分析外挂插件引发程序漏洞安全威胁容易

史丹佛大学的电脑科学系教授Dan Boneh计划在今年8月举行的Usenix Security 2010会议中发表浏览器隐私浏览功能的分析报告，他研究了IE8、Firefox 3.5、Chrome 5与Safari 4等四大主要浏览器的相关功能，发现外挂或扩充程序仍能破坏隐私浏览。

根据Boneh的定义，隐私浏览功能应该能在区域端黑客掌控系统时，无法取得使用者先前浏览的资讯。但Boneh发现，即使浏览器采用各种隐私措施，但扩充程序仍能破坏浏览的隐私性。

注：相关站建设技巧阅读请移步到建站教程频道。 每个浏览器所提供的扩充程序功能设定不一，例如IE可设定在隐私浏览模式时是否要关闭工具列及扩充程序;Firefox在隐私浏览模式时允许外挂及扩充程序正常运作;Chrome在隐私模式关闭了大多数的扩充程序但仍允许外挂程序的执行;在Safari中，第三方的API也允许隐私模式时执行扩充程序。

Boneh研究团队在Firefox上测试了最受欢迎的40种扩充程序，由于含有二位元元件的程序原则上都能读取磁碟中的文件，或将文件存入磁碟，因此，他们把所有二位元扩充程序都视为是不安全的，并检视另外32个纯JavaScript扩充程序在隐私模式下的执行状况，发现其中有15个程序能够将资料写入磁碟，这将允许黑客了解使用者的隐私浏览行为。

在Chrome上则分析前100大扩充程序，发现有71个程序可在隐私浏览模式下将资料储存于磁碟中，而且有5个扩充程序可以执行任意程序，并有4个应用程序可将使用者行为传送到远端伺服器上。

Boneh认为，现有的浏览器要求使用者自行选择在隐私浏览模式时是否要执行扩充程序，但并非所有的扩充程序都同样尊重隐私浏览模式，因而导致隐私问题的发生或是防堵了没必要防堵的扩充程序，因此他建议浏览器业者应在各种API中声明其隐私政策。

此外，该研究也发现每一款浏览器的隐私功能不太一致，例如Fiirefox与Chrome除了可防御来自区域端黑客的攻击外，另也采取措施以防御路黑客的攻击，而Safari仅能抵挡来自区域端黑客的攻击。