更多全球網絡安全資訊盡在E安全官網www.easyaq.com
近日,谷歌和 Mozilla 將 Stylish 插件從其各自的應用中心刪除。一份 bug report 顯示,Stylish 暗中記錄用戶的瀏覽器歷史記錄並將數據發送到遠程服務器,Mozilla 對此作出了說明,而谷歌則直接將其從擴展中心下架。最早是一位軟件開發人員 Robert Heaton 在其博客中指出了 Stylish 的問題。
Stylish 是一款可以幫助用戶利用樣式管理器來重新編輯網站的樣式的 Chrome 插件。用戶利用 Stylish 為許多網站安裝主題和皮膚,也可創建自己的主題和皮膚。
最早是一位軟件開發人員 Robert Heaton 在其博客中指出了 Stylish 的問題。他表示,Stylish 將用戶的完整瀏覽網頁記錄發送回其服務器,並附帶唯一標識符。這允許其所有者 SimilarWeb 將用戶的個人活動連接到單個配置文件中,從而可以輕鬆地將此唯一標識符鏈接到網站登錄 cookie。這意味著 SimilarWeb 不僅擁有用戶完整瀏覽歷史的副本,而且還擁有足夠的其它數據,理論上可以知道電子郵件地址和用戶真實身份。
如上圖,Robert 攔截網絡請求後,知道 Stylish 的操作並不常規,他將其解碼後發現了端倪,意識到 Stylish 正在瀏覽其所有瀏覽記錄。
Stylish 是知名的瀏覽器插件,在此之前僅 Firefox 上就有 300K 用戶量,它可以幫用戶重新定義網頁的樣式,比如改變顏色或者拿掉不需要的內容。
分享到:
閱讀更多 E安全 的文章
