国产浏览器是否能感知到用户访问的页面内容?或者以隐蔽的方式植入证书?

189 天前
 WarlockMan
起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,

我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:

得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:

明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文

虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。

我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。

这在理论上是可能得吗?

当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?

只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
3629 次点击
所在节点    浏览器
33 条回复
cheng6563
189 天前
这不是必有的吗
chaoschick
189 天前
不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥
renmu
189 天前
浏览器插件都能随便看记录,更别提浏览器了
IvanLi127
189 天前
可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。
busier
189 天前
Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易!
nnikolaatteslaa
189 天前
国产浏览器都可以得知访问的网页内容

国产浏览器应用都会有一个自带的证书
nnikolaatteslaa
189 天前
国产浏览器都会敏感词库
gentrydeng
189 天前
Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。

这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。

还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。

这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。

那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情?

当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。
Conantv2
189 天前
1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。

2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。
jeesk
189 天前
google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有?
YaD2x
189 天前
别提浏览器了 国内啥软件不知到你干啥了
Stoney
189 天前
用国产即裸奔
cccer
189 天前
加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。
浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。
dodakt
189 天前
没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用
ysq
189 天前
IP 地址关联,MAC 关联
bl4ckoooooH4t
189 天前
肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。
NessajCN
189 天前
就事论事仅对于定向个性化广告来说
广告商其实并不需要知道你搜了什么内容
他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例:
(function 定制广告(){
const "关键字" = 获取剪贴板();
显示广告("关键字");
})()
上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等,
调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能
而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告
仅仅是向根据关键字向你推送了广告
nothingistrue
189 天前
不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗?
InDom
189 天前
甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。
janus77
189 天前
这东西跟国产不国产没关系,任何浏览器都可以的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1000437

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX