🚨《谁在用你的 cookie?》

203 天前
 shaun0

🚨 [别让“扩展程序”偷走你的 Cookie 🍪] 🚨 ——《谁在用 cookie ?》

昨天看到币圈被盗 100 万美金的帖子: https://x.com/CryptoNakamao/status/1797519128632381847 , 迅速撸了一个检测 cookie 权限的插件😂——WhoUsesCookies ,显示谁在访问您的 cookies ,并一键禁用。 代码已开源,请放心食用: https://github.com/sshallow/WhoUsesCookies/releases/tag/product

3274 次点击
所在节点    程序员
21 条回复
aikilan
203 天前
这很插件
NICEghost
203 天前
很棒👍
kneo
203 天前
cookies 有没有具体的域名权限?比如 notion 插件应该只需要几个域名下的 cookie 吧?
hafuhafu
203 天前
突然感觉目前最容易作恶的好像还真是浏览器插件。
各种后门木马反而不容易中招,而有的浏览器插件突然就一声不吭的卖掉了...挺难审查的。
shaun0
203 天前
@kneo 有,稍晚点加一个作用的域名显示
kneo
203 天前
@shaun0 好的,这个会非常有用。如果一个插件要读全局的 cookie 基本上可以卸载了。
twofox
203 天前
牛的,start 了
twofox
203 天前
@twofox 多了个字母。。请忽略
thinkm
203 天前
求个编译好能直接安装的
Rrrrrr
203 天前
有油猴脚本吗,插件不想用
Jack66
203 天前
本身自己就不安全,更不安全去解决不安全。
hlwjia
203 天前
我觉得插件安装了之后几乎没有任何安全可言,特别是他的功能就得需要那么都权限,比如剪存类的,你必须给他所有网站的读取。

而且插件更新应该是不需要同意的吧。我可以开源一份,然后市场上上架另一份,看上去好像很靠谱,其实不然。

除非自己从开源安装。
hlwjia
203 天前
@hlwjia #12 我没有特指楼主,只是表达“插件”这个产品的问题
kneo
203 天前
@hlwjia 一点没错。我的建议就是少装。没必要的不装。
agdhole
202 天前
DOLLOR
202 天前
@Rrrrrr
打开
chrome://extensions-internals/
搜 permissions 带 cookies 的就行了
TUNGH
202 天前
厉害👍
pckillers
202 天前
我并不是抬杠哈,那么怎么保证楼主的插件不带恶意脚本呢?😅
cherryas
202 天前
@pckillers 很简单,即用即删。
shaun0
202 天前
@pckillers
好问题!

如何保证这个检测插件不会盗取 cookie ?

插件获取 cookie 的前提,需要设置 cookie 权限字段才能获取 cookie 。首先,此插件代码 100%开源,可直接查看源代码来检查本插件的权限。其次,也可手动查看插件的在 macOS 上的实际文件夹路径,查看 mainfest 检查真实的权限字段。非常容易验证。这是手动检查权限的方法,以供参考:https://github.com/sshallow/WhoUsesCookies

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1047062

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX