사용자는 개인 정보를 침해하거나 필요한 것으로 보이는 추가 권한을 요청하는 경우 확장 프로그램을 설치하지 않습니다. 권한 요청은 사용자에게 의미가 있어야 하며 확장을 구현하는 데 필요한 중요한 정보로 제한되어야 합니다. 사용자 데이터를 수집하거나 전송하는 확장 프로그램은 사용자 데이터 개인 정보 보호 정책을 준수해야 합니다.

신원을 안전하게 유지하기 위해 이러한 예방 조치를 포함하여 확장 사용자를 보호하고 존중합니다. 기억하십시오 : 확장 프로그램이 액세스 할 수 있는 데이터가 적을수록 실수로 누출 될 수 있는 데이터가 줄어 듭니다.

필요한 권한 줄이기 

확장 프로그램이 액세스 할 수 있는 API는 매니페스트의 권한 필드에 지정됩니다. 더 많은 권한이 부여 될수록 공격자가 정보를 가로 챌 수 있는 방법이 많아집니다. 확장이 의존하는 API 만 나열되어야 하며 덜 침습적 인 옵션을 고려해야 합니다. 확장 프로그램이 요청하는 권한이 적을수록 사용자에게 표시되는 권한 경고가 줄어 듭니다. 사용자는 제한된 경고와 함께 확장 프로그램을 설치할 가능성이 더 높습니다.

확장 프로그램은 현재 필요하지 않지만 향후 구현 될 수 있는 권한을 요청하여 사용자 데이터에 대한 "미래 보장"액세스를 허용해서는 안됩니다. 확장 프로그램 업데이트에 새 권한을 포함하고 선택 사항으로 만드는 것을 고려하십시오.

activeTab 

호스트 권한을 사용하여 스크립트를 삽입하는 확장은 종종 대신 activeTab을 대체 할 수 있습니다. activeTab 권한은 사용자가 확장을 호출 할 때만 현재 활성 탭에 대한 확장 임시 액세스 권한을 부여합니다. 사용자가 현재 탭에서 벗어나거나 닫을 때 액세스가 차단됩니다. <all_urls>의 많은 사용에 대한 대안으로 사용됩니다.

  {
    "name": "Very Secure Extension",
    "version": "1.0",
    "description": "Example of a Secure Extension",
    "permissions": ["activeTab"],
    "manifest_version": 2
  }

activeTab 권한은 설치 중에 경고 메시지를 표시하지 않습니다.

선택적 권한 선택 

사용자가 선택적 권한을 포함하여 확장에서 필요한 기능과 권한을 선택할 수 있도록 합니다. 기능이 확장의 핵심 기능에 필수적이지 않은 경우 선택 사항으로 만들고 API 또는 도메인을 optional_permissions 필드로 이동합니다.

  {
    "name": "Very Secure Extension",
    ...
    "optional_permissions": [ "tabs", "https://www.google.com/" ],
    ...
  }

선택적 권한을 포함하면 확장 프로그램에서 사용자가 관련 기능을 활성화 할 때 특정 권한이 필요한 이유를 설명 할 수 있습니다. 확장은 사용자에게 기능을 활성화하는 옵션을 제공 할 수 있습니다.

OK 클릭! 백그라운드 스크립트에서 다음 이벤트를 트리거 합니다.

  document.querySelector('#button').addEventListener('click', function(event) {
    // Permissions must be requested from inside a user gesture, like a button's
    // click handler.
    chrome.permissions.request({
      permissions: ['tabs'],
      origins: ['https://www.google.com/']
    }, function(granted) {
      // The callback argument will be true if the user granted the permissions.
      if (granted) {
        // doSomething();
      } else {
        // doSomethingElse();
      }
    });
  });

그러면 사용자에게 다음 요청이 표시됩니다.

확장 업데이트에서 선택적 권한을 구현할 수도 있습니다. 이렇게 하면 새로운 필수 권한으로 업데이트 할 때 발생할 수 있는 것처럼 확장을 비활성화 하지 않고도 사용자가 새 기능을 사용할 수 있습니다.

사용자 정보 제한 및 보안 

확장 프로그램에 필요한 최소 사용자 데이터 만 요청하십시오. 확장 프로그램이 사용자에게 요청하는 정보가 적을수록 확장 프로그램이 손상 될 경우 노출이 줄어 듭니다.

요청 된 모든 사용자 데이터는 주의해서 취급해야 합니다. 등록 된 도메인이 있는 보안 서버에 데이터를 저장하고 검색합니다. 확장 저장소는 암호화되지 않으므로 항상 HTTPS를 사용하여 연결하고 확장의 클라이언트 측에 민감한 사용자 데이터를 보관하지 마십시오.