转@午椒ao(微博) 近来看新闻有感。我国的新闻,在经历了数年向上监督问责的通道关闭,倒逼系统公开透明的共识一步步泯灭后,正飞速进入一个向下变成隐私问责的伦理剧新闻时代,个人私域将一步一步被新闻监督的更加透明,届时将处处盛产那种“可怜人必有可恨处”的深度调查性报道。
多特中国运营太有才了!好好笑
@province @board
将沉浸式翻译的 Chrome crx 文件下载下来简单研究了一下。
作为一个有一定浏览器插件开发经验的开发者,我可以明确的说「沉浸式翻译」《隐私协议》中关于 「Safari 扩展的权限说明」一节完全是在胡说八道。
下面是对其的逐条批驳:
> 这是一个通用的提示, Safari 所有的扩展都会展示该提示,这是苹果公司的对极端情况下的安全提示,是针对那些不可信任的软件。
什么是不可信任的软件,你这个插件就是不可信任的软件。
我的 Firefox 浏览器现在基本上只使用带 Recommended Extensions 标记的插件,Recommended Extensions 的源码是被 Firefox 团队审计过的,可以保证安全可信。
少数不带 Recommended Extensions 标记的插件,也都是开源自由软件,我可以浏览源码,达到心中有数的。
> 仔细看权限提示的文字,“可以读取和修改...当前标签页...”。如果你只是在浏览信息,网页中没有任何关于你的信息,这种情况你不会有任何安全问题,因为就算扩展读取了整个页面的内容,但这些内容全是公开的。
这条更为可笑。
什么叫『没有任何你的信息』、『这些内容全是公开的』?
各个网站登录后页面也算是没有任何你的信息?也算是全是公开的吗?
明显不是。
结合隐私协议中「沉浸式翻译」对公共页面的表述,再联想到它在Q&A中所说的所谓的「预缓存热门公共网页的技术」(图四),这让我很容易想到我登录后的私人页面是不是也会被这种所谓的「预缓存热门公共网页的技术」上传到「沉浸式翻译」插件运营方那里,然后被缓存下来。
> 重点是:并不是你授权了,你的密码,手机号码,银行卡号就被拿走。
天大的慌言。
事实上就是你授权了,你的密码,手机号码,银行卡号就有可能被拿走。
https://developer.mozilla.org/zh-CN/docs/Web/Security/Types_of_attacks
不知道你有没有听过跨站脚本(XSS)攻击,XSS 本质上讲不就是运行了不可信的 javascript 代码吗?
XSS 通过网站漏洞达到这一点,浏览器插件通过浏览器插件API达到这一点。
XSS 可以干的事情,浏览器插件可以干的事情能干的事情只会更多更顺利。
而且不同于XSS,通过浏览器插件,想要进行跨站请求伪造(CSRF)攻击也是很简单的。
另外,注意到该插件还请求了 webRequest 权限,那么想进行中间人(MitM)攻击也是具有条件的。
> 沉浸式翻译也公开承诺不会收集用户的任何隐私和敏感信息。
隐私条款,与其说是保护用户隐私的庄严承诺,倒不如说是侵犯用户隐私的借口。
先不是这只是一句空口白牙的承诺,没有写到合同里。
就算是写到了合同中,以中国大陆的法治状况,如果沉浸式翻译违约,即使你抓到切实证据了,你也很难与它打官司寻求赔偿。
-------------------------
下面是题外话,我注意到「沉浸式翻译」申请了 activeTab 权限的同时,还是在 host_permissions 中申请了 <all_urls> 的权限。这让我有一点好奇,按理而言,activeTab 对于「沉浸式翻译」的场景应该已经够用了呀。
简单读了一读,倒是找到了原因,需要 <all_urls> host_permissions 权限的一大原因是:要为每个页面注入 content_start.js、content_script.js 这两个脚本。
content_start.js 会在 document_start 时注入,然后尽早加载 video-subtitle/inject.js 劫持部分浏览器 API (比如说 JSON、XMLHttpRequest)。