浏览器扩展比大多数人意识到的要危险得多。这些小工具通常可以访问您在网上所做的一切，因此它们可以捕获您的密码、跟踪您的网页浏览、在您访问的网页中**广告等等。流行的浏览器扩展经常被卖给黑幕公司或被劫持，自动更新会把它们变成恶意软件。

我们已经写过你的浏览器扩展是如何监视你在过去，但这个问题没有改善。仍然有一个持续的扩展流坏了。

浏览器扩展为何如此危险

相关：为什么Chrome扩展需要“你访问的网站上的所有数据”？

浏览器扩展在您的web浏览器中运行，它们通常需要能够读取或更改您访问的网页上的所有内容。

如果一个扩展可以访问您访问的所有网页，那么它几乎可以做任何事情。它可以作为一个键盘记录器来捕捉你的密码和信用卡的详细信息，在你浏览的页面中**广告，将你的搜索流量重定向到其他地方，跟踪你在网上做的一切或所有这些事情。如果分机需要扫描你的收据或其他小东西，它可能有权限扫描你的电子邮件，为一切是非常危险的。

这并不意味着每一个扩展都在做这些事情，但是它们可以而且应该让你非常非常谨慎。

像googlechrome和microsoftedge这样的现代网络浏览器都有一个扩展权限系统，但是许多扩展需要访问所有的东西，这样它们才能正常工作。然而，即使是只需要访问一个网站的扩展也可能是危险的。例如，修改谷歌网站在某种程度上需要访问古戈尔，因此可以访问您的谷歌帐户，包括您的电子邮件。

这些不仅仅是可爱无害的小工具。它们是小程序，对你的网页浏览器有很大的访问权限，这使得它们很危险。即使只是对您访问的网页做一件小事的扩展也可能需要访问您在web浏览器中所做的一切。

安全扩展如何转化为恶意软件

像googlechrome这样的现代网络浏览器会自动更新你安装的浏览器扩展。如果扩展需要新权限，则在您允许之前，它将暂时停用。但是，否则，新版本的扩展将以与上一版本相同的权限运行。这会导致问题。

2017年8月，非常流行和广泛推荐的Chrome Web开发者扩展被劫持。开发人员陷入了网络钓鱼攻击，攻击者上传了扩展的新版本，在网页中**了更多广告。超过一百万信任这个流行扩展的开发者的人最终得到了被感染的扩展。由于这是web开发人员的一个扩展，因此攻击可能会更严重，例如，受感染的扩展似乎没有起到键盘记录器的作用。

在许多其他情况下，有人开发了一个扩展，获得了大量的用户，但不一定能赚到钱。一家公司与开发商接洽，该公司将支付大笔资金购买扩建工程。如果开发者接受购买，新公司会修改扩展以**广告和跟踪，并将其作为更新上传到Chrome网络商店，所有现有用户现在都在使用新公司的扩展而没有任何警告。

2017年7月，定制YouTube的流行扩展Particle for YouTube出现了这种情况。同样的事情在过去发生在许多其他扩展上。Chrome扩展开发者声称他们经常收到购买扩展的邀请。拥有70多万用户的蜂蜜扩展的开发者曾经在Reddit上运行过一个“问我什么”，详细说明了他们经常收到的报价。

除了劫持和**扩展外，扩展也有可能只是坏消息，当你第一次安装它时，它会偷偷地跟踪你。

Chrome因其受欢迎而受到攻击，但这个问题影响到所有浏览器。Firefox的风险可能更大，因为它根本不使用权限系统，您安装的每个扩展都可以完全访问所有内容。（更新：这句话在我们2017年写这篇文章时是正确的，但Firefox现在有了类似Chrome的权限系统。）

如何将风险降至最低

相关：如何在Chrome、Firefox和其他浏览器中卸载扩展

以下是如何保持安全：使用尽可能少的扩展。如果扩展没有多大用处，请卸载它。试着把你已经安装的扩展列表缩减到只包含基本内容，以尽量减少你已经安装的扩展之一坏掉的可能性。

只使用来自您信任的公司的扩展也很重要。例如，由一个你从未听说过的随机人创建的自定义YouTube的扩展是成为恶意软件的主要候选。不过，谷歌（Google）创建的官方Gmail通知程序、微软（Microsoft）创建的OneNote笔记记录扩展程序或LastPass创建的LastPass密码管理器扩展程序几乎肯定不会以几千美元的价格卖给一家阴暗的公司。

如果可能的话，您还应该注意扩展所需的权限。例如，仅声明修改一个网站的扩展只能访问该网站。然而，许多扩展需要访问所有的东西，或者访问一个非常敏感的网站，你想保持安全（比如你的电子邮件）。权限是个不错的主意，但是当大多数东西都需要访问所有东西时，权限并不是很有用。

当然，走这条线很好。在过去，我们可能会说webdeveloper扩展是安全的，因为它是合法的。然而，开发人员陷入了网络钓鱼攻击，扩展变得恶意。这是一个很好的提醒，即使你可以相信有人不**他们的扩展到一个阴暗的公司，你是依靠那个人为你的安全。如果这个人犯了错误，并允许他们的帐户被劫持，你将最终处理的后果，他们可能会比所发生的Web开发人员扩展糟糕得多。