V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shaun0
V2EX  ›  程序员

🚨《谁在用你的 cookie?》

  •  2
     
  •   shaun0 · 174 天前 · 3222 次点击
    这是一个创建于 174 天前的主题,其中的信息可能已经有所发展或是发生改变。

    🚨 [别让“扩展程序”偷走你的 Cookie 🍪] 🚨 ——《谁在用 cookie ?》

    昨天看到币圈被盗 100 万美金的帖子: https://x.com/CryptoNakamao/status/1797519128632381847 , 迅速撸了一个检测 cookie 权限的插件😂——WhoUsesCookies ,显示谁在访问您的 cookies ,并一键禁用。 代码已开源,请放心食用: https://github.com/sshallow/WhoUsesCookies/releases/tag/product

    The San Juan Mountains are beautiful!

    21 条回复    2024-06-06 16:26:06 +08:00
    aikilan
        1
    aikilan  
       174 天前
    这很插件
    NICEghost
        2
    NICEghost  
       174 天前
    很棒👍
    kneo
        3
    kneo  
       174 天前 via Android
    cookies 有没有具体的域名权限?比如 notion 插件应该只需要几个域名下的 cookie 吧?
    hafuhafu
        4
    hafuhafu  
       174 天前
    突然感觉目前最容易作恶的好像还真是浏览器插件。
    各种后门木马反而不容易中招,而有的浏览器插件突然就一声不吭的卖掉了...挺难审查的。
    shaun0
        5
    shaun0  
    OP
       174 天前
    @kneo 有,稍晚点加一个作用的域名显示
    kneo
        6
    kneo  
       174 天前 via Android   ❤️ 1
    @shaun0 好的,这个会非常有用。如果一个插件要读全局的 cookie 基本上可以卸载了。
    twofox
        7
    twofox  
       174 天前
    牛的,start 了
    twofox
        8
    twofox  
       174 天前
    @twofox 多了个字母。。请忽略
    thinkm
        9
    thinkm  
       174 天前
    求个编译好能直接安装的
    Rrrrrr
        10
    Rrrrrr  
       174 天前   ❤️ 1
    有油猴脚本吗,插件不想用
    Jack66
        11
    Jack66  
       174 天前
    本身自己就不安全,更不安全去解决不安全。
    hlwjia
        12
    hlwjia  
       174 天前
    我觉得插件安装了之后几乎没有任何安全可言,特别是他的功能就得需要那么都权限,比如剪存类的,你必须给他所有网站的读取。

    而且插件更新应该是不需要同意的吧。我可以开源一份,然后市场上上架另一份,看上去好像很靠谱,其实不然。

    除非自己从开源安装。
    hlwjia
        13
    hlwjia  
       174 天前
    @hlwjia #12 我没有特指楼主,只是表达“插件”这个产品的问题
    kneo
        14
    kneo  
       174 天前 via Android
    @hlwjia 一点没错。我的建议就是少装。没必要的不装。
    agdhole
        15
    agdhole  
       174 天前
    DOLLOR
        16
    DOLLOR  
       174 天前   ❤️ 1
    @Rrrrrr
    打开
    chrome://extensions-internals/
    搜 permissions 带 cookies 的就行了
    TUNGH
        17
    TUNGH  
       174 天前
    厉害👍
    pckillers
        18
    pckillers  
       174 天前
    我并不是抬杠哈,那么怎么保证楼主的插件不带恶意脚本呢?😅
    cherryas
        19
    cherryas  
       173 天前
    @pckillers 很简单,即用即删。
    shaun0
        20
    shaun0  
    OP
       173 天前
    @pckillers
    好问题!

    如何保证这个检测插件不会盗取 cookie ?

    插件获取 cookie 的前提,需要设置 cookie 权限字段才能获取 cookie 。首先,此插件代码 100%开源,可直接查看源代码来检查本插件的权限。其次,也可手动查看插件的在 macOS 上的实际文件夹路径,查看 mainfest 检查真实的权限字段。非常容易验证。这是手动检查权限的方法,以供参考:https://github.com/sshallow/WhoUsesCookies
    Hozoy
        21
    Hozoy  
       173 天前
    上架 Chrome 扩展商店的扩展都是要被审核原始代码,并且不能对代码进行混淆的,但是审核员质量层次不齐,可能会出现漏网之鱼的。
    所以尽可能在官方应用商店安装拓展,如果拓展涉及到敏感权限,就可以看一下拓展原始代码,看看有没有将相关信息发送给某个服务器的逻辑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3687 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 04:22 · PVG 12:22 · LAX 20:22 · JFK 23:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.