大多數防病毒程式，或者他們自稱的“安全套件”，都希望你安裝他們的瀏覽器擴充套件。他們承諾這些工具欄將有助於保持你的安全上網，但他們通常只是為了讓公司賺些錢。更糟糕的是，這些擴充套件通常非常容易受到攻擊。

許多防病毒工具欄充其量只是改名為Ask工具欄擴充套件。他們新增一個工具欄，改變你的搜尋引擎，給你一個新的主頁。他們可能會把它標榜為一個“安全”的搜尋引擎，但這其實只是為了讓防毒公司賺錢。但在某些情況下，他們所做的不止這些，有時還會帶來意想不到的後果。

示例1:avg web tuneup破壞了chrome的安全性

相關：小心：免費防毒軟體已經不是真正免費的了

安裝AVG antivirus時會安裝“AVG Web TuneUP”。根據Chrome網路商店的資料，它擁有近1000萬用戶。AVG官方對這一擴充套件的描述稱，它將“警告你不安全的搜尋結果”

早在去年12月，谷歌**的安全研究員塔維斯·奧曼迪（Tavis Ormandy）就發現，在安裝Chrome時，該擴充套件為Chrome添加了大量新的JavaScript API，“很多API都壞了”。除了將你的整個瀏覽歷史暴露給你訪問的任何網站之外，該擴充套件還為網站提供了許多安全漏洞在安裝了擴充套件的任何計算機上輕鬆執行任意程式碼。

“我擔心的是，你的安全軟體正在禁用900萬Chrome使用者的網路安全，顯然是為了讓你可以劫持搜尋設定和新的標籤頁，”他在寫給AVG的信中說，“我希望你清楚這個問題的嚴重性，修復它應該是你的最高優先事項。”

四天後報告，平均有一個補丁。正如Ormandy所寫：“AVG提交了一個帶有“補丁”的擴充套件，但是這個補丁顯然是不正確的。”他必須提供如何修復這個缺陷的說明，AVG在一天後釋出了一個更新的補丁。修復程式將功能限制在兩個特定的AVG域上，但是，正如Ormandy所指出的，這些域上的網站有自己的缺陷，這些缺陷會讓使用者受到攻擊。

AVG不僅推出了一款瀏覽器擴充套件，其程式碼明顯破損、劣質、不安全，而且AVG的開發人員甚至無法在沒有Google安全研究員的情況下解決這個問題。希望瀏覽器擴充套件是由另一個團隊開發的，真正的專家正在研究防病毒軟體本身——但這是一個很好的例子，說明了這些防病毒瀏覽器擴充套件是如何從無用變成有害的。

示例2:mcafee和norton認為microsoft edge不安全（因為它不支援他們的附加元件）

如果您一直在關注MicrosoftEdge for Windows10的開發，您就會知道它應該是一款比InternetExplorer更安全的web瀏覽器。它在沙盒中執行，放棄了對舊的、不安全的外掛技術（如ActiveX）的支援。它有一個更精簡的程式碼庫和其他各種改進，例如防止“二進位制注入”，即其他程式將程式碼注入Microsoft Edge程序。

然而，McAfee——它甚至預設安裝在許多新的Windows10電腦上——真的不想讓你使用微軟Edge。相反，McAfee建議您使用Internet Explorer，如果您允許，它將有助於從工作列中刪除Edge並將Internet Explorer固定在那裡。這樣你就可以繼續使用McAfee瀏覽器擴充套件了。

即使瀏覽器擴充套件幫助您保持了一點安全性（我們並不真的相信這一點），但隨著Microsoft Edge安全性的提高，您的情況會好得多。諾頓也做了類似的事情，建議你在windows10上使用“支援的瀏覽器”，比如internetexplorer。

值得慶幸的是，微軟Edge不久將支援Chrome風格的瀏覽器擴充套件。當它做到這一點時，McAfee和Norton可以強制邊緣使用者使用瀏覽器擴充套件，並停止將他們重定向到過時的IE。

示例3:avast的線上安全擴充套件曾經包括廣告和跟蹤

相關報道：Avast Antivirus一直在用廣告軟體監視你（直到本週）

這裡有一個我們以前討論過：Avast安裝了一個“Avast！線上安全“瀏覽器擴充套件時，你安裝的主要安全套件，他們後來添加了一個功能命名為“安全價格”的擴充套件在更新。這個功能在預設情況下是啟用的，當你瀏覽時，它會顯示線上購物推薦——換句話說，當你點選它們時，廣告可能會賺很多錢。

為此，它為您分配了一個唯一的跟蹤ID，並將您訪問的每個網頁傳送到與該唯一ID關聯的Avast伺服器。換句話說，Avast跟蹤您的所有網頁瀏覽並使用它顯示廣告。幸運的是，Avast最終將SafePrice從其主瀏覽器擴充套件中刪除。但防毒公司顯然將他們的“安全”擴充套件視為深入瀏覽器並向你展示廣告（或“產品推薦”）的機會，而不僅僅是讓你保持安全的一種方式。

不僅僅是瀏覽器擴充套件：您還應該禁用其他瀏覽器整合

Srsly Avast? If you're gonna mitm chrome's SSL at least get an intern to skim your X.509 parsing before shipping it. pic.twitter.com/1zA1E0qnuo

— Tavis Ormandy (@taviso) September 25, 2015

擴充套件只是問題的一部分。任何形式的瀏覽器整合都可能造成安全漏洞。防病毒程式通常希望監視並檢查您的所有網路流量，但它們通常看不到加密連線中發生的情況，例如您用來訪問電子郵件、銀行或Facebook的連線。畢竟，這就是加密的關鍵所在——保持流量的私密性。為了繞過這一限制，一些防病毒程式有效地執行“中間人”攻擊，以便它們可以監視加密連線上的實際情況。這些工作非常像Superfish，用防病毒軟體自己的證書代替證書。MalwareBytes部落格解釋了avast！的行為。

這個特性通常只是防毒程式本身的一個選項，而不是瀏覽器擴充套件的一部分，但仍然值得討論。例如，Avast的SSL攔截程式碼包含一個容易被惡意伺服器利用的安全漏洞。奧曼迪發現問題後在推特上說：“至少讓實習生在發貨前瀏覽一下你的（程式碼）。”。這是安全公司Avast在將其傳送給使用者之前應該捕獲的漏洞之一。

正如他在以下推文中所說，這種中間人程式碼只是給瀏覽器增加了更多的“攻擊面”，給惡意網站提供了另一種攻擊方式。即使安全程式的開發人員更加小心，篡改瀏覽器的功能也會帶來很大的風險，但不會獲得太多的回報。你的瀏覽器已經包含反惡意軟體和反釣魚功能，像谷歌和必應這樣的搜尋引擎已經試圖識別危險網站，避免把你送到那裡。

你不需要這些功能，所以禁用它們

事情是這樣的：即使排除了上述問題，這些瀏覽器擴充套件仍然是不必要的。

這些防毒產品中的大多數都承諾透過阻止不良網站和識別不良搜尋結果，讓你在網上更安全。但是像谷歌這樣的搜尋引擎已經預設做到了這一點，釣魚和惡意軟體頁面過濾器也內建在谷歌Chrome、Mozilla Firefox和微軟的網頁瀏覽器中。你的瀏覽器可以自己處理。

所以不管你用什麼防毒程式，都不要安裝瀏覽器擴充套件。如果您已經安裝或沒有選擇（許多預設情況下安裝了擴充套件），請訪問web瀏覽器中的“擴充套件”、“載入項”或“外掛”頁，並禁用與安全套件相關的任何擴充套件。如果您的防病毒程式有某種“瀏覽器整合”，破壞了基本SSL加密的工作方式，您可能也應該禁用該功能。

有趣的是，奧曼迪發現了很多不同的防毒程式中存在的各種安全漏洞，他最終推薦了微軟的Windows Defender，聲稱它“不是一個完全的爛攤子”，而且“有一個相當稱職的安全團隊。”雖然Windows Defender肯定有它的缺陷，至少它不會嘗試將自己**到具有這些附加功能的瀏覽器中。

當然，如果您想使用比Windows Defender更強大的防病毒程式，您不需要它的瀏覽器功能來保持安全。因此，如果你下載另一個免費的防病毒程式，一定要禁用它的瀏覽器功能和擴充套件。您的防病毒軟體可以保護您免受惡意檔案的攻擊，您可能下載和攻擊您的web瀏覽器沒有這些整合。