안녕하세요, Chrome Extension의 보안 수준은 저도 관심이 많아서 예전부터 내부적인 동작방식을 정확하게 파악하고 있고, 보안적인 문제는 없을 것으로 생각합니다.
아시겠지만 Chrome extension의 경우 설치시에 사용자에게 "어떤 권한을 사용한다" 라는것은 명시적으로 확인받아야 설치가 가능합니다. 자동 업데이트를 통해서 추가적인 권한을 넣으려고 해도 추가된 권한을 사용하는 시점에 사용자에게 추가 확인을 명시적으로 받아야지만 해당 권한을 획득 가능하게 되어있어서 사용자 모르게 외부 사이트로 사용자의 사용기록 등을 전송하는 등의 abusing은 불가능합니다. (물론 사용자분들이 권한을 요청하는 팝업을 정확히 읽지않고 무조건적으로 허용하신다면 문제가 발생할 가능성은 있습니다)
Chrome Extension의 경우 또한 script가 실행되는 context에 따라서 실행권한이 명확하게 구분되어있어서 구글이 허용한 sandbox를 벗어난 정보에 접근하는 것이 불가능하도록 설계되어있습니다.
추가적으로 steemit.com의 경우 스팀잇 개발팀이 CSP (Content Security Policy)을 명확하게 설정해 둔 것을 확인했습니다. 이로인해서 스팀잇 사이트가 허용된 도메인이 아니면 스팀잇 페이지 내에 remote server에서 추가적인 script를 inject하는 것 자체가 불가능하도록 잘 방어되어 있습니다.
혹시 이런 부분 외에도 보안쪽으로 걱정되는 부분이 있으시다면 공유 부탁드립니다.
고생하셨습니다. 개발하신 플러그인에 보안문제가 있을 리가 있나요? 당연 잘 만드시고 샌드박스 한계 내에 동작하리라 생각합니다.
제 의견은 플러그인으로 스팀잇 서비스 개선하는 것은 사용자들의 플러그인 형식 자체에 대한 거부감으로 확산에 한계가 있을수 있어 결국 독립 웹서비스로 개선되어야 하지 않을까 하는 의견이였습니다.
고맙습니다.