放大 / Google结果发送到远程服务器。
谷歌,Mozilla和Opera在跟踪其用户访问的每个网站并将数据发送到远程服务器后,已经下载了超过200万次下载的浏览器扩展。
Stylish扩展允许用户以各种方式自定义网站的外观和感觉。除此之外,它可以消除诸如Facebook或Twitter新闻提要之类的混乱,将普通图片更改为黑白漫画图像,以及将黑白网站主题更改为黑白主题。从今年开始,Stylish开始以高价执行这些有用的功能:根据软件工程师Robert Heaton的说法,该扩展开始默认将用户的完整浏览活动发送回其服务器,以及在许多情况下可以使用的唯一标识符关联属于这些用户的电子邮件地址或其他Internet属性。
更新的时尚隐私政策披露该扩展收集了浏览历史。例如,5月份发布的版本表示,该信息包括“标准Web服务器日志信息(即Web请求)以及响应该请求而发送的数据,例如使用的URL,Internet协议地址(已修剪和散列)匿名),HTTP推荐人和用户代理。“ 2017年1月的各种 文章也注意到跟踪,但引用新扩展的所有者,这些文章称这将是匿名的。(尽管许多网址,特别是长时间大量存储的网页,可能会让哪些人正在查看它们时非常明显。)
Heaton使用一种名为Burp Suite的安全测试工具来精确分析Stylish正在做什么。他发现它向userstyles.org发送了大量混淆数据,这是一个由新时尚所有者控制的网站。Heaton很快发现了如何对数据进行解码并发现它包含了惊人数量的详细信息,包括他访问过的每个URL,来自浏览器窗口的实际Google搜索结果,以及默认情况下的唯一标识符(尽管可以通过更改设置来删除)。
Heaton表示,自2017年1月以来,Stylish一直在收集Chrome用户的浏览器历史记录,以及自3月以来Firefox用户收集的浏览器历史记录。尽管该系列已经披露,但它在很大程度上没有引起谷歌,Mozilla和Opera的注意 – 更不用说200多万终端用户了 – 直到Heaton记录下来。Stylish的官员没有立即回复对此帖发表评论的请求。
这一集是最新的提醒,浏览器扩展需要付出代价,无论是他们可能收集的数据还是他们可能为黑客提供的增加的攻击面。该事件清楚地表明,浏览器制造商对其所托管的扩展程序进行了最低限度的审查。注重安全的用户应谨慎使用扩展,特别是那些提供最低利益的用户。对于那些想要忽略此建议并使用与Stylish相同功能的扩展程序的用户,Heaton推荐使用Stylus。
