提肛一下 @[email protected]

电的传导

转@午椒ao（微博） 近来看新闻有感。我国的新闻，在经历了数年向上监督问责的通道关闭，倒逼系统公开透明的共识一步步泯灭后，正飞速进入一个向下变成隐私问责的伦理剧新闻时代，个人私域将一步一步被新闻监督的更加透明，届时将处处盛产那种“可怜人必有可恨处”的深度调查性报道。

http://m.weibo.cn/status/4712077342281097

我来翻译下林少华世界读书日的这个视频：读书太美好了！但是中国人不怎么读书，所以大家要多读点书，但是不要读日本文学因为balabala一堆的缺点！特意举例内涵下他自己的男学生：你们明明在我这个阴盛阳衰的班里面这么吃香，可以选的对象那么多🤮 怎么一个个还萎靡不振？肯定是日本文学看多了性格扭曲了！但是呢（话锋一转），很多人夸我的翻译还是很好的，我翻译已经不算日本文学啦（暗示自己添油加醋过多）所以大家还是要多读起来！
这种人怎么好意思啊🤢🤢🤢？中国读者早年没得选只能读你翻译的春上村树，真是倒了大霉！

@province @board
将沉浸式翻译的 Chrome crx 文件下载下来简单研究了一下。

作为一个有一定浏览器插件开发经验的开发者，我可以明确的说「沉浸式翻译」《隐私协议》中关于 「Safari 扩展的权限说明」一节完全是在胡说八道。

下面是对其的逐条批驳：

> 这是一个通用的提示, Safari 所有的扩展都会展示该提示，这是苹果公司的对极端情况下的安全提示，是针对那些不可信任的软件。

什么是不可信任的软件，你这个插件就是不可信任的软件。
我的 Firefox 浏览器现在基本上只使用带 Recommended Extensions 标记的插件，Recommended Extensions 的源码是被 Firefox 团队审计过的，可以保证安全可信。
少数不带 Recommended Extensions 标记的插件，也都是开源自由软件，我可以浏览源码，达到心中有数的。

> 仔细看权限提示的文字，“可以读取和修改...当前标签页...”。如果你只是在浏览信息，网页中没有任何关于你的信息，这种情况你不会有任何安全问题，因为就算扩展读取了整个页面的内容，但这些内容全是公开的。

这条更为可笑。
什么叫『没有任何你的信息』、『这些内容全是公开的』？
各个网站登录后页面也算是没有任何你的信息？也算是全是公开的吗？
明显不是。

结合隐私协议中「沉浸式翻译」对公共页面的表述，再联想到它在Q&A中所说的所谓的「预缓存热门公共网页的技术」（图四），这让我很容易想到我登录后的私人页面是不是也会被这种所谓的「预缓存热门公共网页的技术」上传到「沉浸式翻译」插件运营方那里，然后被缓存下来。

> 重点是：并不是你授权了，你的密码，手机号码，银行卡号就被拿走。

天大的慌言。
事实上就是你授权了，你的密码，手机号码，银行卡号就有可能被拿走。

https://developer.mozilla.org/zh-CN/docs/Web/Security/Types_of_attacks

不知道你有没有听过跨站脚本（XSS）攻击，XSS 本质上讲不就是运行了不可信的 javascript 代码吗？
XSS 通过网站漏洞达到这一点，浏览器插件通过浏览器插件API达到这一点。
XSS 可以干的事情，浏览器插件可以干的事情能干的事情只会更多更顺利。

而且不同于XSS，通过浏览器插件，想要进行跨站请求伪造（CSRF）攻击也是很简单的。

另外，注意到该插件还请求了 webRequest 权限，那么想进行中间人（MitM）攻击也是具有条件的。

> 沉浸式翻译也公开承诺不会收集用户的任何隐私和敏感信息。

隐私条款，与其说是保护用户隐私的庄严承诺，倒不如说是侵犯用户隐私的借口。
先不是这只是一句空口白牙的承诺，没有写到合同里。
就算是写到了合同中，以中国大陆的法治状况，如果沉浸式翻译违约，即使你抓到切实证据了，你也很难与它打官司寻求赔偿。

-------------------------

下面是题外话，我注意到「沉浸式翻译」申请了 activeTab 权限的同时，还是在 host_permissions 中申请了 <all_urls> 的权限。这让我有一点好奇，按理而言，activeTab 对于「沉浸式翻译」的场景应该已经够用了呀。

简单读了一读，倒是找到了原因，需要 <all_urls> host_permissions 权限的一大原因是：要为每个页面注入 content_start.js、content_script.js 这两个脚本。

content_start.js 会在 document_start 时注入，然后尽早加载 video-subtitle/inject.js 劫持部分浏览器 API （比如说 JSON、XMLHttpRequest）。

北京同仁堂仁丹的汞含量高达9729.985mg/kg，严重超标。严重到让德国实验室的检测设备宕机，清洗了一周才能恢复使用的地步。

根据欧盟的法规，含有汞的药物在欧洲是被严令禁止的，即便在膳食添加剂中，所允许的最大汞含量也不能超过0.1mg/kg。同仁堂生产的仁丹，汞含量达到了欧盟最大限制的9.7万倍。

患者螯合后的汞含量达到925.3μg/g，正常值应小于6.5μg/g。