V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
ilancelot
V2EX  ›  Chrome

Chrome Web Store 里面的五星级截图插件有流氓行为

  •  2
     
  •   ilancelot · 2015-03-19 11:16:47 +08:00 · 5129 次点击
    这是一个创建于 3556 天前的主题,其中的信息可能已经有所发展或是发生改变。

    插件名字叫做:Awesome Screenshot

    做个小实验:
    访问了一下羞羞哒网站,然后会多出这个POST请求:


    Request URL: https://s821.crdui.com/related
    Request Method: POST
    Status Code: 200
    Form Data:
    Y3owNE1qRW1iV1E5TWpFbWNHbGtQVnBVWWt4YU5qbFNNbm8zTlhsQ2RTWnpaWE56UFRZMk1qSTNNRGc1TURBNE16RTJOREF3TUNaeFBXaDBkSEFsTTBFbE1rWWxNa1owTmpaNUxtTnZiU1V5Umlad2NtVjJQU1pzYVc1clBUQW1jM1ZpUFdOb2NtOXRaU1pvY21WbVpYSmxjajBtZEcxMlBUTXdNRGd1TUE9PQ==

    Form Data经两次Base64解密后:
    s=821&md=21&pid=ZTbLZ69R2z75yBu&sess=662270890083164000&q=http%3A%2F%2Ft66y.com%2F&prev=&link=0&sub=chrome&hreferer=&tmv=3008.0

    然后看了一下来源,是这个截图插件,
    Google一下crdui.com,果然也有类似情况。


    所以感觉挺流氓的...在Chrome Web Store里有很多好评的插件,竟然偷偷的做龌蹉事情。

    在安装插件的话会提示你权限,其中有一条是
    "Read and Change all your data on the websites you visit"
    不知道是不是还会劫持流量..
    希望朋友们注意一下自己Chrome里的插件,说不定潜藏着小流氓呢 (:з」∠)

    嘿嘿,详细的过程在这里:
    http://www.jianshu.com/p/cff86d9bd045

    第 1 条附言  ·  2015-03-19 12:51:55 +08:00
    感谢@xinhugo的指点,这里的“插件”(在Chrome Web Store里似乎叫"Apps")应该改成“扩展”(Extensions).搜索了一下,与Firefox有关的解释:Extensions are small add-ons that add new functionality to your Mozilla program. Plugins are programs that allow websites to provide content to you and have it appear in your browser. 涨姿势了。

    这里的Awesome Screenshot我指的是“扩展”,然后看到Chrome Web Store里也有“Awesome Screenshot App”,还没试过。

    感谢@ynyounuo,在设置里找到了这个选项,“Enable non-personal,anonymous usage statistics”关了之后就不会发送数据了 。(还算比较有良心的插件哈)

    的确是有点老的东西了,一开始发现的时候比较诧异,后来想想收集这些匿名数据也不算事太流氓哈。
    @ctsed (3L) 给出的那两个插件感觉更变态点...
    18 条回复    2015-03-21 09:40:17 +08:00
    lingaoyi
        1
    lingaoyi  
       2015-03-19 11:19:49 +08:00   ❤️ 1
    我也觉得Chrome很多插件不安全。
    seki
        2
    seki  
       2015-03-19 11:28:29 +08:00   ❤️ 1
    的确 chrome 也应该细分一下权限了,至少不是访问所有网站上的所有数据这种坑爹的不是 0 就是 1 的选择法
    ctsed
        3
    ctsed  
       2015-03-19 11:30:10 +08:00   ❤️ 2
    phoeagon
        4
    phoeagon  
       2015-03-19 12:16:11 +08:00   ❤️ 1
    xinhugo
        5
    xinhugo  
       2015-03-19 12:16:39 +08:00   ❤️ 2
    扩展、插件,怎么这么多人分不清。
    lsmgeb89
        6
    lsmgeb89  
       2015-03-19 12:24:54 +08:00   ❤️ 1
    尼玛,这个插件原来也用过。
    ynyounuo
        7
    ynyounuo  
       2015-03-19 12:30:57 +08:00   ❤️ 1
    虽然很讨厌,但这并不是偷偷摸摸的
    lihua
        8
    lihua  
       2015-03-19 12:31:21 +08:00   ❤️ 1
    我在 firefox 上用他们家的 diigo ……
    lemonda
        9
    lemonda  
       2015-03-19 12:53:00 +08:00
    感谢提醒!
    以前我看到 crdui 总以为是 Google 在通过浏览器收集数据,就没仔细看,刚才查看这个插件都提示被破坏了居然还在收集,立马删掉了。
    sodatea
        10
    sodatea  
       2015-03-19 13:19:41 +08:00
    关于 Awesome Screenshot 的流氓行为:1. 在 Google 搜索结果中加入 Amazon 的商品链接 http://arpitnext.com/chrome-extension-awesome-screenshot/ (通过评论可以看到,作者在道歉后,新版里又加了其他的广告脚本);2. 私自上传用户浏览器历史记录(4L 贴的那个 gist),这个被我碰到过然后被我举报下架了,然后第二天去掉流氓代码又上架了。

    这个扩展干这种龌龊事也不是一天两天了,也不知道有什么好的办法,只能见一次举报一次。我自己反正已经找了其他替代品了。
    DaPanda
        11
    DaPanda  
       2015-03-19 13:24:42 +08:00
    @sodatea 代替品能否分享下
    sneezry
        12
    sneezry  
       2015-03-19 13:29:24 +08:00 via iPad   ❤️ 4
    作为扩展开发者,反对替用户做决定的行为,如果出现了搜集数据或者返利行为,应该在明确得到用户选择结果之后依据用户要求工作。关于获取全部网络数据权限的问题,Chrome一开始就可以细分权限,但是对于截图这样的扩展确实需要读取全部数据的权限,因为不能告诉用户我只能在这个网站的页面进行截图。我开发的身份验证器就请求了读取全部网络数据的权限,有用户发出了质疑,但如果不请求这个权限,扩展没办法在页面中读取二维码添加账户,而实际上我请求的权限是active tab,不是all url,但是显示的权限就都是读取全部数据。最后发个牢骚,扩展开发者很少能直接从用户手上拿到钱,捐款除外。所以目前扩展开发者要么偷偷搞个返利链接,要么放一个捐款按钮。捐款按钮我放过,Chrome扩展的QQ客户端,两年收到56,玉树那次我全捐了。返利想过一下,但最终没有去做。目前我写的扩展用了4个月积累了12000用户,写这个扩展是自己需要,给自己用的,所以我不会从中获利,也不想获利,每天看着增长的数据量就挺高兴,另外我是学生,没有经济压力。从Chrome Web Store页面的流量统计上看,有证据表明这个扩展已经被ebay在内部推荐使用,这给了我更大的动力,所以最近为了加强安全性,我添加了aes加密。说这么多我想告诉大家的是,像我这样单纯靠兴趣一直坚持玩下来的开发者不多,他们大多数有经济上的压力,所以在开发者包容你们不花钱使用软件还时不时吐槽的用户时,作为用户能不能也包容下像楼主提到的那样还是有良知(毕竟允许用户选择)的开发者呢。
    DearTanker
        13
    DearTanker  
       2015-03-19 14:13:20 +08:00
    @sneezry 希望看到你更多屌炸天的作品
    yanwen
        14
    yanwen  
       2015-03-19 15:51:48 +08:00
    firefox 不知道有没有这个问题呢??
    meteor
        15
    meteor  
       2015-03-19 15:55:11 +08:00
    @ilancelot 关闭那个选项还是在跟踪...
    honeycomb
        16
    honeycomb  
       2015-03-19 16:10:46 +08:00   ❤️ 1
    Google提供了一个很好的工具供检查扩展程序以及应用做了什么事情

    Chrome Apps & Extensions Developer Tool

    https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc
    sodatea
        17
    sodatea  
       2015-03-20 13:54:12 +08:00   ❤️ 1
    @DaPanda 我用的 Webpage Screenshot https://chrome.google.com/webstore/detail/webpage-screenshot/ckibcdccnfeookdmbahgiakhnjcddpki/ 界面丑一点功能差不多,记得在 Options -> Advanced 中去掉 Enable anonymous usage statistics 的勾选。
    cnkiller
        18
    cnkiller  
       2015-03-21 09:40:17 +08:00
    @yanwen firefox 也有,不过最多的是劫持你的搜索、返利(tb,jd等),目前我暂时没有看到收集用户信息的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1009 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:40 · PVG 02:40 · LAX 10:40 · JFK 13:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.