国产浏览器是否能感知到用户访问的页面内容?或者以隐蔽的方式植入证书?

2023-12-14 17:53:35 +08:00
 WarlockMan
起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,

我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:

得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:

明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文

虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。

我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。

这在理论上是可能得吗?

当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?

只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
4191 次点击
所在节点    浏览器
33 条回复
cheng6563
2023-12-14 17:58:46 +08:00
这不是必有的吗
chaoschick
2023-12-14 18:49:45 +08:00
不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥
renmu
2023-12-14 19:05:15 +08:00
浏览器插件都能随便看记录,更别提浏览器了
IvanLi127
2023-12-14 19:06:39 +08:00
可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。
busier
2023-12-14 19:28:40 +08:00
Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易!
nnikolaatteslaa
2023-12-14 20:10:18 +08:00
国产浏览器都可以得知访问的网页内容

国产浏览器应用都会有一个自带的证书
nnikolaatteslaa
2023-12-14 20:12:46 +08:00
国产浏览器都会敏感词库
gentrydeng
2023-12-14 20:31:29 +08:00
Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。

这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。

还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。

这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。

那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情?

当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。
Conantv2
2023-12-14 20:40:47 +08:00
1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。

2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。
jeesk
2023-12-14 23:23:27 +08:00
google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有?
YaD2x
2023-12-15 00:10:41 +08:00
别提浏览器了 国内啥软件不知到你干啥了
Stoney
2023-12-15 08:50:26 +08:00
用国产即裸奔
cccer
2023-12-15 09:04:30 +08:00
加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。
浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。
dodakt
2023-12-15 09:36:45 +08:00
没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用
ysq
2023-12-15 09:43:26 +08:00
IP 地址关联,MAC 关联
bl4ckoooooH4t
2023-12-15 09:51:32 +08:00
肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。
NessajCN
2023-12-15 09:52:50 +08:00
就事论事仅对于定向个性化广告来说
广告商其实并不需要知道你搜了什么内容
他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例:
(function 定制广告(){
const "关键字" = 获取剪贴板();
显示广告("关键字");
})()
上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等,
调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能
而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告
仅仅是向根据关键字向你推送了广告
nothingistrue
2023-12-15 10:01:18 +08:00
不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗?
InDom
2023-12-15 10:03:48 +08:00
甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。
janus77
2023-12-15 10:04:05 +08:00
这东西跟国产不国产没关系,任何浏览器都可以的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1000437

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX