Chrome Web Store 里面的五星级截图插件有流氓行为

2015-03-19 11:16:47 +08:00
 ilancelot

插件名字叫做:Awesome Screenshot

做个小实验:
访问了一下羞羞哒网站,然后会多出这个POST请求:

Request URL: https://s821.crdui.com/related
Request Method: POST
Status Code: 200
Form Data:
Y3owNE1qRW1iV1E5TWpFbWNHbGtQVnBVWWt4YU5qbFNNbm8zTlhsQ2RTWnpaWE56UFRZMk1qSTNNRGc1TURBNE16RTJOREF3TUNaeFBXaDBkSEFsTTBFbE1rWWxNa1owTmpaNUxtTnZiU1V5Umlad2NtVjJQU1pzYVc1clBUQW1jM1ZpUFdOb2NtOXRaU1pvY21WbVpYSmxjajBtZEcxMlBUTXdNRGd1TUE9PQ==

Form Data经两次Base64解密后:
s=821&md=21&pid=ZTbLZ69R2z75yBu&sess=662270890083164000&q=http%3A%2F%2Ft66y.com%2F&prev=&link=0&sub=chrome&hreferer=&tmv=3008.0

然后看了一下来源,是这个截图插件,
Google一下crdui.com,果然也有类似情况。

所以感觉挺流氓的...在Chrome Web Store里有很多好评的插件,竟然偷偷的做龌蹉事情。

在安装插件的话会提示你权限,其中有一条是
"Read and Change all your data on the websites you visit"
不知道是不是还会劫持流量..
希望朋友们注意一下自己Chrome里的插件,说不定潜藏着小流氓呢 (:з」∠)

嘿嘿,详细的过程在这里:
http://www.jianshu.com/p/cff86d9bd045

4947 次点击
所在节点    Chrome
18 条回复
lingaoyi
2015-03-19 11:19:49 +08:00
我也觉得Chrome很多插件不安全。
seki
2015-03-19 11:28:29 +08:00
的确 chrome 也应该细分一下权限了,至少不是访问所有网站上的所有数据这种坑爹的不是 0 就是 1 的选择法
ctsed
2015-03-19 11:30:10 +08:00
http://bbs.kafan.cn/thread-1693616-1-1.html
phoeagon
2015-03-19 12:16:11 +08:00
https://gist.github.com/mvirkkunen/89f61a06819530e48b53 Old news
xinhugo
2015-03-19 12:16:39 +08:00
扩展、插件,怎么这么多人分不清。
lsmgeb89
2015-03-19 12:24:54 +08:00
尼玛,这个插件原来也用过。
ynyounuo
2015-03-19 12:30:57 +08:00
虽然很讨厌,但这并不是偷偷摸摸的
lihua
2015-03-19 12:31:21 +08:00
我在 firefox 上用他们家的 diigo ……
lemonda
2015-03-19 12:53:00 +08:00
感谢提醒!
以前我看到 crdui 总以为是 Google 在通过浏览器收集数据,就没仔细看,刚才查看这个插件都提示被破坏了居然还在收集,立马删掉了。
sodatea
2015-03-19 13:19:41 +08:00
关于 Awesome Screenshot 的流氓行为:1. 在 Google 搜索结果中加入 Amazon 的商品链接 http://arpitnext.com/chrome-extension-awesome-screenshot/ (通过评论可以看到,作者在道歉后,新版里又加了其他的广告脚本);2. 私自上传用户浏览器历史记录(4L 贴的那个 gist),这个被我碰到过然后被我举报下架了,然后第二天去掉流氓代码又上架了。

这个扩展干这种龌龊事也不是一天两天了,也不知道有什么好的办法,只能见一次举报一次。我自己反正已经找了其他替代品了。
DaPanda
2015-03-19 13:24:42 +08:00
@sodatea 代替品能否分享下
sneezry
2015-03-19 13:29:24 +08:00
作为扩展开发者,反对替用户做决定的行为,如果出现了搜集数据或者返利行为,应该在明确得到用户选择结果之后依据用户要求工作。关于获取全部网络数据权限的问题,Chrome一开始就可以细分权限,但是对于截图这样的扩展确实需要读取全部数据的权限,因为不能告诉用户我只能在这个网站的页面进行截图。我开发的身份验证器就请求了读取全部网络数据的权限,有用户发出了质疑,但如果不请求这个权限,扩展没办法在页面中读取二维码添加账户,而实际上我请求的权限是active tab,不是all url,但是显示的权限就都是读取全部数据。最后发个牢骚,扩展开发者很少能直接从用户手上拿到钱,捐款除外。所以目前扩展开发者要么偷偷搞个返利链接,要么放一个捐款按钮。捐款按钮我放过,Chrome扩展的QQ客户端,两年收到56,玉树那次我全捐了。返利想过一下,但最终没有去做。目前我写的扩展用了4个月积累了12000用户,写这个扩展是自己需要,给自己用的,所以我不会从中获利,也不想获利,每天看着增长的数据量就挺高兴,另外我是学生,没有经济压力。从Chrome Web Store页面的流量统计上看,有证据表明这个扩展已经被ebay在内部推荐使用,这给了我更大的动力,所以最近为了加强安全性,我添加了aes加密。说这么多我想告诉大家的是,像我这样单纯靠兴趣一直坚持玩下来的开发者不多,他们大多数有经济上的压力,所以在开发者包容你们不花钱使用软件还时不时吐槽的用户时,作为用户能不能也包容下像楼主提到的那样还是有良知(毕竟允许用户选择)的开发者呢。
DearTanker
2015-03-19 14:13:20 +08:00
@sneezry 希望看到你更多屌炸天的作品
yanwen
2015-03-19 15:51:48 +08:00
firefox 不知道有没有这个问题呢??
meteor
2015-03-19 15:55:11 +08:00
@ilancelot 关闭那个选项还是在跟踪...
honeycomb
2015-03-19 16:10:46 +08:00
Google提供了一个很好的工具供检查扩展程序以及应用做了什么事情

Chrome Apps & Extensions Developer Tool

https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc
sodatea
2015-03-20 13:54:12 +08:00
@DaPanda 我用的 Webpage Screenshot https://chrome.google.com/webstore/detail/webpage-screenshot/ckibcdccnfeookdmbahgiakhnjcddpki/ 界面丑一点功能差不多,记得在 Options -> Advanced 中去掉 Enable anonymous usage statistics 的勾选。
cnkiller
2015-03-21 09:40:17 +08:00
@yanwen firefox 也有,不过最多的是劫持你的搜索、返利(tb,jd等),目前我暂时没有看到收集用户信息的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/177954

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX