发表于 2024年8月31日1年前 今天调试插件时,无意中看到有外出请求发送到 api.simpleallowcopy.com 域名,调查了一下发现是一款 Chrome 插件 —— Simple Allow Copy 在上传浏览数据,会在后台实时将所有打开的 URL 地址上传。 网上搜索了一下,发现此前已有朋友发现并分析了此插件: https://blog.csdn.net/2401_83799022/article/details/140371549 个人建议:降级到 0.8.7 版本(我检查了代码,没有此问题),或在防火墙做屏蔽规则。 多数几句题外话 本人也是插件开发者,感觉目前 Chrome 插件的安全隐患还是很大的。插件可以获取的权限非常大,且在安装插件之前并没有明确的提示——插件中使用了哪些权限、要与哪些服务地址通信。 这些权限信息只能是查看插件内部的 manifest 文件或阅读代码来获取。这就造成了一些插件过渡使用了许多高权限的 API ,但用户并不知情。 此外在 Chrome 浏览器上,插件是没办法关闭自动更新的,当插件的权限变更或隐私政策修改了,用户是不会主动收到通知提醒的,还不如油猴。 关于隐私政策(此插件在隐私政策中声明了会收集 URL ),绝大多数人是不会在下载插件之前去阅读的,这不符合用户习惯。只能是有人发现问题之后,才有人关注。 建议大家平时将不常用插件关闭,等用时再手动开启。常用的插件也要限制在特定网站上自动开启,或者点击时启用。
今天调试插件时,无意中看到有外出请求发送到
api.simpleallowcopy.com域名,调查了一下发现是一款 Chrome 插件 —— Simple Allow Copy 在上传浏览数据,会在后台实时将所有打开的 URL 地址上传。网上搜索了一下,发现此前已有朋友发现并分析了此插件: https://blog.csdn.net/2401_83799022/article/details/140371549
个人建议:降级到 0.8.7 版本(我检查了代码,没有此问题),或在防火墙做屏蔽规则。
多数几句题外话
本人也是插件开发者,感觉目前 Chrome 插件的安全隐患还是很大的。插件可以获取的权限非常大,且在安装插件之前并没有明确的提示——插件中使用了哪些权限、要与哪些服务地址通信。
这些权限信息只能是查看插件内部的 manifest 文件或阅读代码来获取。这就造成了一些插件过渡使用了许多高权限的 API ,但用户并不知情。
此外在 Chrome 浏览器上,插件是没办法关闭自动更新的,当插件的权限变更或隐私政策修改了,用户是不会主动收到通知提醒的,还不如油猴。
关于隐私政策(此插件在隐私政策中声明了会收集 URL ),绝大多数人是不会在下载插件之前去阅读的,这不符合用户习惯。只能是有人发现问题之后,才有人关注。
建议大家平时将不常用插件关闭,等用时再手动开启。常用的插件也要限制在特定网站上自动开启,或者点击时启用。