोड़े।

व्यक्तिगत स्तर पर, कम से कम विशेषाधिकार के सिद्धांत लागू करीं: खाली अइसन एक्सटेंशन इंस्टॉल करीं जे सख्ती से जरूरी होखे, पारदर्शी गोपनीयता नीति वाला प्रतिष्ठित प्रकाशक लोग से स्रोत होखे आ स्वतंत्र सुरक्षा शोधकर्ता लोग द्वारा नियमित रूप से ऑडिट कइल होखे। कवनो एक्सटेंशन के हटा दीं जवना के रउरा पिछला 30 दिन में सक्रिय रूप से इस्तेमाल नइखीं कइले.

संगठनात्मक स्तर पर, बिजनेस सभ के गूगल वर्कस्पेस एडमिन भा एंटरप्राइज ब्राउज़र मैनेजमेंट टूल के माध्यम से एक्सटेंशन अनुमतिसूची लागू करे के चाहीं। मतलब कि कंपनी के डिवाइस प सिर्फ पहिले से मंजूर, जांचल एक्सटेंशन लगावल जा सकता। नियमित सुरक्षा ऑडिट, ब्राउजर स्वच्छता पर कर्मचारी के प्रशिक्षण, आ आउटबाउंड डीएनएस क्वेरी सभ के निगरानी सभ एक्सपोजर के कम क सके ला।

मजबूत सुरक्षा मुद्रा वाला प्लेटफार्म पर अपना बिजनेस ऑपरेशन के केंद्रित कइला से भी राउर हमला के सतह बहुत कम हो जाला। जब राउर टीम ब्राउजर आधारित टूल सभ के पैचवर्क के बजाय एकही, इंटीग्रेटेड बिजनेस ऑपरेटिंग सिस्टम से काम करे ले जेह में दर्जनों एक्सटेंशन के जरूरत होखे तब रउआँ कई गो अनुमति वेक्टर सभ के खतम क देनी जिनहन के एक्सटेंशन शोषण करे लें।

एकीकृत बिजनेस प्लेटफार्म से राउर एक्सटेंशन रिस्क कइसे कम हो जाला?

ब्राउजर एक्सटेंशन निर्भरता के सभसे कम सराहल जाए वाला ड्राइवर सभ में से एगो टूल बिखंडन हवे। जब राउर टीम सीआरएम, प्रोजेक्ट मैनेजमेंट, ईमेल मार्केटिंग, चालान, आ एनालिटिक्स खातिर 15 गो अलग-अलग SaaS ऐप के इस्तेमाल करेले, त कर्मचारी लोग अनिवार्य रूप से एह अंतराल के दूर करे खातिर एक्सटेंशन इंस्टॉल करेला-ऑटो-फिल टूल, डेटा स्क्रेपर, टैब मैनेजर, आ क्रॉस-प्लेटफॉर्म कनेक्टर।

एह में से हर एक्सटेंशन एगो संभावित निगरानी वेक्टर हवे। टूल फैलाव के कम कइला से एक्सटेंशन निर्भरता कम हो जाला। मेवेज एकरा के सीधे 207 मॉड्यूल वाला बिजनेस ऑपरेटिंग सिस्टम के रूप में संबोधित करे ला जे दर्जनों स्टैंडअलोन टूल सभ के कामकाज के एकही, सुरक्षित प्लेटफार्म में एकट्ठा करे ला। एक वातावरण के भीतर 138,000 प्रयोगकर्ता लोग लिंक-इन-बायो पन्ना से ले के ई-कॉमर्स स्टोरफ्रंट, सीआरएम पाइपलाइन, आ सामग्री शेड्यूलिंग तक के प्रबंधन करे ला, जोखिम वाला थर्ड पार्टी ब्राउजर एक्सटेंशन इंस्टॉल करे के जरूरत बहुत कम हो जाला।

जब राउर बिजनेस वर्कफ़्लो कवनो सुसंगत, अनुमति-नियंत्रित प्लेटफार्म के भीतर रहेला-जब दर्जनों टैब में बिखराइल होखे जवना के काम करे खातिर एक्सटेंशन के जरूरत होखे-त रउआ सबसे आम डेटा एक्सफिल्टरेशन पथ के बंद कर देनी जवना के एक्सटेंशन शोषण करेला।

अक्सर पूछल जाए वाला सवाल

का क्रोम एक्सटेंशन हमार पासवर्ड चोरा सकेला?

हँ, हँ, हँ। webRequest अनुमति वाला एक्सटेंशन भा बिसेस पन्ना सामग्री तक पहुँच वाला एक्सटेंशन सभ फॉर्म सबमिशन सभ के इंटरसेप्ट क सके लें, लॉगिन फील्ड सभ सहित, एन्क्रिप्टेड आ सर्वर पर भेजे से पहिले। कुकीज अनुमति वाला एक्सटेंशन सत्र टोकन भी चोरा सके ला, जवन प्रभावी रूप से आपके खाता सभ में पहुँच प्रदान करे ला आ आपके वास्तविक पासवर्ड के जरूरत ना पड़े। इंस्टॉलेशन से पहिले हमेशा कवनो एक्सटेंशन के अनुमति के सत्यापन करीं आ अगर सख्ती से जरूरी ना होखे त संवेदनशील डोमेन तक पहुँच देवे से बची।

का गूगल दुर्भावनापूर्ण एक्सटेंशन के क्रोम वेब स्टोर तक पहुंचे से रोकत बा?

गूगल स्वचालित आ मैनुअल समीक्षा प्रक्रिया के इस्तेमाल करेला, लेकिन ई मूर्खतापूर्ण ना होला। दुर्भावनापूर्ण एक्सटेंशन के बार-बार समीक्षा पास हो गइल बा आ हटावे से पहिले लाखों डाउनलोड जमा हो गइल बा। कुछ एक्सटेंशन सभ के सुरुआत जायज टूल के रूप में होला आ खराब कलाकार लोग द्वारा हासिल कइला के बाद या चुपचाप अपडेट के बाद दुर्भावनापूर्ण हो जाला। संवेदनशील डेटा वाला बिजनेस सभ खातिर खाली गूगल के समीक्षा प्रक्रिया पर भरोसा कइल अपर्याप्त बा; स्वतंत्र जांच आ संगठनात्मक अनुमतिसूची जरूरी अतिरिक्त नियंत्रण हवें।

हमरा अपना क्रोम एक्सटेंशन के केतना बेर ऑडिट करे के चाहीं?

व्यक्तिगत प्रयोगकर्ता लोग खातिर, त्रैमासिक ऑडिट एगो उचित आधार रेखा हवे। बिजनेस यूजर भा संवेदनशील प्रोफेशनल डेटा के संभाले वाला केहू खातिर हर महीना समीक्षा अधिका उचित होला. रउआँ के ब्राउजर एक्सटेंशन से जुड़ल कौनों भी प्रमुख सुरक्षा खबर के तुरंत बाद, नया टीम के सदस्य लोग के ऑनबोर्ड कइला के बाद, आ कबो भी ऑडिट करे के चाहीं जब रउआँ के अप्रत्याशित ब्राउजर व्यवहार जइसे कि मंदी, रीडायरेक्ट, या अपरिचित आउटबाउंड नेटवर्क गतिविधि देखल जाय।

के बा

ब्राउजर सुरक्षा के शुरुआत रउआँ द्वारा इंस्टॉल कइल आ भरोसा कइल टूल सभ के बारे में कइल चुनाव से होला। अगर रउआँ आपन बिजनेस ऑपरेशन के एकही, सुरक्षित प्लेटफार्म पर एकट्ठा क के अपना संगठन के एक्सपोजर कम करे खातिर तइयार बानी-एक्सटेंशन निर्भरता के खतम क के जवन रउआँ के डेटा के खतरा में डाल देला-आज मेवेज के खोज करीं। $19/महीना से शुरू होखे वाला योजना, 207 इंटीग्रेटेड मॉड्यूल, आ 138,000 यूजर के बढ़त समुदाय के साथ, मेवेज आपके टीम के ऊ सब कुछ देला जेकर जरूरत बा बिना ब्राउजर एक्सटेंशन के जे आपके डेटा के केहू अउरी के हाथ में डाल देला।