Chrome 插件 Nano Adblocker 被爆安全隐患, 该如何保护自己的浏览器?

我最早接触到 Nano Adblocker 是因为他的子插件 Defender, 因为可以绕过各种提示你关闭 adblock 才可以浏览内容的网站检测.

Nano Adblocker 的作者两周前把 Chrome WebStore 版本的账号卖给了新开发者, 之后被人发现商店版插件多了可疑代码. 今天更是爆出很多人的 Instagram 莫名出现点赞. 下面有不少讨论记录.

https://www.ghacks.net/2020/10/16/time-to-remove-nano-adblocker-and-defender-from-your-browsers-except-firefox/
https://github.com/jspenguin2017/Snippets/issues/2
https://github.com/NanoAdblocker/NanoCore/issues/362

----
我的问题是,

Chrome 官方 Store 安装的插件能获得用户多少信息? 非官方方式安装的插件呢?
现在那么多人使用密码管理插件, 这些官方 /非官方的插件是否有办法窃取用户的密码库?

P.S. 之所以这么关注密码库的问题, 是我之前的 Google 账号被人登陆, Chrome 中保存的密码被人提取... 改密码改到头大!

n1dragon

2020-10-20 06:37:28 +08:00

插件基本上能访问所有 DOM，你的所有浏览记录，但应该不能直接访问到其他插件的内部环境，比如密码库。但它理论上可以监控用户在网页中输入或自动填充的所有记录，包括密码。

所以这种浏览器插件一定要选最信任的公司。

Fatenana

2020-10-20 09:12:59 +08:00

谢谢这贴的提醒，
当年把所有浏览器换成 nano 没想到是这个结局
chrome 商店是个很大的隐患，以前有个有名的扩展记得图片相关的，后来会偷偷传你历史记录之类到他服务器，google 移除了但还一直留在我的 cent 浏览器里每天上传，要不是我有天没事观察了下 clash 日志，不知道还要被上传多久

whileFalse

2020-10-20 09:21:31 +08:00

感谢提醒。尽量使用商业化的扩展吧。刚把扩展捋了一遍，禁用了好几个用得少又没有商业化的扩展。话说回来，商业化的扩展也没有用的少的，毕竟没啥用的我也不会付费，公司也不会开发它。

zypatroon

2020-10-20 10:33:41 +08:00

@Cielsky @ungrown
说回到 ublock 我也进行了考古, 这两个插件真是一脉相承,

ublock 原作者也是把代码交给了其他人继续维护, 结果新人开始索要捐款和加入 adblock 的付费广告商白名单计划, 于是原作者又开始更新并且改名加了 origin. github 和 wiki 都记录了撕逼经历...

nano 原作者也自称维护太累, 卖了代码捅了这么大篓子...

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/716543

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.