未分類
8 10 月 2020

Chrome 插件 Nano Adblocker 被爆安全隐患, 该如何保护自己的浏览器?

Chrome 插件 Nano Adblocker 被爆安全隐患, 该如何保护自己的浏览器?

資深大佬 : zypatroon 3

我最早接触到 Nano Adblocker 是因为他的子插件 Defender, 因为可以绕过各种提示你关闭 adblock 才可以浏览内容的网站检测.

Nano Adblocker 的作者两周前把 Chrome WebStore 版本的账号卖给了新开发者, 之后被人发现商店版插件多了可疑代码. 今天更是爆出很多人的 Instagram 莫名出现点赞. 下面有不少讨论记录.

https://www.ghacks.net/2020/10/16/time-to-remove-nano-adblocker-and-defender-from-your-browsers-except-firefox/
https://github.com/jspenguin2017/Snippets/issues/2
https://github.com/NanoAdblocker/NanoCore/issues/362

—-
我的问题是,

Chrome 官方 Store 安装的插件能获得用户多少信息? 非官方方式安装的插件呢?
现在那么多人使用密码管理插件, 这些官方 /非官方的插件是否有办法窃取用户的密码库?

P.S. 之所以这么关注密码库的问题, 是我之前的 Google 账号被人登陆, Chrome 中保存的密码被人提取… 改密码改到头大!

大佬有話說 (11)

  • 資深大佬 : n1dragon

    插件基本上能访问所有 DOM,你的所有浏览记录,但应该不能直接访问到其他插件的内部环境,比如密码库。但它理论上可以监控用户在网页中输入或自动填充的所有记录,包括密码。

    所以这种浏览器插件一定要选最信任的公司。

  • 資深大佬 : Osk

    加载了扩展的浏览器我从不登陆帐号,手机上火狐除外。

  • 資深大佬 : lxk11153

    Defender 是啥?

  • 資深大佬 : Cielsky

    用了几天,发现这好像是 ublock orgin 的第三方版本,然后我就又回到 ublock orgin 了

  • 資深大佬 : shiji

    曾经喜欢的插件也是被卖,插广告代码,同一套路数。 所以建议插件只装大厂的。

  • 資深大佬 : thefack

    能联网的扩展只用 某去广告 和 Vimium,其它功能用自己写的扩展。就是怕这种事。。

  • 資深大佬 : Fatenana

    谢谢这贴的提醒,
    当年把所有浏览器换成 nano 没想到是这个结局
    chrome 商店是个很大的隐患,以前有个有名的扩展记得图片相关的,后来会偷偷传你历史记录之类到他服务器,google 移除了但还一直留在我的 cent 浏览器里每天上传,要不是我有天没事观察了下 clash 日志,不知道还要被上传多久

  • 資深大佬 : ungrown

    只用 ublock origin
    不管是从靠谱还是性能角度考虑这都是目前唯一首选

  • 資深大佬 : shiji

    https://v2ex.com/t/316952
    这是我 16 年发的。同样的套路

  • 資深大佬 : whileFalse

    感谢提醒。尽量使用商业化的扩展吧。刚把扩展捋了一遍,禁用了好几个用得少又没有商业化的扩展。话说回来,商业化的扩展也没有用的少的,毕竟没啥用的我也不会付费,公司也不会开发它。

  • 資深大佬 : zypatroon

    @Cielsky @ungrown
    说回到 ublock 我也进行了考古, 这两个插件真是一脉相承,

    ublock 原作者也是把代码交给了其他人继续维护, 结果新人开始索要捐款和加入 adblock 的付费广告商白名单计划, 于是原作者又开始更新并且改名加了 origin. github 和 wiki 都记录了撕逼经历…

    nano 原作者也自称维护太累, 卖了代码捅了这么大篓子…