Итак, набор проблем ясен, скрипт может выполняться в фоне, может внедряться на страницу. Остается открытым вопрос, что делать мне как человеку, который ставит себе плагины?
Всегда лучше знать, кого берешь себе. Можно проводить кучу действий над площадками, чтобы выдрать код, а можно (вот же ирония судьбы) установить плагин. Он open source. Github: github.com/Rob--W/crxview…, стор: chrome.google.com/webstore/detai…
Этот плагин будет крайне полезен при установке дополнений. Открыли стор, запустили плагин, посмотрели — насколько здесь все плохо. Например вот так выглядит FastProxy из одной из историй сейчас:
В первых же строках его кода должно закрасться сомнение, что его стоит устанавливать себе на машину.
Он откуда-то удаленно берет конфиг, зачем-то держит все в storage и не факт, что это просто конфиг. Вполне возможно, что это js.