V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
boboliu
V2EX  ›  程序员

Chrome (大概知名的)扩展 ModHeader 存在(大概算是)恶意的行为

  •  9
     
  •   boboliu ·
    fakeboboliu · 2020-11-02 23:48:27 +08:00 · 4909 次点击
    这是一个创建于 397 天前的主题,其中的信息可能已经有所发展或是发生改变。

    对,就是那个改 header 的扩展

    详情: https://blog.berd.moe/archives/chrome-malware-extension-modheader/

    TL;DR: 你会后台被加入一个 p2p 网络,被用作代理

    28 条回复    2020-11-04 09:09:08 +08:00
    cangxiao
        1
    cangxiao  
       2020-11-02 23:51:13 +08:00 via iPhone
    厉害了,虽然不太懂
    fprince
        2
    fprince  
       2020-11-03 00:12:30 +08:00
    多谢提醒,已禁用
    PainAndLove
        3
    PainAndLove  
       2020-11-03 00:14:57 +08:00
    多谢提醒,已删除
    lp10
        4
    lp10  
       2020-11-03 00:15:59 +08:00   ❤️ 2
    maketime4life
        5
    maketime4life  
       2020-11-03 00:47:58 +08:00
    感谢提醒,已移除

    不知道这款修改 HTTP Header 的插件有没有问题:

    Modify Header Value (HTTP Headers)
    https://chrome.google.com/webstore/detail/modify-header-value-http/cbdibdfhahmknbkkojljfncpnhmacdek
    ysc3839
        6
    ysc3839  
       2020-11-03 01:35:19 +08:00
    同问 Header Editor 这个有没有问题?
    https://github.com/FirefoxBar/HeaderEditor
    DoctorCat
        7
    DoctorCat  
       2020-11-03 01:46:54 +08:00
    可怕。
    FENGberd
        8
    FENGberd  
       2020-11-03 01:55:36 +08:00 via Android   ❤️ 2
    @ysc3839 @maketime4life
    这个似乎是 Firefox 吧搞的插件, 考虑到是国产+有一个较大的非盈利组织在后面支撑应该是可信的... 毕竟出问题在国内也会被喷的很惨
    没有细看, 大致看了一下 Background 挺干净的 :)
    FENGberd
        9
    FENGberd  
       2020-11-03 02:00:42 +08:00 via Android
    @maketime4life 不好意思, 回复点多了, 你发的这个拓展我现在没有拆包环境, 也没审查代码
    但这类个人或者小企业开发的拓展还是尽量远离, 我这已经中枪两次了
    比较靠谱的解决方案是继续用 ModHeader, 但只用一个去掉恶意代码的版本然后用开发者模式加载,这样可以避免自动更新带来的隐患
    yyfearth
        10
    yyfearth  
       2020-11-03 02:17:23 +08:00
    @FENGberd 但是手动加载 Chrome 会定期清理掉 要从新手动加载
    如果是几个扩展还勉强 OK 扩展多了就基本上不可行了
    FENGberd
        11
    FENGberd  
       2020-11-03 07:12:36 +08:00 via Android
    @yyfearth 你也可以用内建的开发者工具打包然后装 crx,当场打包然后不关闭页面的情况下直接把 crx 拖到拓展页面里是可以正常安装的(至少在 Chromium 下测试正常)
    muzuiget
        12
    muzuiget  
       2020-11-03 08:40:30 +08:00
    都会 JS 了,这种功能的扩展自己写不好吗?关键代码撑死也就是 30 行。
    Cbdy
        13
    Cbdy  
       2020-11-03 08:44:37 +08:00 via Android
    这玩意在 Google 商店也能过审?
    abc612008
        14
    abc612008  
       2020-11-03 08:47:39 +08:00
    幸好我只在需要的时候启用这个扩展,平时都是 disabled 的。
    BBCCBB
        15
    BBCCBB  
       2020-11-03 08:49:22 +08:00
    啊这,,, 有没有替代的呢?
    DearMark
        16
    DearMark  
       2020-11-03 08:51:12 +08:00
    发现我也有这个,不过我比较好奇如何加入这个 p2p 网络,网速快吗?
    boboliu
        17
    boboliu  
    OP
       2020-11-03 09:41:38 +08:00 via Android   ❤️ 2
    @DearMark 明面上叫“p2p 网络”,实际上就是个卖代理的,就是爬虫用的那种
    shiji
        18
    shiji  
       2020-11-03 09:44:11 +08:00
    @BBCCBB 去网上找这个插件的历史版本,导入进来就好了
    FENGberd
        19
    FENGberd  
       2020-11-03 09:46:11 +08:00 via Android
    @muzuiget 做一个功能齐全、UI 高效的插件可不是你这么几句话能做出来的事情
    有现成的一般都会选择现成的解决方案,否则根据这个理论,我用的所有软件都可以自己写,为什么要去买呢
    FENGberd
        20
    FENGberd  
       2020-11-03 09:47:46 +08:00 via Android
    @Cbdy Google 现在的拓展审核和更新机制就是个笑话,更新过程中插恶意代码也不是第一次了,插件转手加恶意代码也是经常出现的新闻
    lp10
        21
    lp10  
       2020-11-03 11:26:41 +08:00
    @FENGberd 还有山寨插件被原主举报也举报不掉的情况。Chrome 插件商店基本上就是群魔乱舞的状态
    Jirajine
        22
    Jirajine  
       2020-11-03 14:08:22 +08:00
    换 firefox,常用的扩展都有 mozilla 的人工审核(带 Recommended 标志),像这样的 https://addons.mozilla.org/en-US/firefox/addon/user-agent-string-switcher
    其他的扩展要注意权限,只是对某个网站生效的(仅访问某些特定域名)一般问题不大,对于需要访问全局数据的,尽量手动 review 代码,凡是加过混淆压缩的都要警惕。
    你也可以提交认为的某些优质插件到 amo-featured [at] mozilla [dot] org 。
    Jirajine
        23
    Jirajine  
       2020-11-03 14:14:00 +08:00
    另外可以收集一些提供集成到扩展中的服务提供商(如这里的 infatica ),通过它们的特征自动扫描,类似广告联盟一样,一般个人开发者要获得收入只能用这些,能挡下大部分。
    shuangya
        24
    shuangya  
       2020-11-03 14:39:23 +08:00 via Android   ❤️ 2
    小广告一波,Header Editor 可以放心用,我是作者,我自己也用,手动滑稽。
    Rhilip
        25
    Rhilip  
       2020-11-03 16:38:11 +08:00   ❤️ 1
    除了扩展更新可能被插入恶意代码外,目前审核机制导致我们正常插件(开源)也通不过审核,无法在商店上架。
    也挺是搞笑的。用户被迫使用开发者模式,或者添加托管。
    FENGberd
        26
    FENGberd  
       2020-11-03 17:02:02 +08:00
    @Rhilip 请问这里的 “添加托管” 是指什么?是在组策略中加上插件 ID 的白名单然后安装 crx 这个操作么
    如果我没记错,至少在 v7x 的某几个版本加安装白名单是无效的... 但可以通过在拓展管理页面现场打包和安装成功装上 crx 拓展 (现在这个方法又不行了)
    AmItheRobot
        27
    AmItheRobot  
       2020-11-04 09:05:47 +08:00
    @shuangya #24 老大这个问题有解决的建议吗? https://www.v2ex.com/t/718318
    chrome 不支持 originUrl,requestHeaders 又只能在响应时触发,感觉好无解
    AmItheRobot
        28
    AmItheRobot  
       2020-11-04 09:09:08 +08:00
    @Rhilip #25 一个帖子抓到两只我用的扩展的作者,幸会。用文件夹的方式装扩展实在太丑陋了,用户也很难受,还没法自动更新……
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1961 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:34 · PVG 10:34 · LAX 18:34 · JFK 21:34
    ♥ Do have faith in what you're doing.