V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cdd2zju
V2EX  ›  问与答

chrome 油猴等插件,你中过招吗?它的便利性及安全性,你如何权衡?

  •  
  •   cdd2zju · 2022-04-18 21:00:22 +08:00 · 2354 次点击
    这是一个创建于 950 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我一直是[[平台+插件]]类型的软件的拥趸,比如

    • [[vscode]]
    • [[chrome]],
    • [[油猴脚本]],
    • [[alfred]],
    • [[obsidian]]
    • 包括[[docker]],因为能方便拉取各种公开镜像直接 run 一个服务,我个人也将其定义为广义的[[平台+插件]]类型的软件。

    但最近用了个油猴脚本,有几千下载量,发现它有搜集我信息的疑似代码。我突然对自己之前无脑下载使用,几乎不管安全性的行为,产生了深深的质疑,大概率我已经有好多隐私信息被这些插件摸到过😫😫。这类插件一般都有 2 个特点:

    • 免费的
    • 提供很大方便,不用我们重复造轮子。

    所以,忍不住不用感觉很难,但为了绝对安全,去看源码也有点本末倒置。我更多的就是当个掩耳盗铃之人,就选择相信平台,以及下载量较大,评分较高的知名插件了😅。

    不知道大家是抱着什么样的心态和用法,去使用这类平台及插件的呢?

    以及还有哪些有很丰富的社区插件的平台型的软件呢?也不妨推荐出来。

    感谢~~

    12 条回复    2022-04-18 22:53:43 +08:00
    gra
        1
    gra  
       2022-04-18 21:07:39 +08:00
    安全第一,如果实在想用,就找替代或者自己做
    Pastsong
        2
    Pastsong  
       2022-04-18 21:11:55 +08:00
    基于社区共识。。比如“这么多人,总有一个人看过代码吧,那我就不看了”,甚至包管理工具也是,npm ,pip ,apt 装的东西不可能都去审查一遍吧
    wolfie
        3
    wolfie  
       2022-04-18 21:34:47 +08:00
    比如用 IDEA leetcode 插件,就从来不敢登录用。
    看个人判断吧,综合各种信息 对产品开发者是否相信。
    cdd2zju
        4
    cdd2zju  
    OP
       2022-04-18 21:41:01 +08:00 via Android
    @Pastsong 哈哈,社区共识,好词。npm 的确运行这么多年,就只有上次爆过一次 event-stream 恶意代码偷数字货币的大新闻。
    cdd2zju
        5
    cdd2zju  
    OP
       2022-04-18 21:43:36 +08:00 via Android
    @wolfie 。。。怕自己写的优质代码,被官方识别到,把你信息卖给企业吗?哈哈哈。我个辣鸡程序员表示,猎头电话尽管来嚯嚯我。
    autoxbc
        6
    autoxbc  
       2022-04-18 21:51:05 +08:00
    大多数扩展可以用 200 行代码写一个最简原型,足够个人使用了
    jfdnet
        7
    jfdnet  
       2022-04-18 22:06:25 +08:00
    一般有安全问题最终会爆出来。就 别想那么多了吧。
    ptsa
        8
    ptsa  
       2022-04-18 22:12:43 +08:00
    @autoxbc #6 主要是自己不会写, 只能用别人
    jim9606
        9
    jim9606  
       2022-04-18 22:18:43 +08:00
    没有审查能力的话确实是这样。
    如果有简单的审查能力,尽量用功能单一的脚本,同时只允许引用知名的库脚本。这类脚本不会很长,功能也比较明确,比较容易检查。
    huntagain2008
        10
    huntagain2008  
       2022-04-18 22:24:00 +08:00
    小白以前用过屏蔽 csdn 搜索结果的油猴脚本,后来 Edge 出来了,被微软吹的世界第一快的浏览器给蛊惑了,于是放弃了 Google 浏览器改用 Edge ,导致现在就没用到任何油猴脚本。当然也是对安全性有些怀疑。

    浏览器扩展后来只在 Mozilla 浏览器用到,先被主题、黑暗模式蛊惑,后来觉得影响性能,都用成默认的,留下了 WebRTCDisable 只是因为图标很帅。而常常要划词翻译却不用划词取词的扩展,就是因为图标太难看了,而且界面太臃肿了。

    安全性是第二考虑的,功能是主要的。老妈收到同事给的百度云资源,我用百度官方的下载,速度慢的感人。一顿搜索看到好几个油猴插件,最后却用的伪 pandownload 下载,速度真的快,第一次用感觉挺不错的,于是软件就留下了。既不是开源的,还要账号,安全性应该更可疑了。原因就是界面好看,网站文档优秀,使用起来也很好,于是就留下了。
    yanwen
        11
    yanwen  
       2022-04-18 22:53:16 +08:00
    这个我深有感触。
    但是!!防止这类东西 其实有个扩展非常好用的就是 NoScript 。
    建立个白名单域名列表,其他的域名一律不信任。这样就执行不了 JS ,有效阻止了他们收集信息。
    yanwen
        12
    yanwen  
       2022-04-18 22:53:43 +08:00
    以上 仅限于浏览器。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2805 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 09:35 · PVG 17:35 · LAX 01:35 · JFK 04:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.