这是一个创建于 4291 天前的主题,其中的信息可能已经有所发展或是发生改变。
Chrome扩展「豆瓣FM 精美版」(https://chrome.google.com/webstore/detail/ofgppnjcdndocgicmodblmfmbdibefbm/)6.2.3_0与6.2.2_0相比,要求更大的权限。
检查扩展代码,首先对比manifest.json,与上一版本不同,使用content_scripts字段,向页面注入js/inject.js脚本;据此检查js/inject.js,发现其引入远程JS(http://send2.eg300.com/js/doubanfmjmb/extension.js)。
尝试下载该JS,但没有成功,也没有找到该域名的信息。
此信息并不意味着笔者认为该扩展有恶意行为,但无论如何应谨慎安装非Google出品的Chrome浏览器扩展。
推荐阅读:谷奥-不可忽视的 Chrome 扩展安全性:http://www.guao.hk/posts/about-chrome-extension-security.html
检查扩展代码,首先对比manifest.json,与上一版本不同,使用content_scripts字段,向页面注入js/inject.js脚本;据此检查js/inject.js,发现其引入远程JS(http://send2.eg300.com/js/doubanfmjmb/extension.js)。
尝试下载该JS,但没有成功,也没有找到该域名的信息。
此信息并不意味着笔者认为该扩展有恶意行为,但无论如何应谨慎安装非Google出品的Chrome浏览器扩展。
推荐阅读:谷奥-不可忽视的 Chrome 扩展安全性:http://www.guao.hk/posts/about-chrome-extension-security.html
 |
1
Mutoo 2013-03-01 14:51:16 +08:00  1
这种非官方的个人扩展本来就需要小心的。不如直接选用域名限制在douban.fm下的userscripts。
|
 |
2
feiandxs 2013-03-01 15:08:49 +08:00
豆瓣FM 精美版 …… 名字带XX版(诸如绿色版,优化版,纯净版,无极版)的基本都不是什么好东西。
至少给自己的软件起类似名字的作者的品位都很低级。 |
 |
3
xinhugo OP 1
@Mutoo 请问你是如何使用userscripts的呢?是直接拖到Chrome扩展程序页面安装,还是使用第三方扩展(例如,Tampermonkey)进行管理呢?
自Chrome稳定版升级到V25,Tampermonkey启用的情况下,打开Evernote网页版,标签就崩溃。 |
 |
5
caomu 2013-03-01 16:11:04 +08:00 2
嗯,像这种权限不明的扩展,如果我真的要用(例如一个“您在所有网站上的数据、您的标签页和浏览活动”的天气扩展),我就自己下crx,改掉代码然后再打包自用。
|
|
6
xinhugo OP @caomu 嗯嗯,对于比价扩展,我也这么干过。但因为学生党,资金有限,不常网购,安装在平常用来测试的Chrome金丝雀版上算了。
你尝试过不重新打包情况下,直接修改 \User Data\Default\Preferences 相应扩展的权限吗? |
 |
8
greatghoul 2013-03-08 14:24:58 +08:00
这个作者的易词典也有这样的问题。
https://chrome.google.com/webstore/detail/易词典/njeebknkghnjbobnghdlfgfaigkjciih 有没有 Chrome 里面类似于安全卫士的扩展呢?能够查这样扩展的? |
|
9
xinhugo OP @greatghoul 「这样的问题」指的是权限,还是引入可疑远程JS?
词典扩展要实现屏幕取词,需要「您在所有网站上的数据」可以理解。不放心的话,可以试试Google Dictionary (by Google) https://chrome.google.com/webstore/detail/google-dictionary-by-goog/mgijmajocgfcbeboacabfgobmjgjcoja/details |
 |
10
dowhat 2013-03-17 20:39:33 +08:00
啊哦,您没有任何扩展程序 :-( 要改为浏览该程序库吗?
我发现自己竟然一个扩展都没装…… |
 |
11
swulling 2013-03-17 20:42:28 +08:00
这个地址能访问啊
http://send2.eg300.com/js/doubanfmjmb/extension.js 会再head里塞这个 s.src="http://send2.eg300.com/js/extension.min.js"; 整理下:https://gist.github.com/ninehills/5181343 可以看是劫持taobao/tmail地址 |
|
12
swulling 2013-03-17 20:55:29 +08:00
号召去chrome商店里面report abuse,国人的东西真心不靠谱
|
 |
13
shiny 2013-03-17 21:14:04 +08:00
@swulling 这是他未压缩的版本 http://send2.eg300.com/js/extension.js
|
|
15
greatghoul 2013-03-18 14:31:10 +08:00
@greatghoul http://a1.eg300.com/js/extension.min.js
inject.js 中先入了一个外部脚本,然后脚本中又动态了入了一个 extensin.min.js 的东东。虽然是压缩过了,但依然能看出是和淘宝有关的。 我没有细看代码,虽然不一定作者在做恶,但这样隐晦的载入,大概也不是什么见得光的事。 所以还是劝大家少用了,虽然我也不上淘宝什么的,但还是有种被爆菊花的感觉。 不过还是感谢作者开发出易词典这样好用的词典扩展,真的很好用。 |
 |
16
wenchao 2013-03-28 00:47:42 +08:00
看商店的最新评论,确实好多人都有这个劫持淘宝的问题。我找到一个 豆瓣FM 精美版 5.4.8 版本的,就是歌词功能貌似不可以了,其它功能都能用。http://pan.baidu.com/share/link?shareid=380685&uk=356416 这个权限就少多了,只要豆瓣fm和百度听*(估计是歌词)的权限。
|
|
17
wenchao 2013-03-28 00:53:32 +08:00
@wenchao 审核失败,我真是服气了。http://www.kuaipan.cn/file/id_2459963993620613.htm 还是金山好啊。
|
Select Language