افزونههای مبتنی بر کلید (keybase) مرورگر میتواند اجازه دیدن پیامهای ارسالی کاربران را به سایتها بدهد
افزونههای مرورگر برای برنامههای تحت کلید نمیتوانند رمزگذاری مبداء به مقصد (end to end) را برای نوع دسکتاپ خود حفظ کند. مبتنی بر کلید یک برنامه ارتباطی است که عمدتاً بر تضمین ترافیک از منبع به مقصد با استفاده از رمزنگاری کلید عمومی، متمرکز شده است. ولادمیر پالانت، سازنده ابزار فیلترینگ محتوای محبوب AdBlock Plus ، به بررسی نحوه گسترش نرمافزارهای مبتنی بر کلید پرداخته و متوجه شد که پیامهای ارسالی آن در معرض کدهای جاواسکریپت شخص ثالث (third party javascript code) قرار دارند. افزونهها یک دکمه "Keybase Chat" را به صفحات کاربری برای فیس بوک، توییتر، گیتهاب، ردیت و هکر نیوز اضافه میکنند و با کلیک روی این دکمه یک پنجره گپ باز میشود که کاربران میتوانند پیامهای خود را تایپ کنند. قسمت پرسش و پاسخ مرورگر گوگل کروم و فایرفاکس در مورد افزونه مبتنی بر کلید اعلام کرد: هنگامی که متن خود را مینویسید و "ارسال" آن را میزنید، افزونه آن را از Keybase محلی شما عبور میدهد، که پیام را رمزگذاری میکند و آن را از طریق چت مبتنی بر کلید ارسال میکند. کدهای جاواسکریپت شخص ثالث (third party javascript code) میتوانند پیامهای شما را بخوانند. نکتهای که توسط پالانت به آن اشاره شد، این بود که پیامها تا زمانی که به برنامه دسکتاپ نرسند، رمزگذاری نمیشوند و Keybase دکمه ی خود را در صفحات وب قرار میدهد اما خود را از آنها ایزوله و جدا نمیکند. بنابراین اولین نتیجه این است که پیام مبتنی بر کلیدی که شما در فیسبوک ارسال میکنید به هیچ وجه خصوصی نیست و کد جاوا اسکریپت فیسبوک میتواند آن را در هنگام تایپ پیام توسط شما و قبل از اینکه رمزنگاری شود، بخواند. دو سناریویی که این افزونهها را خطرناکتر میکند، داشتن کد جاوا اسکریپت مرورگرهای وب یا شبکههای اجتماعی است. پالانت پیشنهاد میکند که این مسئله را با استفاده از iframe حل کنند و پاسخ ارائه دهندگان Keybase به پیشنهاد پالانت این بود که دلایل فنی مانع از ایزوله و جداسازی از طریق فریمها میشود. توصیه ما این است که اگر از ارتباطات حساس و خصوصی استفاده میکنید در اسرع وقت برنامههای افزونه مرورگر مبتنی بر کلیدتان حذف شوند.
مرکز ماهر
دانشگاه کردستان