0

 Browser Extension Audit ও সিকিউরিটি

by infodinajpuritpark@gmail.com | June 7, 2026
 Browser Extension Audit ও সিকিউরিটি।

Browser Extension Audit: ব্রাউজার এক্সটেনশনের হিডেন সিকিউরিটি থ্রেট

গুগল ক্রোম, মাইক্রোসফট এজ বা অপেরা ব্রাউজারে কাজের সুবিধার্থে আমরা অনেকেই বিভিন্ন এক্সটেনশন (Extension) বা অ্যাড-অনস ব্যবহার করি। কিন্তু আপনি কি জানেন, সাইবার সিকিউরিটির দুনিয়ায় ব্রাউজার এক্সটেনশনকে অন্যতম একটি প্রধান থ্রেট ভেক্টর (Threat Vector) হিসেবে বিবেচনা করা হয়? অনেক সময় অত্যন্ত কাজের একটি এক্সটেনশনও ব্যাকগ্রাউন্ডে একটি ক্ষতিকারক ম্যালওয়্যার বা স্পাইওয়্যার হিসেবে কাজ করতে পারে।

কারিগরি ভাষায়, আপনি যখন কোনো এক্সটেনশনকে “Read and change all your data on the websites you visit” পারমিশন দেন, তখন সেটি আপনার ব্রাউজারের কার্নেল লেভেলে হুক করার ক্ষমতা পেয়ে যায়। এর ফলে আপনি যখন কোনো ব্যাংকিং ওয়েবসাইট, ফেসবুক বা জিমেইলে লগইন করেন, তখন সেই এক্সটেনশনের ভেতরের মেলিসিয়াস কোড আপনার ইউজারনেম, পাসওয়ার্ড এবং সেশন টোকেন (Session Tokens) নীরবে চুরি করে হ্যাকারদের রিমোট কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভারে পাঠিয়ে দিতে পারে, যাকে বলা হয় Session Hijacking বা Session Snipping

কোনো থার্ড-পার্টি অ্যাপ বা ভারী অ্যান্টিভাইরাস ছাড়াই আপনার ব্রাউজারের এক্সটেনশন ডিরেক্টরি নিখুঁতভাবে অডিট করার এবং ব্রাউজার ক্লায়েন্টকে শতভাগ লক করার ৫টি প্রফেশনাল মেথড নিচে ধাপে ধাপে দেওয়া হলো:

ব্রাউজার এক্সটেনশন অডিট ও সিকিউরিটি এনশিওর করার প্রফেশনাল মেথড

১. ব্রাউজারের ইন্টারনাল এক্সটেনশন অডিট ও সোর্স ভেরিফিকেশন

আপনার ব্রাউজারের ব্যাকএন্ডে বর্তমানে কোন কোন এক্সটেনশন সচল আছে এবং সেগুলো অফিশিয়াল ডেভেলপার দ্বারা ভেরিফাইড কি না, তা যাচাই করা প্রথম প্রফেশনাল ট্রিক।

  • Google Chrome-এর জন্য: ব্রাউজারের অ্যাড্রেস বারে সরাসরি chrome://extensions/ লিখে এন্টার চাপুন (Microsoft Edge-এর জন্য edge://extensions/)।
  • এখানে আপনার ইনস্টল করা প্রতিটি এক্সটেনশনের একটি কমপ্লিট ক্যাটালগ দেখতে পাবেন।
  • অডিট রুল: প্রতিটি এক্সটেনশনের নিচে থাকা Details বাটনে ক্লিক করুন। যদি দেখেন কোনো এক্সটেনশন ক্রোম ওয়েব স্টোর বা অফিশিয়াল সোর্সের বাইরে থেকে থার্ড-পার্টি হিসেবে পুশ করা হয়েছে (Developer Mode বা Unverified Source), তবে সেটিকে ১ সেকেন্ডও পিসিতে না রেখে সাথে সাথে Remove বাটনে ক্লিক করে সম্পূর্ণ উপড়ে ফেলুন।

২. ‘Site Access’ ও পারমিশন কন্ট্রোল লক করা (Strict Permission Control)

প্রতিটি এক্সটেনশনকে গণহারে আপনার সমস্ত ওয়েবসাইটের ডাটা রিড করার পারমিশন দেওয়া একটি বড় সিকিউরিটি হোল। আপনি চাইলে ড্রাইভার লেভেলে এর পারমিশন রেস্ট্রিক্ট বা নির্দিষ্ট করে দিতে পারেন।

  • chrome://extensions/ পেজে গিয়ে যেকোনো এক্সটেনশনের Details-এ প্রবেশ করুন।
  • একটু নিচে স্ক্রোল করে Site access সেকশনটি খুঁজে বের করুন।
  • এটি ডিফল্টভাবে “On all sites” করা থাকে, যার মানে এটি আপনার ব্যাংকিং বা পার্সোনাল সাইটের ডাটাও রিড করতে পারে। এটিকে পরিবর্তন করে প্রফেশনাল সিকিউরিটি প্রটোকল অনুযায়ী “On specific sites” (শুধুমাত্র যে সাইটে অ্যাপটি প্রয়োজন) অথবা “On click” সিলেক্ট করুন। On click সিলেক্ট করলে, আপনি মাউস দিয়ে এক্সটেনশনের আইকনে ক্লিক না করা পর্যন্ত সেটি ব্যাকগ্রাউন্ডে সম্পূর্ণ নিষ্ক্রিয় বা ফ্রিজ হয়ে থাকবে।

৩. ক্রোমের বিল্ট-ইন ‘Safety Check’ ইউটিলিটি রান করা

গুগল ক্রোম ব্রাউজারের অফিশিয়াল আর্কিটেকচারের ভেতরে একটি চমৎকার রিয়েল-টাইম স্ক্যানার লুকিয়ে থাকে, যা ডার্ক ওয়েবে লিক হওয়া ডাটা এবং মেলিসিয়াস এক্সটেনশন ১ ক্লিকে ডিটেক্ট করতে পারে।

  • ক্রোমের ওপরের ডান কোণায় থাকা থ্রি-ডট () মেনু থেকে Settings-এ যান।
  • বাম পাশের মেনু বার থেকে Privacy and security সেকশনটি সিলেক্ট করুন।
  • এবার ডান পাশে থাকা “Safety check” বা মেটা-ডিরেক্টরির অধীনে থাকা Check now বাটনে ক্লিক করুন।
  • গুগল অনবরত তাদের ম্যালওয়্যার ডাটাবেজ স্ক্যান করে আপনার ব্রাউজারে থাকা কোনো এক্সটেনশন যদি ক্ষতিকারক বা পলিসি ভায়োলেশনের কারণে ক্রোম স্টোর থেকে রিমুভ হয়ে গিয়ে থাকে, তবে সেটিকে এখানে “Malicious” হিসেবে ফ্ল্যাগ করবে। এমন কোনো অ্যাপ দেখালে তা সাথে সাথে ডিলিট করুন।

৪. ‘Enhanced Protection’ মোড বুস্ট করা

উইন্ডোজের ডিফল্ট সিকিউরিটি লেয়ারের পাশাপাশি ব্রাউজারের রিয়েল-টাইম ফিশিং এবং ম্যালওয়্যার প্রোটেকশন গেটওয়ে সর্বোচ্চ স্তরে লক করা অত্যন্ত জরুরি।

  • ব্রাউজারের Settings > Privacy and security > Security অপশনে প্রবেশ করুন।
  • সেখানে থাকা Safe Browsing সেকশনের অধীনে ডিফল্টভাবে Standard protection সিলেক্ট করা থাকে; এটিকে পরিবর্তন করে সরাসরি “Enhanced protection” রেডিও বাটনটি অন করে দিন। এটি কোনো মেলিসিয়াস এক্সটেনশন বা হিডেন জাঙ্ক স্ক্রিপ্ট ব্যাকগ্রাউন্ডে রান হওয়ার আগেই সেটিকে কার্নেল লেভেলে ব্লক করে দেবে।

৫. ব্রাউজার প্রোফাইল আইসোলেশন (Profile Isolation) পলিসি মেইনটেইন করা

আপনি যদি একই পিসিতে প্রফেশনাল আইটি ডেভেলপমেন্টের কাজ এবং সাধারণ ব্রাউজিং বা বিনোদনমূলক কাজ একসাথে করেন, তবে এক্সটেনশনের ডাটা ওভারল্যাপ এড়াতে প্রোফাইল আইসোলেশন করা গ্লোবাল স্ট্যান্ডার্ড প্রফেশনাল নিয়ম।

  • আপনার ব্রাউজারের ওপরের ডান কোণায় থাকা আপনার প্রোফাইল আইকনে ক্লিক করে নিচে থাকা Add বাটনে ক্লিক করে ২ বা ৩টি সম্পূর্ণ আলাদা প্রোফাইল তৈরি করুন (যেমন: Work, Gaming, Personal)।
  • কারিগরি সুবিধা: প্রতিটি প্রোফাইলের এক্সটেনশন ডিরেক্টরি, ক্যাশ ফাইল এবং সেভ করা সেশন সম্পূর্ণ আলাদা কন্টেইনারে লক থাকে। এর ফলে আপনার পার্সোনাল প্রোফাইলে কোনো ক্ষতিকারক এক্সটেনশন ভুলবশত ঢুকে পড়লেও, তা আপনার কাজের প্রোফাইলের সোর্স কোড বা সেনসিটিভ ডেটাবেজ ক্রেডেনশিয়াল স্পর্শ করতে পারবে না।

💡 আইটি প্রফেশনাল ও ডেভলপারদের জন্য সিএসই ইঞ্জিনিয়ার্স প্রো-টিপ

আপনি যদি আপনার পিসিতে প্রফেশনাল গ্রাফিক্স ডিজাইনিং, কাস্টম পাইথন কোডিং, নেটওয়ার্ক অটোমেশনের জন্য ব্যাচ ফাইল স্ক্রিপ্টিং কিংবা MERN স্ট্যাক ওয়েব ডেভলপমেন্টের কাজ করেন, তবে ব্রাউজারে পাসওয়ার্ড বা এপিআই কি সেভ করার ক্ষেত্রে সর্বোচ্চ সতর্ক থাকুন।

কারিগরি সত্য: ৯৯% ইনফো-স্টিলার ম্যালওয়্যার বা ব্রোকেন এক্সটেনশনের মূল লক্ষ্য থাকে ব্রাউজারের লোকাল স্টোরেজে থাকা Login Data ফাইলটি হাইজ্যাক করা। আমাদের পূর্ববর্তী চ্যাপ্টারের নিয়ম অনুযায়ী ব্রাউজারের ডিফল্ট পাসওয়ার্ড ম্যানেজারের পরিবর্তে সর্বদা একটি জিরো-নলেজ আর্কিটেকচার সমর্থিত ডেডিকেটেড পাসওয়ার্ড ম্যানেজার ব্যবহার করবেন। এছাড়া আপনার সমস্ত গুরুত্বপূর্ণ একাউন্টে অথেন্টিকেটর অ্যাপ প্রটোকল ব্যবহার করে ২এফএ (2FA) লক সচল রাখুন, যেন কোনো এক্সটেনশন পাসওয়ার্ড স্নাইপ করলেও ওটিপি ছাড়া আপনার একাউন্টে হুক করতে না পারে।

⚠️ সিস্টেম পারফরম্যান্স ও জিপিইউ বোতলনেক সতর্কতা

আপনার পিসিতে যদি শক্তিশালী NVIDIA GeForce RTX 5060 গ্রাফিক্স কার্ড এবং উচ্চগতির Samsung 990 Pro NVMe M.2 SSD-এর মতো হাই-এন্ড হার্ডওয়্যার থাকে, তবে ব্যাকগ্রাউন্ডে অপ্রয়োজনীয় বা ভারী এক্সটেনশন চালু রাখলে তা মারাত্মক ভিজ্যুয়াল জ্যাম তৈরি করতে পারে।

কারিগরি ব্যাখ্যা: অনেক ক্রিপ্টো-মাইনিং বা বিজ্ঞাপনের হিডেন এক্সটেনশন ব্যাকগ্রাউন্ডে আপনার গ্রাফিক্স কার্ডের VRAM এবং প্রসেসরের পাওয়ার চুষে নেয়। এর ফলে ওবিএস স্টুডিও (OBS Studio) দিয়ে ৪কে ভিডিও প্রসেস বা গেমপ্লে রেকর্ড করার সময় কিংবা ভিডিও এডিটিং টাইমলাইনে মারাত্মক ফ্রেম ড্রপ বা ল্যাগ দেখা দেয়। তাই ব্রাউজারে ৩ থেকে ৫টির বেশি প্রফেশনাল ভেরিফাইড এক্সটেনশন না রাখা এবং কাজ শেষে এক্সটেনশন অডিট ক্লিন রাখা সবচেয়ে বেস্ট প্রফেশনাল নিয়ম।

ডিজিটাল নিরাপত্তা এবং ম্যালওয়্যার ফ্রি ক্লিন অপারেটিং সিস্টেম প্রফেশনাল কাজের পারফরম্যান্স সর্বোচ্চ স্তরে ধরে রাখার মূল চাবিকাঠি। আপনাদের আইটি সেন্টারের যেকোনো গুরুত্বপূর্ণ প্রজেক্টের ফাইল সিকিউরিটি লক, ব্রাউজার অপ্টিমাইজেশন, উইন্ডোজ সিকিউরিটি বুস্টিং, নেটওয়ার্ক প্রটোকল কনফিগারেশন, কিংবা যেকোনো প্রফেশনাল সিস্টেম অ্যাডমিনিস্ট্রেশন ও আইটি সলিউশনের জন্য আপনারা সরাসরি আমাদের Dinajpur IT Park-এ যোগাযোগ করতে পারেন।

Leave a Reply