[安全漏洞] 慎用部分划词翻译软件

https://chrome.google.com/webstore/detail/%E5%88%92%E8%AF%8D%E7%BF%BB%E8%AF%91/dmckmhkomggmpalekfadjibdcknieljf
我在用这个, 不知道有没有你说的这个问题.

用的 google 翻译插件。。。

浏览器选中了密码区域的话，应该无法获得密码明文的吧？不太确定。

@rosu 附议
@nosugar 楼主，你有抓包还是如何操作，得出，密码明文被发送到了翻译服务器了么？

不是很懂，等有大神来解答一下。

@rosu 我觉得扩展程序应该可以获取到，事实上 F12 调试工具都能获取到已输入的密码
@yazoox 查看了其源码，Google 翻译和搜狗翻译是 HTTPS
但另一个词根翻译是 HTTP

即便传输过程是安全的，这些内容也不应该被上传至服务器。

@yazoox #4 chrome 扩展 debug，看发送包请求

@Hardrain #5 看看这个教程，或者自己搜索下： https://www.cnblogs.com/sinojelly/archive/2011/01/11/1933213.html
可以用此方法检查下自己安装的扩展程序


@yazoox #4

这难道不是特色吗？点击翻译然后再去传数据，如何做到妙答？

明明是 feature 却被说成漏洞。上面所谓的「敏感信息」与用户身份无法建立任何联系，有什么价值呢？密码一般更不会明文显示。词典服务器每天都会收到成千上万奇怪的请求，包括复制失败把上一次剪贴板内容粘贴上去的肯定也不在少数，不知道你是不是每次在表单中粘贴内容的时候是不是都会再三确认剪贴板内容。

当然，从产品设计角度来说提供一个功能开关来让这一些用户没得喷是个更好的处理方式。

@ys0290 #8
@coolzjy #9
多谢指正，issue 已关闭

特别烦划词翻译，都是通过快捷键调出窗口，然后输入单词进行查询。这样单词还能输入一遍，有助于熟悉。

@coolzjy
与用户身份无法建立任何联系

这句话有待商榷，以搜狗的信息量，不能建立的话可以说水平太次了
如果说「有多少能建立」或者「会否主动建立」还说得过去

我写得扩展也会选中后自动翻译，不过我也觉得这是 feature 不是 bug，对信息如此敏感，就选择操作麻烦一些的扩展就好了，没必要说的好严重的样子。便利与安全本来就不太可能兼顾的很好。

如果我选中 438euveu16eyvdhuwvg 搜狗如果各种分析

~ 发送请求的是哪个人
~ 发送的是 WiFi 密码还是 pornhub 密码
~ 发送的是当前这个人的密码还是他复制别人的密码
~ 这人的密码会不会因为操作失误没有复制全
~ 难道不是密码，而是银行卡号码

最后分析出
我擦，竟然是苍老师的百度盘资源 base64 码，小张呀，替我看会门口，顺便把纸巾给我丢过来

搜狗的服务器看来都不要钱。

哈哈，以上玩笑了，还是感谢楼主对安全的敏感和重视

我的扩展的做法是，只有选中的内容是应用单词（只能识别英文）时，才自动出发翻译，否则，需要用户手动选择翻译。这应该是一种折中的做法，希望划词翻译类应用的作者可以参考一下这个思路。

自己搭建一个 dict 服务器，就解决了

这算比较好的了，怕的是好多扩展后台挖矿，前台弹返利

有顾虑的话可以自己动手写，一个简单的词典用不了 30 行

用本地词典就好了.