全球主机交流论坛

标题: 沉浸式翻译插件是否安全？ [打印本页]

作者: 不要搞我 时间: 2025-1-3 22:38
标题: 沉浸式翻译插件是否安全？
本帖最后由不要搞我于 2025-1-3 22:40 编辑

用的时候没想太多，直接就装上了，后面想想插件的权限有点大，有些担心，所以搜索了一下，发现还是蛮多争议的

1.有泄露第三方 AI 的 API-KEY 的风险，同时也有泄露哔哩哔哩和有图比的 Cookie 的风险，有没有大佬验证一下
https://linux.do/t/topic/317877?page=4
https://www.v2ex.com/t/1042477

2.假开源争议，一开始是 Fork 项目，有开源 License ，后面使用闭源项目，顶替开源项目的名称、链接
https://www.v2ex.com/t/961178
https://www.v2ex.com/t/962364

对于浏览器插件，是否有办法限制其获取网站的 Cookie ？

作者: joker12581 时间: 2025-1-3 22:41
用别怕，怕别用。

作者: enjoyit 时间: 2025-1-3 22:47
沉浸式翻译是个什么意思？好高大上

作者: Daniel991 时间: 2025-1-4 00:34
我的想法是虽然开源不意味着绝对安全，但是有黑历史，总不能让我放心，实在要用开虚拟机吧

作者: 不要搞我 时间: 2025-1-4 01:27

Daniel991 发表于 2025-1-4 00:34
我的想法是虽然开源不意味着绝对安全，但是有黑历史，总不能让我放心，实在要用开虚拟机吧 ...

虚拟机没用吧

泄露 API-KEY 这个倒不用担心，可以用自己搭建的 new-api 中转，定时重置 KEY 就可以了，甚至可以设置好额度，不担心被刷爆

重点是哔哩哔哩和有图比的 cookie 泄露之后可以直接网页登录你的账号

作者: 小东xdd 时间: 2025-1-4 02:14
我最近才用这插件，因为谷歌翻译经常因为网络问题翻译不了，其他的用着不太好用，感觉这个还行

作者: wawos 时间: 2025-1-4 05:09
本帖最后由 wawos 于 2025-1-4 05:12 编辑

cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly,
就是这个cookie只通过http访问发送给网站服务器,本地js无法读取到,

但是扩展有拦截获取header头修改header的功能, httponly的cookie会存在发送的header头里面,
我不知道扩展它能不能获取到

我觉得扩展读不到

作者: kindlecon 时间: 2025-1-4 08:54
不确定，我也感觉有风险，所以我把是它扔另一个浏览器用的。

作者: root123 时间: 2025-1-4 08:59

作者: beiwei 时间: 2025-1-4 09:00
我停了。。。

作者: Amiya 时间: 2025-1-4 09:03
用下就把它禁用了，用的时候在用

作者: loclocloc 时间: 2025-1-4 09:22

wawos 发表于 2025-1-3 15:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可以自己写个扩展，监听get_cookie看看

作者: 不要搞我 时间: 2025-1-4 11:12

wawos 发表于 2025-1-4 05:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

Chrome 提供了专门的 cookies API，允许扩展程序访问和操作浏览器的 Cookie，包括 HttpOnly Cookie

作者: 鲁班 时间: 2025-1-4 11:32
用一个不常用的浏览器装这个插件，需要的时候再用这个浏览器翻译。日常用的浏览器不装权限过大的插件

作者: 不要搞我 时间: 2025-1-4 11:39

loclocloc 发表于 2025-1-4 09:22
扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可 ...

我问 GPT-o1 如何判断 Chrome 应用商店的扩展程序如何判断是否能获取 cookie

GPT：
但凡是请求 “读取和更改您在访问的网站上的所有数据” 权限的扩展程序，通常都具备访问 Cookie 的能力

沉浸式翻译插件安装时确实有请求 “读取和更改您在访问的网站上的所有数据” 权限

作者: liugogal 时间: 2025-1-4 11:41
都已经闭源了，这是没法自证的问题，怕就别用用就别怕

作者: wawos 时间: 2025-1-4 11:50

loclocloc 发表于 2025-1-4 09:22
扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可 ...

确认吗? 是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,

httponly都可以读影响太大了吧, 我自己试了下把google的登录cookie(httponly的)手动复制写入到一个新浏览器中,打开这个新浏览器, 直接就是登录状态了(新浏览器是另一台电脑的并且IP也与之前不一样)

作者: wawos 时间: 2025-1-4 11:52

不要搞我发表于 2025-1-4 11:12
Chrome 提供了专门的 cookies API，允许扩展程序访问和操作浏览器的 Cookie，包括 HttpOnly Cookie ...

这个api只是删除/修改httponly的cookie吧, 能读?

作者: 不要搞我 时间: 2025-1-4 12:00

wawos 发表于 2025-1-4 11:52
这个api只是删除/修改httponly的cookie吧, 能读?

Chrome：
使用 chrome.cookies API 查询和修改 Cookie，并在 Cookie 发生变化时接收通知

作者: loclocloc 时间: 2025-1-4 12:34
本帖最后由 loclocloc 于 2025-1-3 22:36 编辑

wawos 发表于 2025-1-3 21:50
确认吗? 是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,

https://developer.chrome.com/docs/extensions/reference/api/cookies

chrome.cookies开发文档里明确提到了有个httpOnly字段
扩展申明cookies权限后，直接

let currentTab = tabs[0]
chrome.cookies.getAll({ url: currentTab.url }, function (cookies) {
let cookies = JSON.stringify(cookies)
})

复制代码

虽然没拿过这种直白的Cookie获取代码实际上过扩展商店，至少本地安装100%是可以的，但结合前两天因为Google为了所谓”安全“下架了一堆v2扩展，导致有的扩展被恶意的李鬼模仿（包括一个很知名的Cookie编辑扩展），实际上对Chrome扩展商店的审核也要打个问号

作者: bmoxzjaualynivh 时间: 2025-1-4 12:42

我们不会将您的个人数据与第三方销售商或合作伙伴共享，法律规定的必要情况除外。

沪ICP备2023011353号

懂了吗?

作者: sevenjustin 时间: 2025-1-4 19:48
这是什么意思话说不应该泄漏用户隐私吧

作者: dapeng 时间: 2025-1-4 19:59
吓的我赶紧卸载了，不是，谷歌给这些扩展程序的权限也太大了吧？真的假的

作者: 你好，再见 时间: 2025-1-4 20:29

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)