V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2006 days ago, the information mentioned may be changed or developed.
对,就是那个改 header 的扩展
详情: https://blog.berd.moe/archives/chrome-malware-extension-modheader/
TL;DR: 你会后台被加入一个 p2p 网络,被用作代理
 |
1
cangxiao Nov 2, 2020 via iPhone
厉害了,虽然不太懂
|
 |
2
fprince Nov 3, 2020
多谢提醒,已禁用
|
 |
3
Lanayaaa Nov 3, 2020
多谢提醒,已删除
|
 |
4
lp10 Nov 3, 2020  2
感谢提醒,已移除 + report abuse
ID: idgpnmonknjnojddfkpgkljpfnnfcklj 出问题的 commit: https://github.com/bewisse/modheader/commit/d3adbfef2c1d66bd1af725e2cbc3945475568c8d#diff-87621d48fba8aac6ffe28a4b7f95e551f8a73bcbe4085639f05c03cfec5630e3 |
 |
5
maketime4life Nov 3, 2020
感谢提醒,已移除
不知道这款修改 HTTP Header 的插件有没有问题: Modify Header Value (HTTP Headers) https://chrome.google.com/webstore/detail/modify-header-value-http/cbdibdfhahmknbkkojljfncpnhmacdek |
 |
6
ysc3839 Nov 3, 2020
同问 Header Editor 这个有没有问题?
https://github.com/FirefoxBar/HeaderEditor |
 |
7
DoctorCat Nov 3, 2020
可怕。
|
 |
8
FENGberd Nov 3, 2020 via Android 2
@ysc3839 @maketime4life
这个似乎是 Firefox 吧搞的插件, 考虑到是国产+有一个较大的非盈利组织在后面支撑应该是可信的... 毕竟出问题在国内也会被喷的很惨 没有细看, 大致看了一下 Background 挺干净的 :) |
|
9
FENGberd Nov 3, 2020 via Android
@maketime4life 不好意思, 回复点多了, 你发的这个拓展我现在没有拆包环境, 也没审查代码
但这类个人或者小企业开发的拓展还是尽量远离, 我这已经中枪两次了 比较靠谱的解决方案是继续用 ModHeader, 但只用一个去掉恶意代码的版本然后用开发者模式加载,这样可以避免自动更新带来的隐患 |
|
11
FENGberd Nov 3, 2020 via Android
@yyfearth 你也可以用内建的开发者工具打包然后装 crx,当场打包然后不关闭页面的情况下直接把 crx 拖到拓展页面里是可以正常安装的(至少在 Chromium 下测试正常)
|
 |
12
muzuiget Nov 3, 2020
都会 JS 了,这种功能的扩展自己写不好吗?关键代码撑死也就是 30 行。
|
 |
13
Cbdy Nov 3, 2020 via Android
这玩意在 Google 商店也能过审?
|
 |
14
abc612008 Nov 3, 2020
幸好我只在需要的时候启用这个扩展,平时都是 disabled 的。
|
 |
15
BBCCBB Nov 3, 2020
啊这,,, 有没有替代的呢?
|
 |
16
DearMark Nov 3, 2020
发现我也有这个,不过我比较好奇如何加入这个 p2p 网络,网速快吗?
|
|
19
FENGberd Nov 3, 2020 via Android
@muzuiget 做一个功能齐全、UI 高效的插件可不是你这么几句话能做出来的事情
有现成的一般都会选择现成的解决方案,否则根据这个理论,我用的所有软件都可以自己写,为什么要去买呢 |
|
20
FENGberd Nov 3, 2020 via Android
@Cbdy Google 现在的拓展审核和更新机制就是个笑话,更新过程中插恶意代码也不是第一次了,插件转手加恶意代码也是经常出现的新闻
|
 |
22
Jirajine Nov 3, 2020
换 firefox,常用的扩展都有 mozilla 的人工审核(带 Recommended 标志),像这样的 https://addons.mozilla.org/en-US/firefox/addon/user-agent-string-switcher
其他的扩展要注意权限,只是对某个网站生效的(仅访问某些特定域名)一般问题不大,对于需要访问全局数据的,尽量手动 review 代码,凡是加过混淆压缩的都要警惕。 你也可以提交认为的某些优质插件到 amo-featured [at] mozilla [dot] org 。 |
|
23
Jirajine Nov 3, 2020
另外可以收集一些提供集成到扩展中的服务提供商(如这里的 infatica ),通过它们的特征自动扫描,类似广告联盟一样,一般个人开发者要获得收入只能用这些,能挡下大部分。
|
 |
24
shuangya Nov 3, 2020 via Android 2
小广告一波,Header Editor 可以放心用,我是作者,我自己也用,手动滑稽。
|
 |
25
Rhilip Nov 3, 2020 1
除了扩展更新可能被插入恶意代码外,目前审核机制导致我们正常插件(开源)也通不过审核,无法在商店上架。
也挺是搞笑的。用户被迫使用开发者模式,或者添加托管。 |
|
26
FENGberd Nov 3, 2020
@Rhilip 请问这里的 “添加托管” 是指什么?是在组策略中加上插件 ID 的白名单然后安装 crx 这个操作么
如果我没记错,至少在 v7x 的某几个版本加安装白名单是无效的... 但可以通过在拓展管理页面现场打包和安装成功装上 crx 拓展 (现在这个方法又不行了) |
 |
27
AmItheRobot Nov 4, 2020
@shuangya #24 老大这个问题有解决的建议吗? https://study.congcong.us/t/718318
chrome 不支持 originUrl,requestHeaders 又只能在响应时触发,感觉好无解 |
|
28
AmItheRobot Nov 4, 2020
@Rhilip #25 一个帖子抓到两只我用的扩展的作者,幸会。用文件夹的方式装扩展实在太丑陋了,用户也很难受,还没法自动更新……
|
Select Language