Chrome 插件 Nano Adblocker 被爆安全隐患, 该如何保护自己的浏览器?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1847 天前的主题，其中的信息可能已经有所发展或是发生改变。

我最早接触到 Nano Adblocker 是因为他的子插件 Defender, 因为可以绕过各种提示你关闭 adblock 才可以浏览内容的网站检测.

Nano Adblocker 的作者两周前把 Chrome WebStore 版本的账号卖给了新开发者, 之后被人发现商店版插件多了可疑代码. 今天更是爆出很多人的 Instagram 莫名出现点赞. 下面有不少讨论记录.

https://www.ghacks.net/2020/10/16/time-to-remove-nano-adblocker-and-defender-from-your-browsers-except-firefox/
https://github.com/jspenguin2017/Snippets/issues/2
https://github.com/NanoAdblocker/NanoCore/issues/362

----
我的问题是,

Chrome 官方 Store 安装的插件能获得用户多少信息? 非官方方式安装的插件呢?
现在那么多人使用密码管理插件, 这些官方 /非官方的插件是否有办法窃取用户的密码库?

P.S. 之所以这么关注密码库的问题, 是我之前的 Google 账号被人登陆, Chrome 中保存的密码被人提取... 改密码改到头大!

插件

Chrome

adblocker

密码

11 条回复 2020-10-20 10:33:41 +08:00

n1dragon

2020-10-20 06:37:28 +08:00

插件基本上能访问所有 DOM，你的所有浏览记录，但应该不能直接访问到其他插件的内部环境，比如密码库。但它理论上可以监控用户在网页中输入或自动填充的所有记录，包括密码。

所以这种浏览器插件一定要选最信任的公司。

Osk

2020-10-20 08:09:36 +08:00 via Android

加载了扩展的浏览器我从不登陆帐号，手机上火狐除外。

lxk11153

2020-10-20 08:10:31 +08:00

Defender 是啥？

Cielsky

2020-10-20 08:59:56 +08:00 via Android

用了几天，发现这好像是 ublock orgin 的第三方版本，然后我就又回到 ublock orgin 了

shiji

2020-10-20 09:06:44 +08:00 via iPhone

曾经喜欢的插件也是被卖，插广告代码，同一套路数。所以建议插件只装大厂的。

thefack

2020-10-20 09:07:31 +08:00

能联网的扩展只用某去广告和 Vimium，其它功能用自己写的扩展。就是怕这种事。。

Fatenana

2020-10-20 09:12:59 +08:00

谢谢这贴的提醒，
当年把所有浏览器换成 nano 没想到是这个结局
chrome 商店是个很大的隐患，以前有个有名的扩展记得图片相关的，后来会偷偷传你历史记录之类到他服务器，google 移除了但还一直留在我的 cent 浏览器里每天上传，要不是我有天没事观察了下 clash 日志，不知道还要被上传多久

ungrown

2020-10-20 09:16:46 +08:00

只用 ublock origin
不管是从靠谱还是性能角度考虑这都是目前唯一首选

shiji

2020-10-20 09:16:53 +08:00

https://v2ex.com/t/316952
这是我 16 年发的。同样的套路

whileFalse

2020-10-20 09:21:31 +08:00

感谢提醒。尽量使用商业化的扩展吧。刚把扩展捋了一遍，禁用了好几个用得少又没有商业化的扩展。话说回来，商业化的扩展也没有用的少的，毕竟没啥用的我也不会付费，公司也不会开发它。

zypatroon

2020-10-20 10:33:41 +08:00

@Cielsky @ungrown
说回到 ublock 我也进行了考古, 这两个插件真是一脉相承,

ublock 原作者也是把代码交给了其他人继续维护, 结果新人开始索要捐款和加入 adblock 的付费广告商白名单计划, 于是原作者又开始更新并且改名加了 origin. github 和 wiki 都记录了撕逼经历...

nano 原作者也自称维护太累, 卖了代码捅了这么大篓子...