Snax.one Browser extension, wie sicher sind Browser-Erweiterungen?

in deutsch •  4 months ago 

Snax machen grad die Runde auf Steem und ein Snack zwischendurch ist natürlich schön. Außerdem hat man mit Snax auch die Möglichkeit, Beiträge die älter als 7 Tage sind zu belohnen. Damit das Ganze funktioniert, muss man sich allerdings die Browsererweiterung von Snax.one installieren. Das ist natürlich immer so eine Sache, weil derart Add-Ons alles mögliche anstellen können.

image.pngBild: Pixabay

Schauen wir uns die Erweiterung auf crxcavator.io etwas genauer an. Als erstes fällt auf, es gibt keine Contact Info.

image.png

Auch meine Suche nach dem Team bzw. welche Entwickler hinter dem Projekt stehen, blieb leider erfolglos. Whois-Abfragen nach snax.one brachten auch keine Hinweise, die Domain wurde anonym registriert. Auf Github findet man den Quellcode, doch auch hier sind keine Entwickler angegeben. Als Urheber des Whitepapers wird die Snax Foundation genannt, doch auch dazu finde ich keine Infos. Wer hinter snax.one steht, bleibt vorerst ein Rätzel - vielleicht weiß hier jemand mehr?

Berechtigungen

image.png

Die Berechtigung chrome.webRequest API erlaubt es, den Datenverkehr abzufangen und sogar zu ändern und wird als "Critical" eingestuft.

Es geht weiter mit clipboardRead/clipboardWrite - damit hat die Erweiterung Zugriff auf die Zwischenablage. Wozu wird dies benötigt? Damit können sensible Informationen die sich in der Zwischenablage befinden, ausgelesen werden. Das Risiko wird entsprechend als High bzw. Medium eingestuft.

Fazit

Snax ist ein interessantes Projekt und ich gehe schon davon aus, dass sich die Leute bei Steem näher mit snax.one beschäftigt haben, bevor sie es hier integriert haben.

Da es sich für mich jedoch um ein bis jetzt noch unbekanntes Team handelt, bin ich trotzdem vorsichtig gestimmt und empfehle daher, die Erweiterung deaktiviert zu lassen und nur bei Bedarf aktiv zu schalten. Man weiß ja nie!

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

Super Vielen Dank für die Infos ! Ich bin ja auch hochskeptisch, aber leider zu neugierig und hatte mir somit die Extension auch runtergeladen.
Ich warte ja schon auf die "malicious" extension die dann Zugriff auf meine anderen Extensions hat und meine ganzen wallets (ETH, NFT, usw.) leerräumt :-/
Vielen Dank nochmal für das Sensibilisieren !

Interessant! Wie ist das mit dem Steem Keychain Browser Plugin?

Keychain hat keine kritischen Berechtigungen, auch keine die nicht nachvollziehbar sind. Die Entwickler sind hier auch unterwegs, von daher alles im grünen Bereich - für mein kritisches Adlerauge :-)
https://crxcavator.io/report/lkcjlnjfpbikmcmbachjpdbijejflpcm/1.5.6

Danke für diesen Artikel-ich warte da erstmal lieber ab nun.
BGvB!

Vielen Dank für den super Bericht. Am interessantesten finde ich dass du dir die Berechtigungen angeschaut hast und das geht für mich gar nicht das ist ein No-Go. Die Berechtigung chrome.webRequest API erlaubt es, den Datenverkehr abzufangen und zu ändern bzw. clipboardRead/clipboardWrite - damit hat die Erweiterung Zugriff auf die Zwischenablage. Für mich nicht nachvollziehbare Berechtigungen und zu gefährlich. LG Michael

Posted using Partiko Android

chrome.webRequest ist keine Seltenheit, man kann in den Einstellungen auch begrenzen, bei welchen Seiten man es erlaubt. Die Erweiterung möchte bei Twitter, snax.one und noch einer weiteren den Zugriff. Bei snax.one ist dies nachvollziehbar, bei den anderen, hmm...
Hört sich trotzdem vielleicht schlimmer an, als es ist.

Okay wenn man das explizit noch einstellen kann ist das ja ok. Danke Dir für die schnelle Antwort.

Posted using Partiko Android

Hi, @michelangelo3, hi all. I'm moderator of Snax and I would like to answer the questions that were raised in the article and comments

  1. Аnonymity of the development team.
    The actions of the regulators are not predictable now, here is an example: https://cryptoslate.com/cryptocurrency-airdrops-and-bounty-campaigns-face-sec-hammer/ We will be anonymous until we are convinced that the rules of the game are established by the regulatory authorities and are understandable.
  2. Concerns about the security of the Browser Plugin
    clipboard permission is also needed to make Ctrl + V working
    when you import your mnemonic or private key
    and also regarding to your article, you don't need an extension to receive SNAX for your content
    browser extension is needed to use snax.one UI to bind your social accounts to Snax and to make transactions (just a wallet functions)
    all the content you create, is grabbed automatically by the oracle
    the whole code of snax extension is open sourced. We use clipboard permission to copy mnemonic phase which can be used to create an asymmetric private key. Also we use it to copy your export private key: But that’s is. https://github.com/SnaxFoundation/snax-browser-extension.
    Our friend prepared a wonderful review of snax https://steemit.com/snaxbountyoprogram/@milaan/review-of-snax-as-a-decentralized-social-media-overlay-for-monetizing-content-with-existing-popular-social-media. There you will find comprehensive information on what Snax is and how to use it. We’ve directed some of our efforts into negotiating a deal with our friends who are going to develop a mobile wallet for Snax and EOS. Follow us on https://twitter.com/SnaxTeam and https://steemit.com/@snaxteam to keep up with all the news

Thank you very much for the information and links!

Vielen dank für die Aufklärung , ich werde deinen Rat befolgen und diese Erweiterung erst einmal deaktivieren .

Top! :)

Posted using Partiko Android

Vielen Dank , das gefällt mir nicht und hinterlässt einen schlechten 😒 Geschmack normal müssten alle Glocken klingeln !
VgA

Gut zu wissen! Danke :)

Posted using Partiko Android

Bei den ganzen Wallets, Erweiterungen und Altcoins soll nochmal eine durchblicken ..... Werd ich mir mal anschauen das Schätzchen ....

Danke, das Plugin wird vorläufig deaktiviert.

Congratulations @michelangelo3! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

You received more than 5000 upvotes. Your next target is to reach 6000 upvotes.

You can view your badges on your Steem Board and compare to others on the Steem Ranking
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @steemitboard:

New japanese speaking community Steem Meetup badge
Vote for @Steemitboard as a witness to get one more award and increased upvotes!

Hey @michelangelo coller Job von dir, Danke !
Alles richtig gemacht, weiter viel Erfolg...

Du hast ein kleines Upvote von einem Kurator des GSB erhalten. Zusätzlich erhältst du bis zu 30 weitere Votes von Mitgliedern die uns in einen Trail folgen.
Schließe dich uns an!!! klicke auf diesen Link. Wir helfen und unterstützen neue Mitglieder und Chatten in einem freundschaftlichen Miteinander.

Aktueller Kurator ist @don-thomas

N E U - jeden Donnerstag findet bei uns ab 19 Uhr die Quasselstunde statt wo du nicht nur mit uns reden kannst - es werden auch tolle Preise verlost

Ja da bin ich auch noch etwas vorsichtig.
Hatte auch schon nach weiteren Infos gesucht, bin aber leider nicht fündig geworden.

Ich warte ab und beobachte!

Lieben Gruß
knochenhd

Na, anschauen werden wir uns das auf jeden Fall mal. Vielen Dank für die tolle Aufklärung 👍😃

Posted using Partiko Android

Magic Dice has rewarded your post with a 79% upvote. Thanks for playing Magic Dice.

You have receive an upvote. Thanks for playing moonSTEEM

Danke für das große Upvote, freut mich. Hab allerdings bisher nicht gespielt und hab es auch nicht vor.

Hi, @michelangelo3!

You just got a 0.17% upvote from SteemPlus!
To get higher upvotes, earn more SteemPlus Points (SPP). On your Steemit wallet, check your SPP balance and click on "How to earn SPP?" to find out all the ways to earn.
If you're not using SteemPlus yet, please check our last posts in here to see the many ways in which SteemPlus can improve your Steem experience on Steemit and Busy.