沉浸式翻译插件是否安全？

Amiya

用下就把它禁用了，用的时候在用

loclocloc

wawos 发表于 2025-1-3 15:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可以自己写个扩展，监听get_cookie看看

不要搞我

wawos 发表于 2025-1-4 05:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

Chrome 提供了专门的 cookies API，允许扩展程序访问和操作浏览器的 Cookie，包括 HttpOnly Cookie

鲁班

用一个不常用的浏览器装这个插件，需要的时候再用这个浏览器翻译。日常用的浏览器不装权限过大的插件

不要搞我

loclocloc 发表于 2025-1-4 09:22
扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可 ...

我问 GPT-o1 如何判断 Chrome 应用商店的扩展程序如何判断是否能获取 cookie

GPT：
但凡是请求 “读取和更改您在访问的网站上的所有数据” 权限的扩展程序，通常都具备访问 Cookie 的能力

沉浸式翻译插件安装时确实有请求 “读取和更改您在访问的网站上的所有数据” 权限

liugogal

都已经闭源了，这是没法自证的问题，怕就别用用就别怕

wawos

loclocloc 发表于 2025-1-4 09:22
扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可 ...

确认吗?  是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,  

httponly都可以读影响太大了吧, 我自己试了下把google的登录cookie(httponly的)手动复制写入到一个新浏览器中,打开这个新浏览器, 直接就是登录状态了(新浏览器是另一台电脑的并且IP也与之前不一样)

wawos

不要搞我 发表于 2025-1-4 11:12
Chrome 提供了专门的 cookies API，允许扩展程序访问和操作浏览器的 Cookie，包括 HttpOnly Cookie ...

这个api只是删除/修改httponly的cookie吧, 能读?

不要搞我

wawos 发表于 2025-1-4 11:52
这个api只是删除/修改httponly的cookie吧, 能读?

Chrome：
使用 chrome.cookies API 查询和修改 Cookie，并在 Cookie 发生变化时接收通知

loclocloc

wawos 发表于 2025-1-3 21:50
确认吗?  是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,  

https://developer.chrome.com/docs/extensions/reference/api/cookies

chrome.cookies开发文档里明确提到了有个httpOnly字段
扩展申明cookies权限后，直接

1. let currentTab = tabs[0]
   
2.     chrome.cookies.getAll({ url: currentTab.url }, function (cookies) {
   
3.         let cookies = JSON.stringify(cookies)
   
4.     })
   

复制代码

虽然没拿过这种直白的Cookie获取代码实际上过扩展商店，至少本地安装100%是可以的，但结合前两天因为Google为了所谓”安全“下架了一堆v2扩展，导致有的扩展被恶意的李鬼模仿（包括一个很知名的Cookie编辑扩展），实际上对Chrome扩展商店的审核也要打个问号