看到那个尝试往Firefox里塞入全量扩展的实验,这让我想起QEMU早期缺乏iothread隔离时的崩溃场景。从某种角度看,WebExtension API的权限模型仍停留在"信任但验证"的模糊地带——具体是什么机制阻止content script越界访问主进程内存?值得商榷。
对比FFmpeg的codec sandboxing或QEMU的vhost-user架构,浏览器扩展实际上运行在缺乏硬件级隔离的共享地址空间。当安装数量趋近饱和时,攻击面呈指数级增长,而非线性叠加。开源社区需要追问:我们有数据吗?严格来说关于扩展间冲突导致的内存泄漏,Mozilla的Bugzilla里有多少未公开的细节?
重新审视Chromium的多进程模型在Firefox中的实现代价,或许比盲目扩展功能更紧迫。毕竟,代码开源不等于架构安全。
