為什麼這篇edge外掛鄉民發文收入到精華區:因為在edge外掛這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者eight0 (人類)看板Browsers標題Re: [Edge] 瀏覽器擴充功能偷偷洗YouT...
※ 引述《eastwing (鯤島寄情)》之銘言:
: 近期我發現我的YouTube瀏覽紀錄出現了許多沒看過的外國影片,
: 什麼語言文字的影片都有,
: 而且很多影片還讓我的帳號按了喜歡。
: 這種狀況發生後,我趕緊改Google密碼,登出所有的裝置,
: 然後慢慢測試,但仍然時有發生。
: 上網查看了Dcard、巴哈等地,有些人過去也發生過這樣的現象,
: 也都反映改密碼沒有用。
: 甚至我還參考了巴哈姆特某篇推薦的線上掃毒之類的,但也是徒然。
: 不過我後來發現只要在Edge上登出YouTube (我沒在使用Google Chrome),
: 就可以有效遏止這樣的現象。
: 經過一段時間慢慢測試,
: 強烈懷疑是"Youtube Shot - screenshot tool"這個擴充功能在搞鬼。
: 已經在微軟Edge外掛程式商店上通報,也反映給板友注意。
: 以下為該擴充功能的商店頁面,就不縮網址了:
: https://microsoftedge.microsoft.com/addons/detail/
: youtube-shot-screenshot/dkkniajkaakepfchbfncibobcpmloplc
檢查了一下,這個擴充會在後台下載一個 js 檔並執行它︰
"http://extanalyticspro.s3-website.us-east-2.amazonaws.com/" + ID + ".js"
也就是
http://extanalyticspro.s3-website.us-east-2.amazonaws.com/dkkniajkaakepfchbfncibobcpmloplc.js
這檔案太大了所以沒看,大概就是偷資料的吧。
https://i.imgur.com/kjMv9Si.png
以後看到這種權限特別奇怪的就要小心了。
另外 Edge 跟 Chrome 的 CSP 政策比較寬鬆,允許執行動態程式碼的樣子?
我記得 AMO 改過 CSP 是不準上架的,可能會安全一點。
--
▉▏
▉▏
◢ ▊▎ ◣
◤ ▄▆▄ ◥
◥ ◥ ◤ ◤
▄ ▄
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.225.132.174 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1659105868.A.8A9.html
推 issemn: 推 07/30 00:16
推 eastwing: 推,真的有 07/30 02:10
推 eastwing: 話說請問這邊的AMO是指分析管理物件? 擴充功能的部分要 07/30 02:13
→ eastwing: 怎麼確保它不會在背後搞鬼呢? 07/30 02:13
→ eastwing: 目前看來只能在權限要求時多留意一下 07/30 02:15
→ kawasakiZII: AMO=addons.mozilla.org 07/30 19:42
推 eastwing: 原來如此 07/31 00:49
→ eastwing: 一直有種火狐比較不會管套件的錯覺 07/31 00:50
推 leon19790602: 推專業分析,順手檢舉了一下這個擴充 07/31 01:03
推 leon19790602: 那個js應該是有問題,有用防毒的瀏覽器擴充會直接擋 07/31 01:07
推 LastAttack: 幹 怕 07/31 08:47
→ sicao: 不"准"啦 07/31 18:44
推 if4: 我是路人,原來 M$ 有這問題? 07/31 21:40
推 hms5232: 不是微軟 是這個套件有問題 08/01 20:43
→ hms5232: 有看過為了開發方便或不明所以跟著教學寫成*的 08/01 20:43
→ hms5232: 所以也不一定是全部網站就是有問題 要看你的addon性質和 08/01 20:44