Chrome Web Store 里面的五星级截图插件有流氓行为

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Get Google Chrome

Vimium 在 Chrome 里使用 vim 快捷键

这是一个创建于 3929 天前的主题，其中的信息可能已经有所发展或是发生改变。

插件名字叫做：Awesome Screenshot

做个小实验：
访问了一下羞羞哒网站，然后会多出这个POST请求：

Request URL: https://s821.crdui.com/related
Request Method: POST
Status Code: 200
Form Data:
Y3owNE1qRW1iV1E5TWpFbWNHbGtQVnBVWWt4YU5qbFNNbm8zTlhsQ2RTWnpaWE56UFRZMk1qSTNNRGc1TURBNE16RTJOREF3TUNaeFBXaDBkSEFsTTBFbE1rWWxNa1owTmpaNUxtTnZiU1V5Umlad2NtVjJQU1pzYVc1clBUQW1jM1ZpUFdOb2NtOXRaU1pvY21WbVpYSmxjajBtZEcxMlBUTXdNRGd1TUE9PQ==

Form Data经两次Base64解密后:
s=821&md=21&pid=ZTbLZ69R2z75yBu&sess=662270890083164000&q=http%3A%2F%2Ft66y.com%2F&prev=&link=0&sub=chrome&hreferer=&tmv=3008.0

然后看了一下来源，是这个截图插件,
Google一下crdui.com，果然也有类似情况。

所以感觉挺流氓的...在Chrome Web Store里有很多好评的插件，竟然偷偷的做龌蹉事情。

在安装插件的话会提示你权限,其中有一条是
"Read and Change all your data on the websites you visit"
不知道是不是还会劫持流量..
希望朋友们注意一下自己Chrome里的插件，说不定潜藏着小流氓呢 (:з」∠)

嘿嘿，详细的过程在这里：
http://www.jianshu.com/p/cff86d9bd045

第 1 条附言 2015-03-19 12:51:55 +08:00

感谢@xinhugo的指点，这里的“插件”(在Chrome Web Store里似乎叫"Apps")应该改成“扩展”(Extensions).搜索了一下，与Firefox有关的解释：Extensions are small add-ons that add new functionality to your Mozilla program. Plugins are programs that allow websites to provide content to you and have it appear in your browser. 涨姿势了。

这里的Awesome Screenshot我指的是“扩展”，然后看到Chrome Web Store里也有“Awesome Screenshot App”，还没试过。

感谢@ynyounuo，在设置里找到了这个选项，“Enable non-personal,anonymous usage statistics”关了之后就不会发送数据了。（还算比较有良心的插件哈）

的确是有点老的东西了，一开始发现的时候比较诧异，后来想想收集这些匿名数据也不算事太流氓哈。
@ctsed (3L) 给出的那两个插件感觉更变态点...

插件

Chrome

流氓

18 条回复 2015-03-21 09:40:17 +08:00

lingaoyi

2015-03-19 11:19:49 +08:00

我也觉得Chrome很多插件不安全。

seki

2015-03-19 11:28:29 +08:00

的确 chrome 也应该细分一下权限了，至少不是访问所有网站上的所有数据这种坑爹的不是 0 就是 1 的选择法

ctsed

2015-03-19 11:30:10 +08:00

http://bbs.kafan.cn/thread-1693616-1-1.html

phoeagon

2015-03-19 12:16:11 +08:00

https://gist.github.com/mvirkkunen/89f61a06819530e48b53 Old news

xinhugo

2015-03-19 12:16:39 +08:00

扩展、插件，怎么这么多人分不清。

lsmgeb89

2015-03-19 12:24:54 +08:00

尼玛，这个插件原来也用过。

ynyounuo

2015-03-19 12:30:57 +08:00

虽然很讨厌，但这并不是偷偷摸摸的

lihua

2015-03-19 12:31:21 +08:00

我在 firefox 上用他们家的 diigo ……

lemonda

2015-03-19 12:53:00 +08:00

感谢提醒！
以前我看到 crdui 总以为是 Google 在通过浏览器收集数据，就没仔细看，刚才查看这个插件都提示被破坏了居然还在收集，立马删掉了。

sodatea

2015-03-19 13:19:41 +08:00

关于 Awesome Screenshot 的流氓行为：1. 在 Google 搜索结果中加入 Amazon 的商品链接 http://arpitnext.com/chrome-extension-awesome-screenshot/ （通过评论可以看到，作者在道歉后，新版里又加了其他的广告脚本）；2. 私自上传用户浏览器历史记录（4L 贴的那个 gist），这个被我碰到过然后被我举报下架了，然后第二天去掉流氓代码又上架了。

这个扩展干这种龌龊事也不是一天两天了，也不知道有什么好的办法，只能见一次举报一次。我自己反正已经找了其他替代品了。

/table>

DaPanda

2015-03-19 13:24:42 +08:00

@sodatea 代替品能否分享下

sneezry

2015-03-19 13:29:24 +08:00 via iPad

作为扩展开发者，反对替用户做决定的行为，如果出现了搜集数据或者返利行为，应该在明确得到用户选择结果之后依据用户要求工作。关于获取全部网络数据权限的问题，Chrome一开始就可以细分权限，但是对于截图这样的扩展确实需要读取全部数据的权限，因为不能告诉用户我只能在这个网站的页面进行截图。我开发的身份验证器就请求了读取全部网络数据的权限，有用户发出了质疑，但如果不请求这个权限，扩展没办法在页面中读取二维码添加账户，而实际上我请求的权限是active tab，不是all url，但是显示的权限就都是读取全部数据。最后发个牢骚，扩展开发者很少能直接从用户手上拿到钱，捐款除外。所以目前扩展开发者要么偷偷搞个返利链接，要么放一个捐款按钮。捐款按钮我放过，Chrome扩展的QQ客户端，两年收到56，玉树那次我全捐了。返利想过一下，但最终没有去做。目前我写的扩展用了4个月积累了12000用户，写这个扩展是自己需要，给自己用的，所以我不会从中获利，也不想获利，每天看着增长的数据量就挺高兴，另外我是学生，没有经济压力。从Chrome Web Store页面的流量统计上看，有证据表明这个扩展已经被ebay在内部推荐使用，这给了我更大的动力，所以最近为了加强安全性，我添加了aes加密。说这么多我想告诉大家的是，像我这样单纯靠兴趣一直坚持玩下来的开发者不多，他们大多数有经济上的压力，所以在开发者包容你们不花钱使用软件还时不时吐槽的用户时，作为用户能不能也包容下像楼主提到的那样还是有良知（毕竟允许用户选择）的开发者呢。