PTT數位生活區 / Browsers (瀏覽器)

[-GC-] Steam Inventory Helper 收集隱私

看板Browsers (瀏覽器)作者 ( )時間8年前 (2017/09/19 11:23), 8年前編輯推噓16(16013)
留言29則, 12人參與, 最新討論串1/1
這是 Google Chrome 的瀏覽器擴充, 主要是增加Steam的物品庫交易功能, 今天更新後要求新權限"讀取所有造訪網站的資料", 注重網路隱私的建議移除。 替代方案 userscript 使用者腳本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介紹 https://steamcn.com/t310798-1-1 ************************************************** 官方更新釋出前聲明: 短網址 https://goo.gl/xfjxFE 原連結 http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319 為了和合作網站溝通,這次更新包含新權限要求, 你會看到"讀取及變更造訪網站的所有資料"通知, 這只是Google的原則要求,不用驚慌, 我們不會讀取或變更你的資料, 也會放上隱私政策連結讓你放心。 ************************************************** 更新釋出後reddit熱門文章: 警告: Steam Inventory Helper 包含危險權限 https://redd.it/70xofs 原碼分析: Steam Inventory Helper (SIH) 瀏覽器擴充 會載入所有開啟的網頁,甚至是about:blank空白頁 監控何時進入網站、何時滑鼠點擊/移動、 何時開始輸入文字(不是鍵盤側錄,只記錄動作時間) 當你點擊連結時,會將網址回傳到 steamih.com/box/monit 結論:盡快移除! ************************************************** 查了一下原來在 2016-05 就已經轉手賣人 SIH browser extension has been sold http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/ ************************************************** 類似案例 2015-09-30 CrxMouse會上傳你所有瀏覽的網頁 http://bbs.kafan.cn/thread-1693616-1-1.html 2017 01/11 #1OTNsa_v [-GC-] 新版 Stylish 開始蒐集使用者資訊 03/13 #1OnVxxje [-GC-] 又一擴充元件在更新中偷偷放入廣告軟體 06/27 #1PKJnRkr [-GC-] Betternet 6/25 被植入廣告(6/27 修復) 文內提供的惡意擴充列表 http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html 07/12 #1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新權限 09/09 #1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似為木馬! 流程:轉賣/被駭 → 加料 → 自動更新 → 使用者發現 → 檢舉 要是擴充原本就有讀取變更所有網站的權限, 自動更新加料的話你根本就不會知道, 更新上架推送,商店都不用審核的嗎? 越來越頻繁的案例真的很扯…根本就是木馬後門。 現在只能避免安裝有變更所有網站權限的擴充, 也盡量改用userscript,至少看得到原碼,更新也會通知。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.109.115 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1505791428.A.950.html
09/19 11:25, , 1F
其實最大收集者就是…
09/19 11:25, 1F
09/19 11:30, , 2F
健保
09/19 11:30, 2F
09/19 12:33, , 3F
...
09/19 12:33, 3F
09/19 13:25, , 4F
感謝通知
09/19 13:25, 4F
09/19 13:27, , 5F
腳本比套件危險多了好嗎 XD
09/19 13:27, 5F
09/19 13:41, , 6F
Google記得是幾乎不審核的...
09/19 13:41, 6F
09/19 16:13, , 7F
https://goo.gl/Vkpo9r SIH 官方說法XD 這工具好用說
09/19 16:13, 7F
09/19 21:40, , 8F
這擴充滿好用的說,可惜了
09/19 21:40, 8F
09/19 21:57, , 9F
個人覺得Google應該要對商店負責一點..雖然開發者費用
09/19 21:57, 9F
09/19 21:57, , 10F
印象中不高,但攸關網路安全
09/19 21:57, 10F
09/19 22:21, , 11F
你聽某r胡說啥........
09/19 22:21, 11F
09/19 22:22, , 12F
另外人家都出來講話了
09/19 22:22, 12F
09/20 00:20, , 13F
才一天 SafeBrowse 被爆出會背景挖礦 審核形同虛設 哀..
09/20 00:20, 13F
09/20 10:38, , 14F
要像某人這樣可悲真的太慘惹 QQ
09/20 10:38, 14F
已經有大大在 Steam 板翻譯 SIH 官方後續公告 文章代碼: #1PmOAp9t (Steam) 文章網址: https://www.ptt.cc/bbs/Steam/M.1505854131.A.277.html 簡單整理: 1. 更新推送前公告 https://goo.gl/xfjxFE “read and change all your data”, this is just a Google principle 讀取修改所有資料只是Google的規定 we won’t read and change your data 我們不會讀取修改你的資料 2. 更新後 reddit 網友抓包回傳所有瀏覽紀錄 https://redd.it/70xofs 3. SIH官方道歉,表示會下架並重新上傳無權限版本 https://archive.is/vYC3h (原公告已刪除) 4. SIH官方刪除道歉公告,另發新公告 https://goo.gl/C7NRXy 表示 Google Analytics 提供的統計資料太少, 我們收集資料的作法跟瀏覽器 Cookie 沒兩樣, 我們將會繼續收集資料開發 SIH, 收集資料的 SimilarWeb 公司也受到 Google 信任。 說我們 keylogger 側錄和轉賣資料的人都瘋了, 我們從來不騙人,免費給你用還要被罵,哭哭。 更新前說是 Google 要求權限,我們不會收集資料。 被抓包後說 Google 統計資料太少,我們要繼續收集資料開發。 都是 they 的錯 XD ************************************************** 補充替代方案 userscript 使用者腳本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介紹 https://steamcn.com/t310798-1-1 ※ 編輯: mkz6 (220.135.109.115), 09/20/2017 12:51:11
09/20 13:50, , 15F
還說使用者瘋了 有夠狂
09/20 13:50, 15F
09/20 14:02, , 16F
說不定第二篇的作者已經不是本來的了 兩篇態度差很多欸XDD
09/20 14:02, 16F
09/20 14:03, , 17F
可能被心控了(誤
09/20 14:03, 17F
09/21 00:45, , 18F
Shauter 可以說明下腳本比套件危險的地方在哪嗎?
09/21 00:45, 18F
09/21 03:01, , 19F
在瀏覽器下腳本還不危險........現在是因為兩個還三個
09/21 03:01, 19F
09/21 03:02, , 20F
比較活躍的網站 鄉民回報踴躍而已 不然像早期某個還一堆
09/21 03:02, 20F
09/21 03:02, , 21F
09/21 03:02, 21F
你拿 userscripts.org 時代的腳本來說嘴… 各種盜原碼加料上傳的始祖,真是嚇屎人惹 XD 跟現在 Google 商店的情況倒是有87%相似, 差別在腳本安裝前你可以先看到原碼, 腳本更新後你可以選擇是否安裝, 大部分的惡意腳本都是亂槍打鳥, 不懂原碼也可以看評論/上傳日期來判斷, 頂多只能騙騙沒經驗的使用者。 反觀GC擴充功能, 只要取得讀取變更所有網站資料的權限, 配上一直放行各種惡意代碼的商店審核, 今年就已經有許多知名且熱門的擴充出包, 都是更新推送後才被使用者發現檢舉, 也難怪會有新聞說駭客鎖定擴充開發人員網釣, 或者買斷擴充,都是因為可以輕鬆加料推送給使用者, 你跟我說腳本比擴充危險??? 麻煩您舉幾個今年熱門腳本出包的例子好不好 ^_^ ※ 編輯: mkz6 (220.135.109.115), 09/21/2017 09:02:41
09/21 09:41, , 22F
腳本安裝前你可以先看到原碼 XDDD
09/21 09:41, 22F
userscripts鏡象站截圖 https://i.imgur.com/tjnppS4.png
09/21 09:41, , 23F
原來大家各各是資訊業的 然後看評論/上傳日期 套件不行?
09/21 09:41, 23F
我前面已經說了好幾遍了… 擴充功能會在沒有任何通知的情況下自動更新, 如果原本就有"讀取變更所有網站資料"的權限, 就不會跳出權限變更的提示, 就算更新夾帶惡意代碼,也只能先裝了再說… 使用者腳本更新不但會通知,還可以選擇是否要安裝新版本。
09/21 09:42, , 24F
先搞懂瀏覽器現在最吃重的就是兩個東西 CSS樣式表/腳本
09/21 09:42, 24F
09/21 09:42, , 25F
前者基本上不太能有害 後者就是現在瀏覽器的重心好嗎
09/21 09:42, 25F
09/21 09:43, , 26F
所以我說的現在是比較多人回應才沒問題錯在哪?
09/21 09:43, 26F
腳本比套件危險是您自己在前面推文說的, 您現在要改口沒問題,我也沒有意見 ^_^
09/21 09:43, , 27F
你整天抓包套件 可是套件一樣也是被爆出來啊
09/21 09:43, 27F
所以是我才發文讓大家注意擴充功能的權限問題啊! 難道擴充功能一直出包是我的錯嗎? XD ※ 編輯: mkz6 (220.135.109.115), 09/21/2017 11:07:10
09/22 10:14, , 28F
有另外裝套件的話 套件也是可以安裝前先看原始碼的
09/22 10:14, 28F
09/22 10:17, , 29F
是說 userscript沒在審核但api有限 套件雖然有審核 但是..
09/22 10:17, 29F
更多 mkz6 的文章
文章代碼(AID): #1Pm8t4bG (Browsers)
Browsers 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 mkz6 的文章
文章代碼(AID): #1Pm8t4bG (Browsers)