Chrome 插件 Nano Adblocker 被爆安全隐患, 该如何保护自己的浏览器?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 2022 days ago, the information mentioned may be changed or developed.

我最早接触到 Nano Adblocker 是因为他的子插件 Defender, 因为可以绕过各种提示你关闭 adblock 才可以浏览内容的网站检测.

Nano Adblocker 的作者两周前把 Chrome WebStore 版本的账号卖给了新开发者, 之后被人发现商店版插件多了可疑代码. 今天更是爆出很多人的 Instagram 莫名出现点赞. 下面有不少讨论记录.

https://www.ghacks.net/2020/10/16/time-to-remove-nano-adblocker-and-defender-from-your-browsers-except-firefox/
https://github.com/jspenguin2017/Snippets/issues/2
https://github.com/NanoAdblocker/NanoCore/issues/362

----
我的问题是,

Chrome 官方 Store 安装的插件能获得用户多少信息? 非官方方式安装的插件呢?
现在那么多人使用密码管理插件, 这些官方 /非官方的插件是否有办法窃取用户的密码库?

P.S. 之所以这么关注密码库的问题, 是我之前的 Google 账号被人登陆, Chrome 中保存的密码被人提取... 改密码改到头大!

插件

Chrome

adblocker

密码

11 replies • 2020-10-20 10:33:41 +08:00

n1dragon

Oct 20, 2020

插件基本上能访问所有 DOM，你的所有浏览记录，但应该不能直接访问到其他插件的内部环境，比如密码库。但它理论上可以监控用户在网页中输入或自动填充的所有记录，包括密码。

所以这种浏览器插件一定要选最信任的公司。

Osk

Oct 20, 2020 via Android

加载了扩展的浏览器我从不登陆帐号，手机上火狐除外。

lxk11153

Oct 20, 2020

Defender 是啥？

Cielsky

Oct 20, 2020 via Android

用了几天，发现这好像是 ublock orgin 的第三方版本，然后我就又回到 ublock orgin 了

shiji

Oct 20, 2020 via iPhone

曾经喜欢的插件也是被卖，插广告代码，同一套路数。所以建议插件只装大厂的。

thefack

Oct 20, 2020

能联网的扩展只用某去广告和 Vimium，其它功能用自己写的扩展。就是怕这种事。。

Fatenana

Oct 20, 2020

谢谢这贴的提醒，
当年把所有浏览器换成 nano 没想到是这个结局
chrome 商店是个很大的隐患，以前有个有名的扩展记得图片相关的，后来会偷偷传你历史记录之类到他服务器，google 移除了但还一直留在我的 cent 浏览器里每天上传，要不是我有天没事观察了下 clash 日志，不知道还要被上传多久

ungrown

Oct 20, 2020

只用 ublock origin
不管是从靠谱还是性能角度考虑这都是目前唯一首选

shiji

Oct 20, 2020

https://v2ex.com/t/316952
这是我 16 年发的。同样的套路

whileFalse

Oct 20, 2020

感谢提醒。尽量使用商业化的扩展吧。刚把扩展捋了一遍，禁用了好几个用得少又没有商业化的扩展。话说回来，商业化的扩展也没有用的少的，毕竟没啥用的我也不会付费，公司也不会开发它。

zypatroon

Oct 20, 2020

@Cielsky @ungrown
说回到 ublock 我也进行了考古, 这两个插件真是一脉相承,

ublock 原作者也是把代码交给了其他人继续维护, 结果新人开始索要捐款和加入 adblock 的付费广告商白名单计划, 于是原作者又开始更新并且改名加了 origin. github 和 wiki 都记录了撕逼经历...

nano 原作者也自称维护太累, 卖了代码捅了这么大篓子...