Sigurnosni model proširenja za preglednike: Analiza implementacija JavaScript sandboxinga

U našem sve povezanijem digitalnom svijetu, proširenja za preglednike postala su nezamjenjivi alati koji poboljšavaju produktivnost, personaliziraju naše web iskustvo i integriraju mnoštvo usluga izravno u naše preglednike. Od blokatora oglasa i upravitelja lozinkama do prevoditelja jezika i alata za praćenje produktivnosti, ovi mali softverski moduli nude ogromnu praktičnost. Međutim, ta moć dolazi sa značajnom odgovornošću i, inherentno, sigurnosnim rizicima. Jedno zlonamjerno ili ranjivo proširenje moglo bi potencijalno ugroziti osjetljive korisničke podatke, ubaciti neželjeni sadržaj ili čak olakšati napredne phishing napade. Ta stvarnost naglašava ključnu važnost robusnog sigurnosnog modela za proširenja preglednika, pri čemu implementacije JavaScript sandboxinga stoje u samoj njegovoj srži.

Ovaj sveobuhvatni vodič zaronit će u složene slojeve sigurnosti dizajnirane za zaštitu korisnika od potencijalnih prijetnji koje predstavljaju proširenja za preglednike. Istražit ćemo temeljna načela koja upravljaju tim sigurnosnim modelima, s posebnim naglaskom na to kako JavaScript sandboxing stvara izolirana okruženja kako bi spriječio neprijateljski kod da prouzroči kaos. Razumijevanje ovih mehanizama ključno je ne samo za sigurnosne stručnjake i programere proširenja, već i za svakog korisnika interneta koji se svakodnevno oslanja na ova moćna poboljšanja preglednika diljem svijeta.

Dvostruki mač proširenja za preglednike: Moć i opasnost

Proširenja za preglednike zapravo su male aplikacije koje se izvršavaju unutar vašeg web preglednika, s dodijeljenom razinom pristupa i sposobnostima koje daleko nadmašuju one koje posjeduje tipična web stranica. Ta povišena privilegija je ono što ih čini tako korisnima, a istovremeno i tako opasnima.

Prednosti: Otključavanje poboljšane produktivnosti i personalizacije

• Poboljšana funkcionalnost: Proširenja mogu dodati nove značajke web stranicama, integrirati usluge trećih strana (poput alata za upravljanje projektima ili komunikacijskih platformi) ili pružiti dodatne informacijske slojeve.
• Poticaji za produktivnost: Alati za provjeru pravopisa, upravljanje karticama, bilježenje i brzi pristup često korištenim uslugama pojednostavljuju radne procese za profesionalce diljem svijeta. Zamislite programera koji koristi proširenje za pregled mrežnih zahtjeva ili pisca koji ga koristi za provjeru gramatike – to su globalni primjeri upotrebe.
• Personalizacija: Prilagođavanje tema, fontova i blokiranje neželjenog sadržaja (poput oglasa) omogućuje korisnicima da prilagode svoje iskustvo pregledavanja svojim specifičnim preferencijama i potrebama, bez obzira na njihovu geografsku lokaciju.
• Pristupačnost: Proširenja mogu pružiti ključne značajke pristupačnosti, kao što su čitači zaslona, povećala ili prilagodbe kontrasta boja, čineći web uključivijim za različite korisnike na svim kontinentima.

Rizici: Vrata prema ranjivostima i iskorištavanju

Unatoč svojoj korisnosti, proširenja predstavljaju značajnu površinu za napad. Njihova sposobnost interakcije s web stranicama, mijenjanja sadržaja, pristupa lokalnoj pohrani i komuniciranja s udaljenim poslužiteljima može biti iskorištena od strane zlonamjernih aktera. Povijesno gledano, brojni incidenti su istaknuli ove ranjivosti:

• Krađa podataka: Zabilježeno je da zlonamjerna proširenja prikupljaju osjetljive korisničke podatke, uključujući povijest pregledavanja, vjerodajnice za prijavu, financijske informacije i osobne identifikatore, te ih zatim prenose na udaljene poslužitelje. Ovo je globalna prijetnja koja univerzalno pogađa pojedince i organizacije.
• Adware i zlonamjerno oglašavanje: Neka proširenja ubacuju neželjene oglase na web stranice, preusmjeravaju korisnike na zlonamjerne stranice ili mijenjaju rezultate pretraživanja, što dovodi do lošijeg korisničkog iskustva i potencijalne izloženosti daljnjem zlonamjernom softveru. Ove sheme često ciljaju globalnu publiku radi maksimalnog dosega.
• Phishing i prikupljanje vjerodajnica: Proširenje se može lažno predstavljati kao legitiman alat, varajući korisnike da otkriju vjerodajnice za prijavu na lažnim stranicama ili izravno unutar sučelja proširenja. Zamislite lažno proširenje za kripto novčanik koje prazni digitalnu imovinu korisnika – scenarij relevantan u svakoj ekonomiji.
• Otmica preglednika: Proširenja mogu promijeniti zadane tražilice, postavke početne stranice i nove kartice bez pristanka korisnika, što korisnicima otežava ponovno preuzimanje kontrole nad svojim iskustvom pregledavanja.
• Napadi na lanac opskrbe: Čak i legitimna proširenja mogu biti kompromitirana. Ako je račun programera probijen, zlonamjerno ažuriranje može biti poslano milijunima korisnika, pretvarajući pouzdani alat u raširenu prijetnju. To je zabilježeno globalno, utječući na korisnike koji možda nisu izravno ciljani, ali koriste popularan kompromitirani alat.
• Slučajne ranjivosti: Nisu sve prijetnje namjerne. Loše napisana ili neodržavana proširenja mogu sadržavati bugove koji stvaraju sigurnosne propuste, a koje zatim mogu iskoristiti vanjski napadači. Ove ranjivosti, iako nenamjerne, mogu imati posljedice jednako teške kao i namjerni napadi.

Razumijevanje temeljnog problema: Povišene privilegije

Temeljni izazov u osiguravanju proširenja za preglednike leži u njihovoj inherentnoj potrebi za povišenim privilegijama. Za razliku od tipične web stranice, koja djeluje unutar strogih sigurnosnih granica koje nameće preglednik (poput Pravila istog podrijetla - Same-Origin Policy), proširenja često zahtijevaju širi pristup kako bi učinkovito funkcionirala.

Zašto proširenja trebaju više pristupa od običnih web stranica

• Interakcija s više web stranica: Blokator oglasa treba čitati i mijenjati sadržaj na potencijalno svim web stranicama. Upravitelj lozinkama treba ubacivati vjerodajnice u obrasce za prijavu na različitim domenama.
• Pristup API-jima preglednika: Proširenja trebaju komunicirati s temeljnim funkcionalnostima preglednika – upravljanje karticama, pristup povijesti pregledavanja, preuzimanje datoteka, korištenje lokalne pohrane ili prikazivanje obavijesti. Ove operacije su obično ograničene za standardne web stranice.
• Postojanost: Mnoga proširenja trebaju kontinuirano raditi u pozadini, neovisno o bilo kojoj aktivnoj kartici, kako bi obavljala svoje funkcije, kao što su sinkronizacija podataka ili praćenje događaja.

Izazov: Dodijeliti moć bez ugrožavanja preglednika ili korisnika

Dilema je jasna: kako proizvođači preglednika mogu dodijeliti proširenjima potrebnu moć da budu korisna, a da ne otvore vrata zlouporabi? Ovdje na scenu stupa sofisticirani, višeslojni sigurnosni model. Cilj je izolirati, kontrolirati i ograničiti sposobnosti proširenja na apsolutni minimum potreban, osiguravajući da kompromitacija jednog proširenja ne dovede do kompromitacije cijelog preglednika, operativnog sustava ili osjetljivih podataka korisnika.

Sigurnosni model proširenja za preglednike: Višeslojna obrana

Moderna sigurnost proširenja za preglednike nije jedna značajka, već sveobuhvatna arhitektura izgrađena na nekoliko međusobno povezanih komponenti. Svaki sloj igra ključnu ulogu u ublažavanju rizika i provođenju granica.

Ključne komponente uključuju:

• Datoteka manifesta: Središnja konfiguracijska datoteka koja deklarira sposobnosti, dopuštenja i strukturu proširenja. Njezina verzija (npr. Manifest V2, Manifest V3) diktira temeljnu sigurnosnu paradigmu.
• Model dopuštenja: Granularni sustav koji zahtijeva izričit pristanak korisnika za određene vrste pristupa (npr. "pristup vašim podacima na svim web stranicama", "čitanje i mijenjanje vaše povijesti pregledavanja").
• Politika sigurnosti sadržaja (CSP): Mehanizam za ublažavanje napada skriptiranja s više stranica (XSS) i drugih napada ubacivanjem koda ograničavanjem izvora iz kojih proširenje može učitavati resurse (skripte, stilove, slike itd.).
• Dopuštenja za hostove: Specifične deklaracije u manifestu koje definiraju s kojim web stranicama proširenje smije komunicirati.
• Web dostupni resursi: Kontrolirani način na koji proširenje može izložiti određene datoteke (poput slika ili HTML stranica) web stranicama, ali samo ako je to izričito deklarirano.
• JavaScript Sandboxing: Temeljni mehanizam za izolaciju izvršavanja koda proširenja, posebno sadržajnih skripti, od web stranica s kojima komuniciraju, sprječavajući izravno ometanje i curenje podataka.

Iako su svi ti slojevi ključni, implementacija JavaScript sandboxa vjerojatno je najosnovnija u sprječavanju zlonamjernog koda da izravno komunicira s ili kompromitira stranicu domaćina i, posljedično, korisnikovu sesiju preglednika. Stvara nevidljivu barijeru, osiguravajući da skripta proširenja može poboljšati stranicu bez nužnog potpunog nadzora nad njom.

Dubinski uvid u JavaScript Sandbox

U svojoj biti, sandbox je izolirano okruženje u kojem se nepouzdani kod može izvršavati bez utjecaja na ostatak sustava. Zamislite ga kao dječji vrtić: dijete se može slobodno igrati unutar granica, ali ne može izravno pristupiti ili oštetiti ništa izvan njega. U kontekstu proširenja za preglednike, JavaScript sandbox stvara sličnu zaštitnu barijeru, prvenstveno za sadržajne skripte.

Zašto je JavaScript Sandboxing ključan za proširenja

JavaScript je lingua franca weba, moćan i dinamičan. Može manipulirati Document Object Modelom (DOM), upućivati mrežne zahtjeve, pristupati lokalnoj pohrani i još mnogo toga. Iako je ta moć ključna za dinamična web iskustva i sofisticirana proširenja, ona također čini JavaScript glavnim vektorom za napade. Bez robusnog sandboxinga, zlonamjerna sadržajna skripta mogla bi:

• Izravno ukrasti osjetljive podatke (npr. autentikacijske tokene, brojeve kreditnih kartica) iz JavaScript okruženja web stranice.
• Mijenjati ponašanje web stranice na neočekivane i štetne načine (npr. preusmjeravati korisnike, ubacivati lažne obrasce).
• Pristupati ili mijenjati globalne JavaScript varijable ili funkcije stranice, što potencijalno može dovesti do eskalacije privilegija ili daljnjeg iskorištavanja.
• Pozivati druge API-je preglednika bez deklariranih dopuštenja proširenja, ako nije pravilno izolirana.

JavaScript sandbox ublažava te rizike osiguravajući da kod proširenja i kod web stranice rade u odvojenim, izoliranim izvršnim kontekstima.

Kako to radi: Izolacija izvršnih konteksta

Koncept "izoliranih svjetova" (isolated worlds) kamen je temeljac JavaScript sandboxinga za proširenja preglednika. Ovaj mehanizam osigurava da sadržajne skripte — dijelovi proširenja koji izravno komuniciraju s web stranicom — ne dijele isto globalno JavaScript okruženje kao sama web stranica, iako djeluju na istom DOM-u.

Izolirani svjetovi za sadržajne skripte

Kada se sadržajna skripta proširenja izvršava na web stranici, preglednik je ubacuje u "izolirani svijet". To znači:

• Odvojeni globalni objekti: Sadržajna skripta dobiva vlastiti window objekt, document objekt (iako se odnosi na isti temeljni DOM) i sve ostale globalne JavaScript objekte. Ne može izravno pristupiti JavaScript varijablama ili funkcijama web stranice, i obrnuto.
• Zajednički DOM: Ključno, i sadržajna skripta i skripte web stranice dijele pristup istom Document Object Modelu (DOM) stranice. To je nužno kako bi sadržajne skripte ispunile svoju svrhu čitanja i mijenjanja sadržaja stranice.
• Komunikacija putem poruka: Ako sadržajna skripta treba komunicirati s pozadinskom skriptom proširenja (koja ima šire privilegije) ili sa skriptom web stranice, to mora učiniti putem dobro definiranih, eksplicitnih kanala za razmjenu poruka (npr. chrome.runtime.sendMessage, postMessage). Ova kontrolirana komunikacija sprječava prikriveno curenje podataka ili neovlašteno izvršavanje naredbi.

Prednosti izoliranih svjetova:

• Sprječava kolizije: Sprječava da sadržajna skripta nenamjerno ili zlonamjerno ometa vlastitu JavaScript logiku web stranice i sprječava skripte stranice da mijenjaju unutarnje djelovanje proširenja.
• Ograničava pristup podacima: Zlonamjerna skripta stranice ne može izravno čitati varijable ili pozivati funkcije definirane sadržajnom skriptom, štiteći stanje i podatke proširenja. Obrnuto, sadržajna skripta ne može pristupiti osjetljivim JavaScript objektima stranice bez eksplicitne interakcije s DOM-om.
• Poboljšava sigurnost: Čak i ako postoji ranjivost u JavaScriptu web stranice, ona ne može izravno iskoristiti okruženje sadržajne skripte. Slično tome, kompromitirana sadržajna skripta je ograničena u svojoj sposobnosti krađe podataka izvan onoga što je izravno vidljivo u DOM-u ili eksplicitno proslijeđeno putem poruka.

Razmotrimo proširenje za upravljanje lozinkama. Njegova sadržajna skripta treba čitati polja za unos kako bi otkrila obrasce za prijavu i ubacila vjerodajnice. Djeluje u izoliranom svijetu, što znači da JavaScript web stranice ne može čitati interno stanje upravitelja lozinkama (npr. koji je specifičan trezor otvoren) ili manipulirati njegovom logikom. Upravitelj lozinkama, zauzvrat, ne može izravno pristupiti JavaScript funkcijama web stranice kako bi pokrenuo proizvoljne radnje, već samo komunicirati s DOM-om prema potrebi.

Servisni radnici (ili pozadinske skripte)

Osim sadržajnih skripti, proširenja za preglednike imaju i druge komponente koje se izvršavaju u visoko izoliranim okruženjima:

• Servisni radnici (Manifest V3) / Pozadinske stranice (Manifest V2): Ovo su središnji kontrolori proširenja. Izvršavaju se u potpuno odvojenom procesu ili niti, različitom od bilo koje web stranice, pa čak i od sadržajnih skripti. Nemaju izravan pristup DOM-u bilo koje web stranice.
• Bez izravnog pristupa DOM-u: Njihova nemogućnost izravnog dodirivanja DOM-a web stranice značajna je sigurnosna značajka. Sve interakcije s web stranicama moraju ići putem sadržajnih skripti, koristeći kontrolirani mehanizam za razmjenu poruka.
• Pristup moćnim API-jima: Servisni radnici i pozadinske skripte su mjesto gdje se izvršavaju deklarirana dopuštenja proširenja. Mogu koristiti API-je preglednika (npr. chrome.tabs, chrome.storage, chrome.webRequest) koji nisu dostupni sadržajnim skriptama ili običnim web stranicama.

Prednosti: Odvajanjem privilegirane logike servisnog radnika od sadržajnih skripti koje komuniciraju sa stranicom, smanjuje se površina za napad. Kompromitacija sadržajne skripte ne bi odmah omogućila pristup moćnim API-jima preglednika kojima upravlja servisni radnik, jer komunikacija i dalje zahtijeva eksplicitnu razmjenu poruka.

Sandboxed Iframes

Iako nije isključivo značajka sigurnosti proširenja, sandboxed iframe-ovi igraju ulogu u omogućavanju proširenjima da sigurno prikazuju potencijalno nepouzdani sadržaj. HTML iframe elementu može se dodati atribut sandbox, koji primjenjuje strogi skup ograničenja na sadržaj učitan unutar njega. Prema zadanim postavkama, atribut sandbox onemogućuje većinu sposobnosti koje bi mogle dovesti do eskalacije privilegija ili curenja podataka, uključujući:

• Izvršavanje skripti.
• Slanje obrazaca.
• Zaključavanje pokazivača.
• Skočne prozore.
• Pristup DOM-u roditelja.
• Tretiranje sadržaja kao istog podrijetla (prisiljavajući ga da bude jedinstvenog podrijetla).

Programeri mogu selektivno omogućiti određene sposobnosti koristeći tokene (npr. allow-scripts, allow-forms). Proširenje bi moglo koristiti sandboxed iframe za prikazivanje oglasa treće strane, sadržaja generiranog od strane korisnika ili pregleda vanjske web stranice, osiguravajući da bilo koji zlonamjerni kod unutar tog iframea ne može pobjeći i utjecati na proširenje ili preglednik korisnika.

Ključni principi JavaScript sandboxinga u proširenjima

Učinkovita implementacija JavaScript sandboxinga u proširenjima za preglednike oslanja se na nekoliko temeljnih sigurnosnih principa:

• Najmanje privilegije (Least Privilege): Ovaj temeljni sigurnosni princip nalaže da se entitetu (u ovom slučaju, komponenti proširenja) smije dodijeliti samo minimalni skup dopuštenja i sposobnosti potrebnih za obavljanje njegove namjeravane funkcije. Na primjer, sadržajnoj skripti treba samo pristup DOM-u, a ne izravan pristup pohrani preglednika ili mrežnim API-jima.
• Izolacija: Kao što je raspravljeno, odvajanje izvršnih konteksta je od najveće važnosti. To sprječava izravno ometanje i neovlašteni pristup između različitih dijelova proširenja i stranice domaćina.
• Kontrolirana komunikacija: Sve interakcije između izoliranih komponenti (npr. sadržajna skripta i servisni radnik, ili sadržajna skripta i web stranica) moraju se odvijati putem eksplicitnih, dobro definiranih i provjerljivih kanala za razmjenu poruka. To omogućuje provjeru valjanosti i sanitizaciju podataka koji prolaze između granica.
• Politika sigurnosti sadržaja (CSP): Iako nije strogo dio JavaScript runtime sandboxa, CSP je deklarativni sigurnosni mehanizam koji nadopunjuje sandboxing ograničavanjem vrsta resursa koje proširenje (ili web stranica) može učitati i izvršiti. Sprječava proširenje da učitava skripte s nepouzdanih vanjskih domena, koristi inline skripte ili koristi potencijalno opasne JavaScript funkcije poput eval().

Implementacije specifične za preglednike (Opći pregled)

Iako su temeljni principi univerzalni, različiti proizvođači preglednika implementiraju ove sigurnosne modele s malim varijacijama. Međutim, temeljni koncepti izoliranih izvršnih okruženja i robusnih modela dopuštenja ostaju dosljedni u glavnim preglednicima:

• Preglednici temeljeni na Chromiumu (Chrome, Edge, Brave, Opera): Ovi preglednici opsežno koriste koncept "izoliranih svjetova" za sadržajne skripte. Njihovo ažuriranje Manifest V3 dodatno pojačava sigurnost prelaskom na servisne radnike za pozadinske zadatke i nametanjem strožih CSP-ova i ograničenja udaljenog koda.
• Mozilla Firefox: Firefox koristi sličan model izolacije za WebExtensions, osiguravajući da se sadržajne skripte izvršavaju u vlastitim kontekstima. Firefoxov sigurnosni model također se uvelike oslanja na svoj sofisticirani sustav dopuštenja i robusne interne sigurnosne mehanizme za pristup API-jima.
• Apple Safari: Safarijev model proširenja, posebno s Web Extensions, odražava mnoge industrijske standardne sigurnosne prakse, uključujući izolaciju procesa, snažan model dopuštenja i sandboxing sadržajnih skripti.

Kontinuirana evolucija ovih implementacija specifičnih za preglednike odražava stalnu predanost poboljšanju sigurnosnog položaja proširenja, prilagodbi novim prijetnjama i težnji za ravnotežom između funkcionalnosti i zaštite korisnika za globalnu korisničku bazu.

Model dopuštenja: Granularna kontrola

Nadopunjujući JavaScript sandboxing, model dopuštenja je još jedan ključni sloj obrane. Definira što proširenje smije raditi i čemu smije pristupati, zahtijevajući izričit pristanak korisnika pri instalaciji ili tijekom rada.

Izričit pristanak korisnika: Zašto je ključan

Za razliku od redovnih web aplikacija, koje djeluju pod strogim sigurnosnim politikama preglednika (poput pravila istog podrijetla), proširenja mogu zatražiti pristup osjetljivim korisničkim podacima i funkcionalnostima preglednika. Model dopuštenja osigurava da su korisnici svjesni sposobnosti koje proširenje traži i da mogu donijeti informirane odluke. Kada instalirate proširenje, prikazuje vam se popis dopuštenja koja traži, kao što su "Čitati i mijenjati sve vaše podatke na web stranicama koje posjećujete". Ova transparentnost je ključna za povjerenje i sigurnost.

Dopuštenja za hostove: Pristupanje određenim web stranicama

Dopuštenja za hostove definiraju s kojim web stranicama proširenje može komunicirati. Specificiraju se pomoću uzoraka za podudaranje URL-ova (npr. *://*.example.com/*, https://*/*).

• Specifični hostovi: Proširenje možda treba pristup samo određenoj domeni, poput vlastite pozadinske usluge ili određene platforme društvenih medija.
• Svi hostovi (<all_urls>): Neka proširenja, poput blokatora oglasa ili alata za snimanje zaslona, legitimno zahtijevaju pristup svim web stranicama koje korisnik posjećuje. Ovo se smatra dopuštenjem visokog rizika i treba ga dodijeliti samo visoko pouzdanim proširenjima.

Ograničavanjem pristupa hostovima proširenja, šteta od kompromitiranog proširenja može se ograničiti. Ako proširenje ima dopuštenje samo za example.com, ne može ubaciti zlonamjerne skripte u banking.com čak i ako je nekako interno kompromitirano.

API dopuštenja: Pristup značajkama preglednika

Osim pristupa hostovima, proširenja trebaju dopuštenja za korištenje specifičnih API-ja preglednika. Ovi API-ji kontroliraju temeljne funkcionalnosti preglednika:

• storage: Za pohranu podataka lokalno u pregledniku.
• tabs: Za stvaranje, mijenjanje ili zatvaranje kartica, ili čitanje njihovih URL-ova i naslova.
• cookies: Za čitanje i mijenjanje kolačića.
• downloads: Za upravljanje preuzimanjima datoteka.
• history: Za čitanje ili mijenjanje povijesti pregledavanja.
• alarms: Za planiranje periodičnog izvršavanja koda.
• declarativeNetRequest: Za blokiranje ili mijenjanje mrežnih zahtjeva (Manifest V3).

Svako zatraženo API dopuštenje jasno je navedeno korisniku. Proširenje koje traži dopuštenje history, na primjer, signalizira svoju namjeru pristupa povijesti pregledavanja, potičući korisnike da razmotre je li to prikladno za navedenu svrhu proširenja.

Opcionalna dopuštenja: Poboljšanje kontrole korisnika

Proizvođači preglednika također pružaju opcionalna dopuštenja. To su dopuštenja koja proširenje može zatražiti nakon instalacije, često na temelju radnje korisnika. Na primjer, proširenje za uređivanje fotografija moglo bi se u početku instalirati s osnovnom funkcionalnošću, ali zatražiti pristup korisnikovoj mapi "preuzimanja" samo ako korisnik izričito klikne gumb "Spremi sliku". Ovaj pristup dodatno smanjuje početnu površinu za napad i daje korisnicima granularniju kontrolu nad onim čemu daju pristup, u skladu s načelom najmanjih privilegija.

Politika sigurnosti sadržaja (CSP): Vratar

Politika sigurnosti sadržaja (CSP) je deklarativni sigurnosni mehanizam koji upućuje preglednik koje resurse proširenje (ili web stranica) smije učitati i izvršiti. Djeluje kao vratar, sprječavajući širok raspon napada ubacivanjem koda, posebno Cross-Site Scripting (XSS).

Što je CSP i kako radi

CSP je definiran kao zaglavlje ili meta tag koji specificira dopuštene izvore za različite vrste sadržaja, kao što su skripte, stilovi, slike i fontovi. Za proširenja preglednika, CSP se obično definira unutar datoteke manifest.json proširenja.

Tipičan CSP mogao bi izgledati ovako:

            "content_security_policy": {
  "extension_pages": "script-src 'self'; object-src 'self'"
}
            

              
                Copy
              
            
          

Ova politika nalaže da se skripte mogu učitavati samo iz samog proširenja ('self'), a objekti (poput Flash ili Java appleta) također se mogu učitavati samo iz samog proširenja. To odmah blokira skripte s vanjskih domena, inline skripte i izvršavanje skripti temeljeno na eval().

Njegova uloga u sprječavanju XSS i napada ubacivanjem unutar proširenja

CSP je posebno učinkovit protiv XSS-a ublažavanjem njegovih primarnih vektora:

• Inline skripte: Povijesno, napadači su mogli ubaciti <script> tagove izravno u HTML stranice. CSP, prema zadanim postavkama, ne dopušta sve inline skripte (i rukovatelje događajima poput onclick i blokove skripti). To prisiljava programere da sav JavaScript presele u vanjske datoteke, što otežava ubacivanje.
• Udaljene skripte: Uobičajeni napad uključuje ubacivanje taga <script src="malicious.com/script.js">. CSP-ova direktiva script-src omogućuje programerima da na bijelu listu stave pouzdane domene. Ako malicious.com nije na bijeloj listi, preglednik će odbiti učitati i izvršiti skriptu.
• Nesigurne JavaScript funkcije (eval()): Funkcije poput eval(), setTimeout(string) i new Function(string) mogu izvršavati proizvoljne nizove kao kod, što ih čini opasnima. CSP obično ne dopušta njihovu upotrebu osim ako je izričito dopušteno (što se općenito ne preporučuje u sigurnim kontekstima).

Za proširenja, strog CSP je od najveće važnosti. Osigurava da čak i ako napadač uspije ubaciti podatke u pohranu ili korisničko sučelje proširenja, ne može te podatke pretvoriti u izvršni kod, čime se sprječava eskalacija privilegija unutar vlastitog okruženja proširenja. To se odnosi na sve dijelove proširenja, uključujući njegove skočne stranice, stranice s opcijama i druge HTML resurse.

S Manifest V3, CSP-ovi za proširenja postali su još stroži, izričito zabranjujući izvršavanje udaljenog koda. To znači da sav JavaScript mora biti uključen u paket proširenja, što onemogućuje kompromitiranom udaljenom poslužitelju da ubaci novi, zlonamjerni kod u već instalirano proširenje. To drastično smanjuje površinu za napade na lanac opskrbe.

Evolucija sigurnosti proširenja: Od Manifesta V2 do Manifesta V3

Pejzaž sigurnosti proširenja za preglednike nije statičan; neprestano se razvija kao odgovor na nove prijetnje i potrebu za sigurnijim i učinkovitijim webom. Prijelaz s Manifesta V2 na Manifest V3, prvenstveno potaknut od strane Google Chromea i usvojen od strane drugih preglednika temeljenih na Chromiumu, predstavlja značajan iskorak u toj evoluciji, s jakim naglaskom na sigurnost i privatnost.

Ključne promjene u Manifestu V3

Manifest V3 uvodi temeljne arhitektonske promjene koje izravno utječu na način na koji se proširenja grade i kako komuniciraju s preglednikom i web stranicama. Ove promjene su dizajnirane kako bi poboljšale sigurnost, privatnost i performanse za korisnike diljem svijeta.

• Servisni radnici zamjenjuju pozadinske stranice:
  • Manifest V2: Proširenja su koristila postojane pozadinske stranice (HTML stranice s ugrađenim JavaScriptom) koje su radile kontinuirano, trošeći resurse čak i kada nisu bile aktivno potrebne.
  • Manifest V3: Pozadinske stranice zamijenjene su događajno-upravljanim Servisnim radnicima. Ovi radnici nisu postojani, što znači da se pokreću kada se dogodi događaj (npr. korisnik klikne ikonu proširenja, primi se poruka ili se presretne mrežni zahtjev) i prekidaju se kada više nisu potrebni.
  • Sigurnosna prednost: Ovaj "događajno-upravljani" model smanjuje površinu za napad minimiziranjem vremena u kojem je najprivilegiranija komponenta proširenja aktivna. Također se usklađuje s modernim web standardima i poboljšava upravljanje resursima.
• Declarative Net Request API zamjenjuje WebRequest API (za blokiranje):
  • Manifest V2: Proširenja su mogla koristiti moćan webRequest API za presretanje, blokiranje ili mijenjanje mrežnih zahtjeva u stvarnom vremenu. Iako svestran, ovaj API je također predstavljao značajne rizike za privatnost i sigurnost, dopuštajući proširenjima da potencijalno vide osjetljive podatke u zahtjevima ili ih čak mijenjaju kako bi ubacili zlonamjerni sadržaj.
  • Manifest V3: Za blokiranje i mijenjanje mrežnih zahtjeva, proširenja su sada uglavnom ograničena na Declarative Net Request API. Umjesto presretanja zahtjeva s JavaScriptom, proširenja deklariraju pravila (npr. "blokiraj sve zahtjeve prema example.com/ads") u statičkoj JSON datoteci. Preglednik zatim primjenjuje ta pravila izravno i učinkovito, bez izlaganja detalja zahtjeva JavaScriptu proširenja.
  • Sigurnosna prednost: Ova promjena značajno poboljšava privatnost korisnika sprječavajući proširenja da programski čitaju sadržaj mrežnih zahtjeva i odgovora. Također smanjuje površinu za napad ograničavanjem dinamičke manipulacije mrežnim prometom od strane koda proširenja.
• Poboljšana Politika sigurnosti sadržaja (CSP):
  • Manifest V3 nameće stroži zadani CSP, kritično zabranjujući izvršavanje udaljenog koda. To znači da proširenja više ne mogu učitavati i izvršavati JavaScript s vanjskih URL-ova (npr. script-src 'self' https://trusted-cdn.com/). Sve skripte moraju biti uključene unutar paketa proširenja.
  • Sigurnosna prednost: Ovo eliminira glavni vektor za napade na lanac opskrbe. Ako je udaljeni poslužitelj kompromitiran, ne može ubaciti novi, zlonamjerni kod u već instalirano proširenje, jer će preglednik odbiti izvršiti skripte koje ne potječu iz samog paketa proširenja. To se primjenjuje globalno, štiteći korisnike bez obzira gdje se nalaze ili koji su poslužitelji kompromitirani.
• Uklonjeno izvršavanje udaljenog koda: Ovo je možda jedna od najutjecajnijih sigurnosnih promjena. Sposobnost proširenja da dohvati i izvrši kod s udaljenog poslužitelja (npr. korištenjem eval() na daljinski dohvaćenim nizovima, ili dinamičkim učitavanjem vanjskih skripti) je uvelike eliminirana. To se izravno veže uz stroža CSP pravila.
• Granularnija i eksplicitnija dopuštenja: Iako nije potpuna revizija, MV3 nastavlja trend prema granularnijim i korisnički transparentnijim zahtjevima za dopuštenja, često potičući opcionalna dopuštenja gdje je to moguće.

Sigurnosne prednosti MV3

Promjene uvedene u Manifest V3 nude nekoliko opipljivih sigurnosnih poboljšanja za korisnike i cjelokupni ekosustav preglednika:

• Smanjena površina za napad: Prelaskom na događajno-upravljane servisne radnike i ograničavanjem dinamičke mrežne manipulacije, manje je prilika i manje moćnih API-ja izravno izloženo JavaScriptu proširenja.
• Poboljšana privatnost: Declarative Net Request API sprječava proširenja da vide pune detalje mrežnih zahtjeva, štiteći osjetljive korisničke podatke.
• Ublažavanje napada na lanac opskrbe: Zabrana izvršavanja udaljenog koda znatno otežava napadačima da kompromitiraju proširenje putem njegovog mehanizma ažuriranja ili otmicom udaljenog poslužitelja programera. Svaki zlonamjerni kod morao bi biti dio početnog paketa proširenja, što ga čini lakšim za otkrivanje tijekom pregleda.
• Bolje performanse i upravljanje resursima: Iako nije izravno sigurnosna prednost, učinkovito korištenje resursa neizravno doprinosi stabilnijem i manje iskoristivom okruženju preglednika.

Izazovi i prilagodbe programera

Iako MV3 donosi značajne sigurnosne prednosti, također je predstavio izazove za programere proširenja. Prilagodba postojećih proširenja (posebno složenih poput blokatora oglasa ili alata za privatnost koji su se uvelike oslanjali na webRequest API) zahtijeva značajno refaktoriranje i ponovno promišljanje arhitekture. Programeri diljem svijeta morali su uložiti vrijeme i resurse u razumijevanje novih API paradigmi i osiguravanje da njihova proširenja ostanu funkcionalna i usklađena. Ovo prijelazno razdoblje naglašava stalnu ravnotežu između sigurnosnih poboljšanja i iskustva programera.

Uloga pregleda koda i platformi za objavljivanje

Osim tehničkih sigurnosnih modela unutar preglednika, platforme na kojima se proširenja objavljuju igraju ključnu ulogu u održavanju sigurnosnih standarda. Proizvođači preglednika provode opsežne procese pregleda za proširenja poslana u njihove službene trgovine (npr. Chrome Web Store, Mozilla Add-ons, Microsoft Edge Add-ons, Apple Safari Extensions).

Kako proizvođači preglednika pregledavaju proširenja

• Automatizirana skeniranja: Poslana proširenja prolaze kroz automatiziranu analizu kako bi se otkrile uobičajene sigurnosne ranjivosti, pridržavanje politika manifesta, korištenje zabranjenih API-ja i poznati obrasci zlonamjernog koda. Ovo početno skeniranje ključno je za učinkovito filtriranje očitih prijetnji.
• Ručni pregled: Za proširenja koja traže osjetljiva dopuštenja ili pokazuju složeno ponašanje, ljudski recenzenti često provode detaljniju reviziju koda. Oni pažljivo pregledavaju kod proširenja, manifest i zatražena dopuštenja u odnosu na navedenu funkcionalnost kako bi osigurali da nema skrivenih ili nedeclariranih sposobnosti. To često uključuje provjeru obfusciniranog koda, pokušaje zaobilaženja sigurnosnih politika ili curenje podataka.
• Provođenje politika: Recenzenti osiguravaju da su proširenja u skladu s politikama za programere platforme, koje često uključuju stroge smjernice o privatnosti podataka, prihvatljivoj upotrebi i transparentnosti.
• Praćenje nakon objave: Čak i nakon što je proširenje objavljeno, proizvođači koriste sustave za praćenje kako bi otkrili sumnjive aktivnosti, neobične mrežne zahtjeve ili nagle promjene u ponašanju koje bi mogle ukazivati na kompromitaciju ili zlonamjerno ažuriranje. Korisnici se također potiču da prijave sumnjiva proširenja.

Važnost pouzdanih izvora za proširenja

Od najveće je važnosti da korisnici, gdje god se nalazili u svijetu, instaliraju proširenja samo iz službenih, pouzdanih trgovina preglednika. Instaliranje proširenja iz neslužbenih izvora (npr. izravna preuzimanja s nepouzdanih web stranica) u potpunosti zaobilazi ove ključne procese pregleda, izlažući korisnike potencijalno neprovjerenom ili otvoreno zlonamjernom softveru. Službene trgovine djeluju kao ključni vratar, filtrirajući veliku većinu prijetnji prije nego što ikada dođu do preglednika korisnika, pružajući osnovnu razinu povjerenja u globalnom digitalnom ekosustavu.

Najbolje prakse za programere: Izgradnja sigurnih proširenja

Iako proizvođači preglednika pružaju sigurnosni okvir, konačna odgovornost za pisanje sigurnog koda leži na programeru proširenja. Pridržavanje najboljih praksi ključno je za stvaranje proširenja koja štite korisničke podatke i održavaju povjerenje među međunarodnom korisničkom bazom.

Minimizirajte dopuštenja: Tražite samo ono što je nužno

Slijedite načelo najmanjih privilegija. Traženje prekomjernih dopuštenja (npr. "<all_urls>" kada je potrebno samo "*://*.mywebsite.com/*") ne samo da povećava površinu za napad ako je vaše proširenje kompromitirano, već također izaziva sumnju kod korisnika i može dovesti do nižih stopa usvajanja. Pažljivo pregledajte funkcionalnost svog proširenja i uklonite sva nepotrebna dopuštenja iz vaše datoteke manifest.json.

Sanitizirajte sve unose: Spriječite XSS i ubacivanje koda

Svaki podatak primljen iz vanjskih izvora (web stranice, API-ji, korisnički unos) treba tretirati kao nepouzdan. Prije ubacivanja tih podataka u DOM ili korištenja u privilegiranim kontekstima, temeljito ih sanitizirajte i escapirajte kako biste spriječili Cross-Site Scripting (XSS) ili druge napade ubacivanjem. Koristite API-je koje pruža preglednik, a koji se bave sanitizacijom gdje je to moguće, ili robusne, dobro testirane biblioteke za sanitizaciju.

Koristite sigurnu komunikaciju: Poruke, a ne izravna manipulacija DOM-om

Iskoristite API-je za razmjenu poruka preglednika (npr. chrome.runtime.sendMessage, postMessage) za komunikaciju između sadržajnih skripti, servisnih radnika i komponenti korisničkog sučelja proširenja. Izbjegavajte izravno manipuliranje JavaScript okruženjem web stranice ili korištenje nesigurnih metoda za razmjenu podataka između izoliranih svjetova. Uvijek provjeravajte valjanost i sanitizirajte poruke primljene od sadržajnih skripti u vašem servisnom radniku, jer su sadržajne skripte inherentno manje pouzdane zbog svoje interakcije s potencijalno zlonamjernim web stranicama.

Implementirajte robusni CSP: Stroge politike su ključne

Definirajte strogu Politiku sigurnosti sadržaja (CSP) u vašem manifest.json. Ciljajte na najrestriktivniju moguću politiku, općenito script-src 'self'; object-src 'self'. Izbjegavajte unsafe-inline i unsafe-eval što je više moguće. S Manifest V3, učitavanje udaljenih skripti je uglavnom zabranjeno, što inherentno jača CSP smanjenjem fleksibilnosti za benigne i zlonamjerne vanjske ovisnosti.

Izbjegavajte udaljeni kod: Uključite sve lokalno

S Manifest V3, ovo je uglavnom nametnuto, ali je kritična najbolja praksa bez obzira na to. Nemojte dohvaćati i izvršavati JavaScript kod s udaljenih poslužitelja. Sva logika vašeg proširenja trebala bi biti uključena unutar samog paketa proširenja. To sprječava napadače da ubace zlonamjerni kod u vaše proširenje kompromitiranjem vanjskog poslužitelja ili CDN-a.

Redovito ažurirajte biblioteke i ovisnosti: Ispravite poznate ranjivosti

Proširenja se često oslanjaju na JavaScript biblioteke trećih strana. Održavajte te ovisnosti ažuriranima na najnovije verzije kako biste imali koristi od sigurnosnih zakrpa i ispravaka bugova. Redovito provjeravajte svoje ovisnosti na poznate ranjivosti pomoću alata kao što su Snyk ili OWASP Dependency-Check. Ranjivost u uključenoj biblioteci može kompromitirati cijelo vaše proširenje.

Sigurnosne revizije i testiranje: Proaktivna obrana

Osim razvoja, proaktivno testirajte svoje proširenje na sigurnosne ranjivosti. Provodite redovite sigurnosne revizije, obavljajte penetracijsko testiranje i koristite automatizirane alate za statičku i dinamičku analizu. Razmislite o otvaranju koda svog proširenja, ako je izvedivo, kako biste imali koristi od pregleda zajednice, istovremeno pazeći na potencijalne probleme s intelektualnim vlasništvom. Za velika ili kritična proširenja, angažiranje profesionalnih sigurnosnih revizora može pružiti neprocjenjiv sloj sigurnosti za vašu globalnu korisničku bazu.

Savjeti za korisnike: Kako se zaštititi

Iako programeri i proizvođači preglednika nastoje izgraditi i održavati sigurne ekosustave proširenja, korisnici također imaju ključnu ulogu u zaštiti svog iskustva pregledavanja. Biti informiran i proaktivan može značajno smanjiti vašu izloženost rizicima, bez obzira na to gdje pristupate internetu.

Instalirajte samo pouzdana proširenja: Iz službenih trgovina

Uvijek preuzimajte proširenja isključivo iz službenih web trgovina preglednika (Chrome Web Store, Mozilla Add-ons, Microsoft Edge Add-ons, Apple Safari Extensions). Ove platforme imaju uspostavljene procese pregleda. Izbjegavajte neslužbene izvore, jer oni zaobilaze ove ključne sigurnosne provjere i mogu lako distribuirati zlonamjerni softver.

Pažljivo pregledajte dopuštenja: Razumijte kakav pristup dajete

Prije instaliranja proširenja, pedantno pregledajte popis dopuštenja koja traži. Zapitajte se: "Treba li ovom proširenju zaista ova razina pristupa da bi obavljalo svoju navedenu funkciju?" Jednostavno proširenje za kalkulator, na primjer, ne bi trebalo trebati pristup "vašim podacima na svim web stranicama". Ako se zatražena dopuštenja čine pretjeranima ili nepovezanima sa svrhom proširenja, nemojte ga instalirati.

• Dopuštenja visokog rizika: Budite posebno oprezni s dopuštenjima poput "<all_urls>", tabs, history, cookies, ili bilo kojim dopuštenjem koje omogućuje pristup osjetljivim podacima ili funkcionalnosti preglednika. Dajte ih samo proširenjima od programera kojima visoko vjerujete i čija funkcionalnost izričito zahtijeva takav pristup (npr. blokator oglasa treba raditi na svim URL-ovima).
• Opcionalna dopuštenja: Obratite pozornost ako proširenje traži "opcionalna dopuštenja". Ona vam daju više kontrole i obično znače da će proširenje tražiti specifična dopuštenja tijekom rada kada pokušate koristiti određenu značajku.

Održavajte proširenja ažuriranima: Zbog sigurnosnih zakrpa

Baš kao i vaš operativni sustav i preglednik, proširenja primaju ažuriranja koja često uključuju sigurnosne zakrpe za novootkrivene ranjivosti. Osigurajte da je vaš preglednik konfiguriran za automatsko ažuriranje proširenja ili ručno redovito provjeravajte ažuriranja. Korištenje zastarjelih proširenja može vas ostaviti izloženima poznatim prijetnjama.

Uklonite nekorištena proširenja: Smanjite površinu za napad

Periodično pregledajte svoja instalirana proširenja i uklonite sva koja više ne koristite ili ne trebate. Svako instalirano proširenje, čak i benigno, predstavlja potencijalnu površinu za napad. Deinstaliranjem neaktivnih proširenja smanjujete broj potencijalnih ulaznih točaka za napadače i poboljšavate performanse svog preglednika. Smatrajte proširenja softverom na svom računalu; ako ga ne koristite, uklonite ga.

Budite oprezni sa sumnjivim ponašanjem: Vjerujte svojim instinktima

Obratite pozornost na ponašanje svog preglednika. Ako primijetite neočekivane skočne prozore, preusmjeravanja na nepoznate web stranice, promjene zadane tražilice, neobične oglase ili nagli pad performansi preglednika, neko proširenje bi moglo biti kompromitirano ili zlonamjerno. Odmah istražite provjerom instaliranih proširenja, pregledom njihovih dopuštenja i razmatranjem uklanjanja sumnjivih. Prijavite sva doista zlonamjerna proširenja proizvođaču preglednika kako biste zaštitili širu globalnu zajednicu.

Izazovi i budućnost sigurnosti proširenja

Put prema savršeno sigurnom ekosustavu proširenja za preglednike je neprekidan pothvat, sličan stalnoj utrci u naoružanju između sigurnosnih stručnjaka i zlonamjernih aktera. Kako se preglednici razvijaju i pojavljuju nove web tehnologije, tako se razvijaju i sofisticiranost i vektori potencijalnih napada. Globalna priroda interneta znači da sigurnosni izazovi nikada nisu izolirani, utječući na korisnike i programere u različitim regijama i tehnološkim krajolicima.

Balansiranje funkcionalnosti i sigurnosti: Vječna dilema

Jedan od trajnih izazova je pronalaženje prave ravnoteže između moćne funkcionalnosti i stroge sigurnosti. Visoko sposobna proširenja, po svojoj prirodi, zahtijevaju više pristupa, što neizbježno povećava potencijalni rizik. Programeri neprestano pomiču granice onoga što proširenja mogu učiniti, a proizvođači preglednika moraju inovirati sigurnosne modele koji omogućuju tu inovaciju bez ugrožavanja sigurnosti korisnika. Ovaj čin balansiranja je kontinuirano pregovaranje, često dovodeći do arhitektonskih promjena poput Manifesta V3, koji je imao za cilj riješiti upravo tu napetost.

Nove prijetnje: Sofisticiranost i razmjeri

Napadači uvijek pronalaze nove načine za iskorištavanje ranjivosti. Nove prijetnje uključuju:

• Napadi na lanac opskrbe: Kompromitiranje računa legitimnog programera ili njihove infrastrukture za izgradnju kako bi se ubacio zlonamjerni kod u ažuriranje pouzdanog proširenja, čime se malware distribuira milijunima korisnika diljem svijeta.
• Sofisticirani phishing: Korištenje proširenja za stvaranje vrlo uvjerljivih phishing slojeva ili mijenjanje sadržaja legitimnih web stranica kako bi se korisnike prevarilo da otkriju osjetljive informacije.
• Zero-day eksploatacije: Otkrivanje i iskorištavanje nepoznatih ranjivosti u API-jima preglednika ili proširenja prije nego što su zakrpe dostupne.
• WebAssembly (Wasm) eksploatacije: Kako Wasm dobiva na popularnosti, ranjivosti u njegovoj implementaciji ili interakciji s API-jima preglednika mogle bi postati novi vektori napada za proširenja koja koriste ovu tehnologiju.
• Napadi vođeni umjetnom inteligencijom: Uspon umjetne inteligencije mogao bi omogućiti dinamičnije, prilagodljivije i personaliziranije napade, što otežava njihovo otkrivanje.

Ove prijetnje zahtijevaju stalnu budnost i prilagodbu od strane proizvođača preglednika i sigurnosne zajednice diljem svijeta.

Kontinuirana evolucija sigurnosnih modela: Prilagodba novim prijetnjama

Sigurnosni model za proširenja preglednika nije statičan. Mora se kontinuirano razvijati kako bi se adresirali novi vektori napada, prilagodili novim web tehnologijama i poboljšala zaštita korisnika. Buduće iteracije mogle bi uključivati:

• Daljnje usavršavanje modela dopuštenja, potencijalno nudeći još granularnije kontrole pristupa u stvarnom vremenu.
• Napredne tehnike sandboxinga, moguće agresivnije koristeći izolaciju procesa na razini operativnog sustava za specifične komponente proširenja.
• Poboljšani mehanizmi za otkrivanje zlonamjernog ponašanja, kako prije objave tako i tijekom rada, koristeći strojno učenje i bihevioralnu analizu.
• Napori na standardizaciji među proizvođačima preglednika kako bi se osigurala dosljednija i robusnija sigurnosna osnova za proširenja na globalnoj razini.

Uloga umjetne inteligencije u sigurnosti: Otkrivanje i prevencija

Umjetna inteligencija i strojno učenje sve se više integriraju u napore za sigurnost proširenja. AI se može koristiti za:

• Automatizirano otkrivanje zlonamjernog softvera: Analiziranje koda proširenja za zlonamjerne obrasce u velikim razmjerima, identificiranje tehnika obfuskacije i označavanje sumnjivih ponašanja tijekom procesa pregleda.
• Bihevioralna analiza: Praćenje instaliranih proširenja na anomalno ponašanje tijekom rada (npr. nagli porast mrežnih zahtjeva, pristup neobičnim API-jima) koje bi moglo ukazivati na kompromitaciju.
• Predviđanje prijetnji: Analiziranje globalnih obavještajnih podataka o prijetnjama kako bi se predvidjeli novi vektori napada i proaktivno prilagodile sigurnosne politike.

Međutim, AI je također alat za napadače, što dovodi do stalne tehnološke utrke u naoružanju u domeni kibernetičke sigurnosti.

Zaključak: Zajednička odgovornost za sigurnije iskustvo pregledavanja

Sigurnosni model proširenja za preglednike, sa svojim sofisticiranim implementacijama JavaScript sandboxa, sustavima dopuštenja i politikama sigurnosti sadržaja, predstavlja monumentalan napor proizvođača preglednika da zaštite korisnike u svijetu gdje su proširenja istovremeno moćna i sveprisutna. Koncept izoliranih svjetova za sadržajne skripte, namjenski servisni radnici i stroge kontrole API-ja nisu samo tehnički žargon; oni su nevidljivi čuvari koji nam omogućuju da poboljšamo svoje iskustvo pregledavanja bez stalnog straha od kompromitacije.

Međutim, ova sigurnost je zajednička odgovornost. Proizvođači preglednika će nastaviti inovirati i provoditi strože politike (kao što se vidi s Manifestom V3), ali programeri se moraju obvezati na pisanje sigurnog koda s najmanjim privilegijama, a korisnici moraju ostati budni, razumjeti dopuštenja koja daju i instalirati proširenja samo iz pouzdanih izvora. Radeći zajedno – programeri koji grade sigurno, proizvođači koji pružaju robusne okvire i preglede, te korisnici koji donose informirane odluke – možemo kolektivno poticati sigurnije, produktivnije i pouzdanije globalno web iskustvo za sve.

Razumijevanje ovih sigurnosnih temelja osnažuje nas sve da s većim povjerenjem plovimo digitalnim svijetom, koristeći neosporne prednosti proširenja za preglednike dok učinkovito ublažavamo njihove inherentne rizike. Budućnost sigurnosti proširenja za preglednike nedvojbeno će donijeti daljnje inovacije, ali temeljni principi izolacije, najmanjih privilegija i informiranog pristanka ostat će temelj zaštite naših digitalnih života.