Google heeft ontwikkelaars van Chrome extensies opgeroepen om veiliger te programmeren, omdat anders gebruikers risico lopen. "Extensies zijn krachtige onderdelen in moderne browser, en daarom moet je ervoor zorgen dat je extensies niet kwetsbaar voor security exploits zijn", aldus software engineer Erik Kay. Als een aanvaller een lek in een extensie kan misbruiken, kan dit volgens Kay voor ernstige problemen zorgen, omdat de aanvaller dan dezelfde rechten als de extensie kan krijgen.

Het Chrome extensie-systeem beschikt over verschillende ingebouwde beveiligingsmaatregelen die misbruik lastiger moeten maken. "Maar sommige programmeerpatronen kunnen nog steeds voor risico's als cross-site scripting-aanvallen zorgen."

Risico
Verder gaat Google vanaf Chrome 14 Content Security Policy in extensies ondersteunen. Hierdoor kunnen ontwikkelaars bepalen waar de scripts kunnen worden uitgevoerd, en is een maatregel om cross-site scripting tegen te gaan. Verder waarschuwt Kay voor extensies die kwetsbaar voor man-in-the-middle (MITM) aanvallen zijn.

"Als je dynamische data van content buiten je extensie genereert, moet je zeer voorzichtig zijn in de manier waarop je dit gebruikt. Als je deze data gebruikt om content binnen je extensie te generen, laat je je gebruikers een groter risico lopen."