这是一个创建于 1278 天前的主题,其中的信息可能已经有所发展或是发生改变。
我一直是[[平台+插件]]类型的软件的拥趸,比如
- [[vscode]]
- [[chrome]],
- [[油猴脚本]],
- [[alfred]],
- [[obsidian]]
- 包括[[docker]],因为能方便拉取各种公开镜像直接 run 一个服务,我个人也将其定义为广义的[[平台+插件]]类型的软件。
但最近用了个油猴脚本,有几千下载量,发现它有搜集我信息的疑似代码。我突然对自己之前无脑下载使用,几乎不管安全性的行为,产生了深深的质疑,大概率我已经有好多隐私信息被这些插件摸到过。这类插件一般都有 2 个特点:
- 免费的
- 提供很大方便,不用我们重复造轮子。
所以,忍不住不用感觉很难,但为了绝对安全,去看源码也有点本末倒置。我更多的就是当个掩耳盗铃之人,就选择相信平台,以及下载量较大,评分较高的知名插件了。
不知道大家是抱着什么样的心态和用法,去使用这类平台及插件的呢?
以及还有哪些有很丰富的社区插件的平台型的软件呢?也不妨推荐出来。
感谢~~
 | 1 gra 2022-04-18 21:07:39 +08:00 安全第一,如果实在想用,就找替代或者自己做 |
 | 2 Pastsong 2022-04-18 21:11:55 +08:00 基于社区共识。。比如“这么多人,总有一个人看过代码吧,那我就不看了”,甚至包管理工具也是,npm ,pip ,apt 装的东西不可能都去审查一遍吧 |
 | 3 wolfie 2022-04-18 21:34:47 +08:00 比如用 IDEA leetcode 插件,就从来不敢登录用。 看个人判断吧,综合各种信息 对产品开发者是否相信。 |
 | 4 cdd2zju OP @Pastsong 哈哈,社区共识,好词。npm 的确运行这么多年,就只有上次爆过一次 event-stream 恶意代码偷数字货币的大新闻。 |
| 5 cdd2zju OP @wolfie 。。。怕自己写的优质代码,被官方识别到,把你信息卖给企业吗?哈哈哈。我个辣鸡程序员表示,猎头电话尽管来嚯嚯我。 |
 | 6 autoxbc 2022-04-18 21:51:05 +08:00 大多数扩展可以用 200 行代码写一个最简原型,足够个人使用了 |
 | 7 jfdnet 2022-04-18 22:06:25 +08:00 一般有安全问题最终会爆出来。就 别想那么多了吧。 |
 | 9 jim9606 2022-04-18 22:18:43 +08:00 没有审查能力的话确实是这样。 如果有简单的审查能力,尽量用功能单一的脚本,同时只允许引用知名的库脚本。这类脚本不会很长,功能也比较明确,比较容易检查。 |
 | 10 huntagain2008 2022-04-18 22:24:00 +08:00 小白以前用过屏蔽 csdn 搜索结果的油猴脚本,后来 Edge 出来了,被微软吹的世界第一快的浏览器给蛊惑了,于是放弃了 Google 浏览器改用 Edge ,导致现在就没用到任何油猴脚本。当然也是对安全性有些怀疑。 浏览器扩展后来只在 Mozilla 浏览器用到,先被主题、黑暗模式蛊惑,后来觉得影响性能,都用成默认的,留下了 WebRTCDisable 只是因为图标很帅。而常常要划词翻译却不用划词取词的扩展,就是因为图标太难看了,而且界面太臃肿了。 安全性是第二考虑的,功能是主要的。老妈收到同事给的百度云资源,我用百度官方的下载,速度慢的感人。一顿搜索看到好几个油猴插件,最后却用的伪 pandownload 下载,速度真的快,第一次用感觉挺不错的,于是软件就留下了。既不是开源的,还要账号,安全性应该更可疑了。原因就是界面好看,网站文档优秀,使用起来也很好,于是就留下了。 |
 | 11 yanwen 2022-04-18 22:53:16 +08:00 这个我深有感触。 但是!!防止这类东西 其实有个扩展非常好用的就是 NoScript 。 建立个白名单域名列表,其他的域名一律不信任。这样就执行不了 JS ,有效阻止了他们收集信息。 |
| 12 yanwen 2022-04-18 22:53:43 +08:00 以上 仅限于浏览器。 |
Select Language