LifeHackerから適当な記事をピックアップして翻訳の練習。Google Chromeのアドオンを使う時は気を付けよう。

元記事：
https://lifehacker.com/heres-one-way-to-check-that-your-chrome-extensions-are-1836630986

Here's One Way to Check That Your Chrome Extensions Are Safe

クロームのアドオンが安全かを確認する方法

 
In light of the recent DataSpii browser extension leak, where millions of users had their data tracked and sold by seemingly benign browser extensions, it’s worth running a check on other Chrome add-ons you may have installed—or are thinking of installing—to sniff out any bad actors.
最近のDataSpii インターネットブラウザ拡張機能漏洩、一見有益な拡張機能が何百万のユーザーのデータを追跡、検知した問題について考えると、インストールした、もしくはしようと考えているクロームのアドオンが悪さをしていないか検知するのは大事なことだー悪者を見つけ出すために。
To do so, we’ll be using a piece of lightweight software called Chrome Extension Source Viewer that can uncover potentially shady behaviors, like the ability to execute remote code.
そのために、軽量なソフトウェアであるChrome Extension Source Viewerを使おう。リモートのコードを実行する機能のような潜在的な危険性がある動作を見つけ出すことができる。
Before we get to the steps, we should point out that this tool may not catch every dangerous browser extension. The DataSpii add-ons got away with widespread data-tracking by tricking Google and hiding their malicious activity, and it’s possible others could, too. Also, the tool might identify extensions that are completely fine. This is only one item in your security toolbag; some due diligence will still be required to separate good extensions from bad extensions, but at least you’ll have a better idea of what to look up.
本題に入る前に、このツールは全ての危険な拡張機能を検知するわけではないことを注意したい。DataSpii拡張機能はあのGoogleを手玉に取り、不正な行動を密かに行い大規模のデータトラッキングをやってのけた。他の機能が同じことを行える可能性は十分にある。また、このツールを使えば拡張機能の信頼性を証明する事もできる。セキュリティ対策ではこれだけで十分だ。良い拡張機能と悪い拡張機能を自分で見分ける努力は必要になるが、少なくとも何を見て判断すべきかについての良い方法はこの記事で教えられるだろう。

Getting started with Chrome Extension Source Viewer
Chrome Extension Source Viewerの使い方
1. Install the Chrome Extension Source Viewer add-on
Chrome Extension Source Viewerアドオンをインストール

2. Open the Chrome Web Store page for each extension you wish to check.
確認したい拡張機能のChrome Web Storeページを開く
3. While on the Chrome Web Store page for an extension, click on the Chrome Extension Source Viewer “CRX” icon next to the URL bar.
Webページ上のURLバーの横にある”CRX”アイコンをクリック
4. Click “View Source”.
”View Source”をクリック
5. Wait for the new page to fully load, then find and open the “manifest.json” file.
新しいページのロードが終わるまで待つ、その後”manifest.json”という設定ファイルを開く
6. Press F3 or “CTRL+F” to open the page search, and look for “unsafe-eval.”
F3か”CTRL+F”を押してページ検索を開く、そして"unsafe-eval"を検索

What does this mean? The “unsafe-eval” content security policy indicates that a particular extension can execute remote code. That can be a security risk depending on what the extension is actually doing—a big enough one, to note, that Mozilla doesn’t allow Firefox extensions in its directory that are set up like this:
これはどういう意味だろうか？"unsafe-eval"コンテントセキュリティポリシーは特定の拡張がリモートでコードが実行される可能性があることを示している。これは拡張の動作によってはセキュリティリスクとなりえるー非常に危険だ。補足として、MozillaはFireFoxの拡張にこのような設定を許可していない：
“...extensions with ‘unsafe-eval’, ‘unsafe-inline’, remote script, blob, or remote sources in their CSP are not allowed for extensions listed on addons.mozilla.org due to major security issues.”
”'unsafe-eval', 'unsafe-inline', リモートスクリプト、リモートソースを CSP に指定する拡張機能は、主なセキュリティの問題から、addons.mozilla.org に載せる拡張機能には許可されません。”
Again, “unsafe-eval” doesn’t necessarily mean an extension is operating in bad faith. However, it does indicate that you might want to give that extension more scrutiny. Search the web to see if there are any problematic reports about it. If you’re looking to dial down on the number of browser extensions you use—a great security practice—this might help you identify potential extensions you don’t really use all that much and can safely remove.
”unsafe-eval”は必ずしも拡張が悪意ある動作を実行するわけではないことを今一度留意したい。しかし、その拡張に対してより調査を行うべきだという意味とも捉えられる。拡張について何か技術的な報告が挙がっているかWebで確認しよう。もしあなたが使用している拡張を減らそうとしているならーセキュリティ対策としては素晴らしいーこのツールを使えばそこまで使っていない拡張を見つけ出して、かつ安全に削除できるかもしれない。