Muitas extensões na Chrome Web Store desejam “ler e alterar todos os seus dados nos sites que você visita”. Isso parece um pouco perigoso – e pode ser – mas muitas extensões só precisam dessa permissão para fazer seu trabalho.
Índice
O Chrome tem um sistema de permissão, mas o Firefox e o Internet Explorer não
Isso pode parecer alarmante, especialmente vindo de algo como o Firefox. Mas você só vê esse aviso porque o Chrome tem um sistema de permissão para suas extensões, enquanto o Firefox e o Internet Explorer não. Cada extensão do Firefox e do Internet Explorer tem acesso total a todo o navegador e pode fazer o que quiser.
Por exemplo, ao instalar o complemento Tampermonkey no Firefox, você não verá nenhum aviso de permissão. Mas esse complemento dá acesso a todo o navegador Firefox.
Ao contrário das extensões para esses outros navegadores, no entanto, as extensões do Chrome devem declarar as permissões de que precisam. Ao instalar uma extensão, você verá uma lista das permissões necessárias e poderá tomar uma decisão informada sobre a instalação da extensão. É um pouco como o sistema de permissões integrado ao Android .
Para usar o mesmo exemplo, ao instalar a extensão Tampermonkey para Chrome, você verá informações sobre as permissões que a extensão requer.
Extensões muito simples não requerem nenhuma permissão. Por exemplo, a extensão oficial do Google Hangouts apenas fornece um ícone da barra de ferramentas no qual você pode clicar para abrir uma janela de bate-papo do Google Hangouts. Instale-o e você não será avisado sobre nenhuma permissão especial necessária.
Por que as extensões precisam de permissão para “ler e alterar todos os seus dados”
Tente instalar a maioria das extensões, no entanto, e você será avisado sobre as permissões necessárias. O que parece mais assustador é provavelmente “Leia e altere todos os seus dados nos sites que visita”. Isso significa que a extensão pode visualizar todas as páginas da web que você visitar, modificar essas páginas da web e até mesmo enviar informações sobre isso pela web.
Por exemplo, o Google oferece uma extensão Salvar no Google Drive que permite que você clique com o botão direito em qualquer página da web ou link e salve essa página em seu Google Drive. A extensão requer a capacidade de “Ler e alterar todos os seus dados nos sites que você visita”. Mas precisa dessa permissão porque, ao tentar salvar o conteúdo, a extensão deve ser capaz de acessar a página da web atual e visualizar seus dados.
Extensões que precisam interagir com páginas da web quase sempre exigirão a permissão “Ler e alterar todos os seus dados nos sites que você visita”. É por isso que a extensão Google Hangouts não pede essa permissão: ela não possui recursos que interagem com uma página da web aberta em seu navegador.
Clique ao redor e você perceberá rapidamente que a maioria das extensões de navegador oferece recursos que interagem com a página da web atual, desde gerenciadores de senhas que precisam preencher senhas até extensões de dicionário que precisam definir palavras. É por isso que essa permissão é tão comum.
Extensões que funcionam apenas em um único site podem exigir apenas a capacidade de “Ler e alterar seus dados” em um site específico. Por exemplo, a extensão oficial do Verificador do Google Mail requer a permissão para “Ler e alterar seus dados em todos os sites google.com”.
Claro, esse nível de acesso permitiria que uma extensão capture suas senhas e números de cartão de crédito ou insira anúncios adicionais em páginas da web. Mas o Google não sabe se uma extensão usará suas permissões para o bem ou para o mal. Muitas extensões populares e legítimas exigem essa permissão, pois não há outra maneira de interagir com páginas da web abertas.
Mas, se o aviso de permissão o faz pensar duas vezes antes de instalar uma extensão sobre a qual você não tem certeza, isso é bom. É por isso que está lá – é um lembrete de quanto acesso você está fornecendo aos seus dados pessoais sempre que instala uma extensão do navegador.
Algumas extensões têm permissões ainda mais amplas
As extensões também podem solicitar algumas outras permissões. Por exemplo, a extensão AVG Web TuneUp instalada como parte do antivírus AVG requer permissão para ler e alterar todos os seus dados nos sites que você visita, ler e alterar seu histórico de navegação, alterar sua página inicial, alterar suas configurações de pesquisa, alterar seu página inicial, gerencie seus downloads, gerencie seus aplicativos, extensões e temas e comunique-se com aplicativos nativos cooperativos em seu computador.
Não recomendamos o uso de extensões de navegador do seu antivírus , e o sistema de permissões do Chrome faz um bom trabalho em mostrar o porquê neste caso. Esta extensão é muito invasiva e requer acesso a quase todas as partes do seu navegador. A janela de permissões ajuda a avisá-lo sobre as permissões que você concederá, para que possa tomar uma decisão informada.
Mesmo a extensão de navegador mais assustadora não tem tanto acesso ao seu computador como um programa de desktop teria. Os aplicativos normais do Windows têm acesso aos seus pressionamentos de tecla e arquivos, incluindo seus navegadores da web. É por isso que você não deve executar um aplicativo de desktop em que não confia, assim como não deve instalar uma extensão de navegador em que não confia.
Quais extensões de navegador você deve confiar?
Se você estiver concedendo a uma extensão acesso a todos os sites que visita, essa extensão poderá capturar suas senhas de banco online e números de cartão de crédito ou inserir anúncios nas páginas que você visualizar. É tão perigoso para os seus dados de navegação na web quanto instalar um programa de desktop, portanto, você deve tomar a decisão com o mesmo cuidado.
Em teoria, as extensões do navegador disponíveis na Chrome Web Store, no site de complementos da Mozilla e na Windows Store são monitoradas pelo Google, Mozilla e Microsoft, respectivamente. A empresa responsável pela loja pode remover um add-on da loja se ele estiver fazendo algo ruim.
In reality, though, browser makers don’t test every extension—or every update to a legitimate extension—to confirm it’s safe. A browser maker will often only get around to removing an extension after it’s caused problems for many people who have it installed.
If the extension requires quite a few permissions, you’ll have to evaluate it like you would a desktop program. If the extension is created by a company you trust—like the many extensions created by companies like Google, Microsoft, Twitter, Facebook—you know it’s likely safe. If the extension was created by someone you don’t know, be more careful. If the extension is established and has a large number of users, good feedback in the store, and positive reviews on other websites, that’s a good sign. If it has mixed feedback or much fewer users, that’s a bad sign.
If you’re ever in doubt, don’t install that extension. It’s best to use as few extensions as possible to keep your browser fast, anyway.
More browsers are adding permission systems, however. Microsoft Edge uses Chrome-style extensions and will warn you about the permissions the extensions require. Firefox will also move to Chrome-style extensions in the future.
