- 禁止
- 当爹
- 萨摩耶
- 和我结婚
Joined Apr 2022
今晚这两场比赛太刺激了!
切尔西60分钟4比0领先,居然有三个球员抢罚点球……这……
提肛一下
boosted
提肛一下
boosted
@province @board
将沉浸式翻译的 Chrome crx 文件下载下来简单研究了一下。
作为一个有一定浏览器插件开发经验的开发者,我可以明确的说「沉浸式翻译」《隐私协议》中关于 「Safari 扩展的权限说明」一节完全是在胡说八道。
下面是对其的逐条批驳:
> 这是一个通用的提示, Safari 所有的扩展都会展示该提示,这是苹果公司的对极端情况下的安全提示,是针对那些不可信任的软件。
什么是不可信任的软件,你这个插件就是不可信任的软件。
我的 Firefox 浏览器现在基本上只使用带 Recommended Extensions 标记的插件,Recommended Extensions 的源码是被 Firefox 团队审计过的,可以保证安全可信。
少数不带 Recommended Extensions 标记的插件,也都是开源自由软件,我可以浏览源码,达到心中有数的。
> 仔细看权限提示的文字,“可以读取和修改...当前标签页...”。如果你只是在浏览信息,网页中没有任何关于你的信息,这种情况你不会有任何安全问题,因为就算扩展读取了整个页面的内容,但这些内容全是公开的。
这条更为可笑。
什么叫『没有任何你的信息』、『这些内容全是公开的』?
各个网站登录后页面也算是没有任何你的信息?也算是全是公开的吗?
明显不是。
结合隐私协议中「沉浸式翻译」对公共页面的表述,再联想到它在Q&A中所说的所谓的「预缓存热门公共网页的技术」(图四),这让我很容易想到我登录后的私人页面是不是也会被这种所谓的「预缓存热门公共网页的技术」上传到「沉浸式翻译」插件运营方那里,然后被缓存下来。
> 重点是:并不是你授权了,你的密码,手机号码,银行卡号就被拿走。
天大的慌言。
事实上就是你授权了,你的密码,手机号码,银行卡号就有可能被拿走。
https://developer.mozilla.org/zh-CN/docs/Web/Security/Types_of_attacks
不知道你有没有听过跨站脚本(XSS)攻击,XSS 本质上讲不就是运行了不可信的 javascript 代码吗?
XSS 通过网站漏洞达到这一点,浏览器插件通过浏览器插件API达到这一点。
XSS 可以干的事情,浏览器插件可以干的事情能干的事情只会更多更顺利。
而且不同于XSS,通过浏览器插件,想要进行跨站请求伪造(CSRF)攻击也是很简单的。
另外,注意到该插件还请求了 webRequest 权限,那么想进行中间人(MitM)攻击也是具有条件的。
> 沉浸式翻译也公开承诺不会收集用户的任何隐私和敏感信息。
隐私条款,与其说是保护用户隐私的庄严承诺,倒不如说是侵犯用户隐私的借口。
先不是这只是一句空口白牙的承诺,没有写到合同里。
就算是写到了合同中,以中国大陆的法治状况,如果沉浸式翻译违约,即使你抓到切实证据了,你也很难与它打官司寻求赔偿。
-------------------------
下面是题外话,我注意到「沉浸式翻译」申请了 activeTab 权限的同时,还是在 host_permissions 中申请了 <all_urls> 的权限。这让我有一点好奇,按理而言,activeTab 对于「沉浸式翻译」的场景应该已经够用了呀。
简单读了一读,倒是找到了原因,需要 <all_urls> host_permissions 权限的一大原因是:要为每个页面注入 content_start.js、content_script.js 这两个脚本。
content_start.js 会在 document_start 时注入,然后尽早加载 video-subtitle/inject.js 劫持部分浏览器 API (比如说 JSON、XMLHttpRequest)。
提肛一下
boosted
北京同仁堂仁丹的汞含量高达9729.985mg/kg,严重超标。严重到让德国实验室的检测设备宕机,清洗了一周才能恢复使用的地步。
根据欧盟的法规,含有汞的药物在欧洲是被严令禁止的,即便在膳食添加剂中,所允许的最大汞含量也不能超过0.1mg/kg。同仁堂生产的仁丹,汞含量达到了欧盟最大限制的9.7万倍。
患者螯合后的汞含量达到925.3μg/g,正常值应小于6.5μg/g。
突然意识到“笑不活了”是“笑死了”的变体……
剪指甲扫地拖地洗澡整理置物架to看欧冠八强赛
提肛一下
boosted
4月1日,西安交通大学公众号推送了一篇“劝阻自杀”的文章,但是却在文案中通篇嘲讽自杀者,引发大量学生的心理不适和批评。
之后作者在道歉中回应强调自己是入党积极分子,立志成为共产党员,制作这篇的初衷是为了提升个人工作能力为学生部门作出贡献。
原来黄豆泡发要那么久啊!
Yakuza 0 - Karaoke - 24-Hour Cinderella [Cinematic]
循环播放ing
「这人手机里有精确位置信息权限的app除了地图就是tinder了」
提肛一下
boosted
我高中的时候看数学杂志,知道了密码学家王小云。那时候根本不知道密码是干嘛的,只知道有这么一个世界级女数学家,像追星一样,非常崇拜。一度想考山东大学因为她在山大做教授。当时追星看她的采访,她说她早年做密码,带的研究生90%以上都是女生,因为女生细心,适合做密码这个行业。后来慢慢地研究生男女比例接近一比一。当时看到这个非常震撼,因为从小生活在中国西北,被“女生就是智商低不适合学理科”的话语浸泡了一辈子,突然看到一个大数学家说女生更适合学密码啊,受到了很大的鼓励。当然现在想,性别偏见就是这样的事。“女生笨不适合学理科”和“女生细心适合学密码”都是性别偏见,但是一个人的一点观点不同,可能就会改变很多女孩的命运。
后来上大学我上了一门密码学的课,发现自己兴趣不是特别大。老师介绍了几个国际知名的为密码学作出贡献的学者,包括王小云,以及介绍了她曾经手解(注意是手解不是计算机跑的)被认为最安全的无解的MD5。刚刚发这条嘟嘟为了fact check,想搜一下到底她解的是哪个密码。我真是遭天杀地用了中文搜索,如此重大的事件,被中文媒体通通说成“宝妈坐月子闲的无聊解密码”。拜托,人家一个数学教授搞了一辈子这玩意,多年的成就和血汗就还是被你说成家庭主妇的业余爱好?exo me?我从来没有见过任何一个男科学家在大众媒体受到如此待遇。你们这群腌杂东西连给人家提鞋都不配。Fucking morons
- 禁止
- 当爹
- 萨摩耶
- 和我结婚
Joined Apr 2022
