V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
WarlockMan
V2EX  ›  浏览器

国产浏览器是否能感知到用户访问的页面内容?或者以隐蔽的方式植入证书?

  •  
  •   WarlockMan · 322 天前 · 3969 次点击
    这是一个创建于 322 天前的主题,其中的信息可能已经有所发展或是发生改变。
    起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
    我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
    我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,

    我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
    是我发散思维的延伸联想猜测,咱们往下看:

    得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:

    明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文

    虽然网页内容在安全信道里都是以密文形式传输,
    但内容总是要渲染到浏览器客户端供人阅读,
    理论上浏览器客户端有监视页面内容的能力。

    我们暂且不谈悄悄植入中间人证书这种行为,
    就算不在证书这一层做手脚,
    如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
    在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
    (毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
    这岂不是能完全监视用户的页面内容了不是么。

    这在理论上是可能得吗?

    当然,技术人当然会使用可信赖的客户端,
    但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
    上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?

    只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
    33 条回复    2023-12-27 03:17:56 +08:00
    cheng6563
        1
    cheng6563  
       322 天前
    这不是必有的吗
    chaoschick
        2
    chaoschick  
       322 天前 via Android
    不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥
    renmu
        3
    renmu  
       322 天前 via Android
    浏览器插件都能随便看记录,更别提浏览器了
    IvanLi127
        4
    IvanLi127  
       322 天前 via Android
    可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。
    busier
        5
    busier  
       322 天前
    Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易!
    nnikolaatteslaa
        6
    nnikolaatteslaa  
       322 天前
    国产浏览器都可以得知访问的网页内容

    国产浏览器应用都会有一个自带的证书
    nnikolaatteslaa
        7
    nnikolaatteslaa  
       322 天前
    国产浏览器都会敏感词库
    gentrydeng
        8
    gentrydeng  
       322 天前 via Android   ❤️ 1
    Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。

    这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。

    还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。

    这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。

    那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情?

    当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。
    Conantv2
        9
    Conantv2  
       322 天前   ❤️ 1
    1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。

    2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。
    jeesk
        10
    jeesk  
       322 天前
    google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有?
    YaD2x
        11
    YaD2x  
       322 天前
    别提浏览器了 国内啥软件不知到你干啥了
    Stoney
        12
    Stoney  
       321 天前 via iPhone
    用国产即裸奔
    cccer
        13
    cccer  
       321 天前
    加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。
    浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。
    dodakt
        14
    dodakt  
       321 天前
    没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用
    ysq
        15
    ysq  
       321 天前
    IP 地址关联,MAC 关联
    bl4ckoooooH4t
        16
    bl4ckoooooH4t  
       321 天前
    肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。
    NessajCN
        17
    NessajCN  
       321 天前   ❤️ 1
    就事论事仅对于定向个性化广告来说
    广告商其实并不需要知道你搜了什么内容
    他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例:
    (function 定制广告(){
    const "关键字" = 获取剪贴板();
    显示广告("关键字");
    })()
    上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等,
    调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能
    而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告
    仅仅是向根据关键字向你推送了广告
    nothingistrue
        18
    nothingistrue  
       321 天前
    不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗?
    InDom
        19
    InDom  
       321 天前
    甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。
    janus77
        20
    janus77  
       321 天前
    这东西跟国产不国产没关系,任何浏览器都可以的
    pendulum
        21
    pendulum  
       321 天前
    大概率是因为广告联盟共享信息
    7inFen
        22
    7inFen  
       321 天前
    我觉得浏览器大概率不会做这个
    程序化广告利用算法和技术对目标受众进行精准识别和定向投放,已经很成熟了
    跨平台、跨媒体、匿名浏览都有精准定向的可能性
    guoziq09
        23
    guoziq09  
       321 天前
    使用网络=裸奔
    跟国不国产
    用不用浏览器关系不大
    wanwaneryide
        24
    wanwaneryide  
       321 天前
    浏览器如果不知道页面的内容(内容加密),怎么通过关键字搜索页面的内容的?
    body007
        25
    body007  
       321 天前
    别用国产浏览器了,这段时间访问 P 站提示无网络,换成 Chrome 就没问题。你猜猜看,用国产浏览器知不知道你在干嘛。
    SenLief
        26
    SenLief  
       321 天前
    在 v2 国产就是原罪,啥屎盆子都往上扣就完事了。
    SunsetShimmer
        27
    SunsetShimmer  
       321 天前 via Android
    如果浏览器(客户端)不可信,必然无法保证安全。
    “PC 端的 Chrome(国际版)页面搜索”,用的是什么搜索引擎?
    toubi
        28
    toubi  
       321 天前
    都没有看题吗?这和浏览器没啥关系,你访问的网页中含有广告追踪代码,会存储你的搜索记录和你的 IP 等等信息,然后这些信息会被同步给广告商,其他平台接入这个广告商,自然可以知道你干了啥,给你推算相关的内容。
    Mrwes
        29
    Mrwes  
       321 天前
    程序化广告,广告联盟信息共享
    felix0012
        30
    felix0012  
       321 天前 via Android
    歪个楼,lz 提到在浏览器上搜索了某种商品,这时候是不是也要怀疑输入法?通常输入法也会是泄漏隐私的重灾区
    chqome
        31
    chqome  
       320 天前
    旧版 chrome 浏览器只要访问 12306 网站,电脑里就自动增加一个叫 cfca 证书,现在最新版已经修补这个漏洞了
    ryanlid
        32
    ryanlid  
       320 天前
    页面内容是由浏览器显示的,那么浏览器到底能不能感知到页面内容???
    chapiom
        33
    chapiom  
       310 天前 via iPhone
    windows 也有用户画像啊,安装的时候有选项,默认是打开的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1386 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 23:47 · PVG 07:47 · LAX 16:47 · JFK 19:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.