这是一个创建于 3536 天前的主题,其中的信息可能已经有所发展或是发生改变。
插件名字叫做:Awesome Screenshot
做个小实验:
访问了一下羞羞哒网站,然后会多出这个POST请求:
Request URL: https://s821.crdui.com/related
Request Method: POST
Status Code: 200
Form Data:
Y3owNE1qRW1iV1E5TWpFbWNHbGtQVnBVWWt4YU5qbFNNbm8zTlhsQ2RTWnpaWE56UFRZMk1qSTNNRGc1TURBNE16RTJOREF3TUNaeFBXaDBkSEFsTTBFbE1rWWxNa1owTmpaNUxtTnZiU1V5Umlad2NtVjJQU1pzYVc1clBUQW1jM1ZpUFdOb2NtOXRaU1pvY21WbVpYSmxjajBtZEcxMlBUTXdNRGd1TUE9PQ==
Form Data经两次Base64解密后:
s=821&md=21&pid=ZTbLZ69R2z75yBu&sess=662270890083164000&q=http%3A%2F%2Ft66y.com%2F&prev=&link=0&sub=chrome&hreferer=&tmv=3008.0
然后看了一下来源,是这个截图插件,
Google一下crdui.com,果然也有类似情况。
所以感觉挺流氓的...在Chrome Web Store里有很多好评的插件,竟然偷偷的做龌蹉事情。
在安装插件的话会提示你权限,其中有一条是
"Read and Change all your data on the websites you visit"
不知道是不是还会劫持流量..
希望朋友们注意一下自己Chrome里的插件,说不定潜藏着小流氓呢 (:з」∠)
嘿嘿,详细的过程在这里:
http://www.jianshu.com/p/cff86d9bd045
第 1 条附言 · 2015-03-19 12:51:55 +08:00
感谢@xinhugo的指点,这里的“插件”(在Chrome Web Store里似乎叫"Apps")应该改成“扩展”(Extensions).搜索了一下,与Firefox有关的解释:Extensions are small add-ons that add new functionality to your Mozilla program. Plugins are programs that allow websites to provide content to you and have it appear in your browser. 涨姿势了。
这里的Awesome Screenshot我指的是“扩展”,然后看到Chrome Web Store里也有“Awesome Screenshot App”,还没试过。
感谢@ynyounuo,在设置里找到了这个选项,“Enable non-personal,anonymous usage statistics”关了之后就不会发送数据了 。(还算比较有良心的插件哈)
的确是有点老的东西了,一开始发现的时候比较诧异,后来想想收集这些匿名数据也不算事太流氓哈。
@ctsed (3L) 给出的那两个插件感觉更变态点...
这里的Awesome Screenshot我指的是“扩展”,然后看到Chrome Web Store里也有“Awesome Screenshot App”,还没试过。
感谢@ynyounuo,在设置里找到了这个选项,“Enable non-personal,anonymous usage statistics”关了之后就不会发送数据了 。(还算比较有良心的插件哈)
的确是有点老的东西了,一开始发现的时候比较诧异,后来想想收集这些匿名数据也不算事太流氓哈。
@ctsed (3L) 给出的那两个插件感觉更变态点...
 |
1
lingaoyi 2015-03-19 11:19:49 +08:00  1
我也觉得Chrome很多插件不安全。
|
 |
2
seki 2015-03-19 11:28:29 +08:00 1
的确 chrome 也应该细分一下权限了,至少不是访问所有网站上的所有数据这种坑爹的不是 0 就是 1 的选择法
|
 |
3
ctsed 2015-03-19 11:30:10 +08:00 2
|
 |
4
phoeagon 2015-03-19 12:16:11 +08:00 1
|
 |
5
xinhugo 2015-03-19 12:16:39 +08:00 2
扩展、插件,怎么这么多人分不清。
|
 |
6
lsmgeb89 2015-03-19 12:24:54 +08:00 1
尼玛,这个插件原来也用过。
|
 |
7
ynyounuo 2015-03-19 12:30:57 +08:00 1
虽然很讨厌,但这并不是偷偷摸摸的
 |
 |
8
lihua 2015-03-19 12:31:21 +08:00 1
我在 firefox 上用他们家的 diigo ……
|
 |
9
lemonda 2015-03-19 12:53:00 +08:00
感谢提醒!
以前我看到 crdui 总以为是 Google 在通过浏览器收集数据,就没仔细看,刚才查看这个插件都提示被破坏了居然还在收集,立马删掉了。 |
 |
10
sodatea 2015-03-19 13:19:41 +08:00
关于 Awesome Screenshot 的流氓行为:1. 在 Google 搜索结果中加入 Amazon 的商品链接 http://arpitnext.com/chrome-extension-awesome-screenshot/ (通过评论可以看到,作者在道歉后,新版里又加了其他的广告脚本);2. 私自上传用户浏览器历史记录(4L 贴的那个 gist),这个被我碰到过然后被我举报下架了,然后第二天去掉流氓代码又上架了。
这个扩展干这种龌龊事也不是一天两天了,也不知道有什么好的办法,只能见一次举报一次。我自己反正已经找了其他替代品了。 |
 |
12
sneezry 2015-03-19 13:29:24 +08:00 via iPad 4
作为扩展开发者,反对替用户做决定的行为,如果出现了搜集数据或者返利行为,应该在明确得到用户选择结果之后依据用户要求工作。关于获取全部网络数据权限的问题,Chrome一开始就可以细分权限,但是对于截图这样的扩展确实需要读取全部数据的权限,因为不能告诉用户我只能在这个网站的页面进行截图。我开发的身份验证器就请求了读取全部网络数据的权限,有用户发出了质疑,但如果不请求这个权限,扩展没办法在页面中读取二维码添加账户,而实际上我请求的权限是active tab,不是all url,但是显示的权限就都是读取全部数据。最后发个牢骚,扩展开发者很少能直接从用户手上拿到钱,捐款除外。所以目前扩展开发者要么偷偷搞个返利链接,要么放一个捐款按钮。捐款按钮我放过,Chrome扩展的QQ客户端,两年收到56,玉树那次我全捐了。返利想过一下,但最终没有去做。目前我写的扩展用了4个月积累了12000用户,写这个扩展是自己需要,给自己用的,所以我不会从中获利,也不想获利,每天看着增长的数据量就挺高兴,另外我是学生,没有经济压力。从Chrome Web Store页面的流量统计上看,有证据表明这个扩展已经被ebay在内部推荐使用,这给了我更大的动力,所以最近为了加强安全性,我添加了aes加密。说这么多我想告诉大家的是,像我这样单纯靠兴趣一直坚持玩下来的开发者不多,他们大多数有经济上的压力,所以在开发者包容你们不花钱使用软件还时不时吐槽的用户时,作为用户能不能也包容下像楼主提到的那样还是有良知(毕竟允许用户选择)的开发者呢。
|
 |
13
DearTanker 2015-03-19 14:13:20 +08:00
@sneezry 希望看到你更多屌炸天的作品
|
 |
14
yanwen 2015-03-19 15:51:48 +08:00
firefox 不知道有没有这个问题呢??
|
 |
16
honeycomb 2015-03-19 16:10:46 +08:00 1
Google提供了一个很好的工具供检查扩展程序以及应用做了什么事情
Chrome Apps & Extensions Developer Tool https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc |
|
17
sodatea 2015-03-20 13:54:12 +08:00 1
@DaPanda 我用的 Webpage Screenshot https://chrome.google.com/webstore/detail/webpage-screenshot/ckibcdccnfeookdmbahgiakhnjcddpki/ 界面丑一点功能差不多,记得在 Options -> Advanced 中去掉 Enable anonymous usage statistics 的勾选。
|
Select Language