Chrome (大概知名的)扩展 ModHeader 存在(大概算是)恶意的行为

2020-11-02 23:48:27 +08:00
 boboliu

对,就是那个改 header 的扩展

详情: https://blog.berd.moe/archives/chrome-malware-extension-modheader/

TL;DR: 你会后台被加入一个 p2p 网络,被用作代理

6806 次点击
所在节点    程序员
28 条回复
lp10
2020-11-03 11:26:41 +08:00
@FENGberd 还有山寨插件被原主举报也举报不掉的情况。Chrome 插件商店基本上就是群魔乱舞的状态
Jirajine
2020-11-03 14:08:22 +08:00
换 firefox,常用的扩展都有 mozilla 的人工审核(带 Recommended 标志),像这样的 https://addons.mozilla.org/en-US/firefox/addon/user-agent-string-switcher
其他的扩展要注意权限,只是对某个网站生效的(仅访问某些特定域名)一般问题不大,对于需要访问全局数据的,尽量手动 review 代码,凡是加过混淆压缩的都要警惕。
你也可以提交认为的某些优质插件到 amo-featured [at] mozilla [dot] org 。
Jirajine
2020-11-03 14:14:00 +08:00
另外可以收集一些提供集成到扩展中的服务提供商(如这里的 infatica ),通过它们的特征自动扫描,类似广告联盟一样,一般个人开发者要获得收入只能用这些,能挡下大部分。
shuangya
2020-11-03 14:39:23 +08:00
小广告一波,Header Editor 可以放心用,我是作者,我自己也用,手动滑稽。
Rhilip
2020-11-03 16:38:11 +08:00
除了扩展更新可能被插入恶意代码外,目前审核机制导致我们正常插件(开源)也通不过审核,无法在商店上架。
也挺是搞笑的。用户被迫使用开发者模式,或者添加托管。
FENGberd
2020-11-03 17:02:02 +08:00
@Rhilip 请问这里的 “添加托管” 是指什么?是在组策略中加上插件 ID 的白名单然后安装 crx 这个操作么
如果我没记错,至少在 v7x 的某几个版本加安装白名单是无效的... 但可以通过在拓展管理页面现场打包和安装成功装上 crx 拓展 (现在这个方法又不行了)
AmItheRobot
2020-11-04 09:05:47 +08:00
@shuangya #24 老大这个问题有解决的建议吗? https://www.v2ex.com/t/718318
chrome 不支持 originUrl,requestHeaders 又只能在响应时触发,感觉好无解
AmItheRobot
2020-11-04 09:09:08 +08:00
@Rhilip #25 一个帖子抓到两只我用的扩展的作者,幸会。用文件夹的方式装扩展实在太丑陋了,用户也很难受,还没法自动更新……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/721189

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX