V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
WarlockMan
V2EX  ›  浏览器

国产浏览器是否能感知到用户访问的页面内容?或者以隐蔽的方式植入证书?

  •  
  •   WarlockMan · 2023-12-14 17:53:35 +08:00 · 4100 次点击
    这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。
    起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
    我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
    我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,

    我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
    是我发散思维的延伸联想猜测,咱们往下看:

    得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:

    明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文

    虽然网页内容在安全信道里都是以密文形式传输,
    但内容总是要渲染到浏览器客户端供人阅读,
    理论上浏览器客户端有监视页面内容的能力。

    我们暂且不谈悄悄植入中间人证书这种行为,
    就算不在证书这一层做手脚,
    如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
    在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
    (毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
    这岂不是能完全监视用户的页面内容了不是么。

    这在理论上是可能得吗?

    当然,技术人当然会使用可信赖的客户端,
    但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
    上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?

    只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
    33 条回复    2023-12-27 03:17:56 +08:00
    cheng6563
        1
    cheng6563  
       2023-12-14 17:58:46 +08:00
    这不是必有的吗
    chaoschick
        2
    chaoschick  
       2023-12-14 18:49:45 +08:00 via Android
    不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥
    renmu
        3
    renmu  
       2023-12-14 19:05:15 +08:00 via Android
    浏览器插件都能随便看记录,更别提浏览器了
    IvanLi127
        4
    IvanLi127  
       2023-12-14 19:06:39 +08:00 via Android
    可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。
    busier
        5
    busier  
       2023-12-14 19:28:40 +08:00
    Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易!
    nnikolaatteslaa
        6
    nnikolaatteslaa  
       2023-12-14 20:10:18 +08:00
    国产浏览器都可以得知访问的网页内容

    国产浏览器应用都会有一个自带的证书
    nnikolaatteslaa
        7
    nnikolaatteslaa  
       2023-12-14 20:12:46 +08:00
    国产浏览器都会敏感词库
    gentrydeng
        8
    gentrydeng  
       2023-12-14 20:31:29 +08:00 via Android   ❤️ 1
    Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。

    这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。

    还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。

    这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。

    那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情?

    当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。
    Conantv2
        9
    Conantv2  
       2023-12-14 20:40:47 +08:00   ❤️ 1
    1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。

    2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。
    jeesk
        10
    jeesk  
       2023-12-14 23:23:27 +08:00
    google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有?
    YaD2x
        11
    YaD2x  
       2023-12-15 00:10:41 +08:00
    别提浏览器了 国内啥软件不知到你干啥了
    Stoney
        12
    Stoney  
       2023-12-15 08:50:26 +08:00 via iPhone
    用国产即裸奔
    cccer
        13
    cccer  
       2023-12-15 09:04:30 +08:00
    加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。
    浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。
    dodakt
        14
    dodakt  
       2023-12-15 09:36:45 +08:00
    没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用
    ysq
        15
    ysq  
       2023-12-15 09:43:26 +08:00
    IP 地址关联,MAC 关联
    bl4ckoooooH4t
        16
    bl4ckoooooH4t  
       2023-12-15 09:51:32 +08:00
    肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。
    NessajCN
        17
    NessajCN  
       2023-12-15 09:52:50 +08:00   ❤️ 1
    就事论事仅对于定向个性化广告来说
    广告商其实并不需要知道你搜了什么内容
    他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例:
    (function 定制广告(){
    const "关键字" = 获取剪贴板();
    显示广告("关键字");
    })()
    上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等,
    调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能
    而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告
    仅仅是向根据关键字向你推送了广告
    nothingistrue
        18
    nothingistrue  
       2023-12-15 10:01:18 +08:00
    不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗?
    InDom
        19
    InDom  
       2023-12-15 10:03:48 +08:00
    甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。
    janus77
        20
    janus77  
       2023-12-15 10:04:05 +08:00
    这东西跟国产不国产没关系,任何浏览器都可以的
    pendulum
        21
    pendulum  
       2023-12-15 14:00:53 +08:00
    大概率是因为广告联盟共享信息
    7inFen
        22
    7inFen  
       2023-12-15 14:23:29 +08:00
    我觉得浏览器大概率不会做这个
    程序化广告利用算法和技术对目标受众进行精准识别和定向投放,已经很成熟了
    跨平台、跨媒体、匿名浏览都有精准定向的可能性
    guoziq09
        23
    guoziq09  
       2023-12-15 16:46:40 +08:00
    使用网络=裸奔
    跟国不国产
    用不用浏览器关系不大
    wanwaneryide
        24
    wanwaneryide  
       2023-12-15 16:58:34 +08:00
    浏览器如果不知道页面的内容(内容加密),怎么通过关键字搜索页面的内容的?
    body007
        25
    body007  
       2023-12-15 17:30:50 +08:00
    别用国产浏览器了,这段时间访问 P 站提示无网络,换成 Chrome 就没问题。你猜猜看,用国产浏览器知不知道你在干嘛。
    SenLief
        26
    SenLief  
       2023-12-15 17:30:57 +08:00
    在 v2 国产就是原罪,啥屎盆子都往上扣就完事了。
    SunsetShimmer
        27
    SunsetShimmer  
       2023-12-15 18:19:44 +08:00 via Android
    如果浏览器(客户端)不可信,必然无法保证安全。
    “PC 端的 Chrome(国际版)页面搜索”,用的是什么搜索引擎?
    toubi
        28
    toubi  
       2023-12-15 18:56:31 +08:00
    都没有看题吗?这和浏览器没啥关系,你访问的网页中含有广告追踪代码,会存储你的搜索记录和你的 IP 等等信息,然后这些信息会被同步给广告商,其他平台接入这个广告商,自然可以知道你干了啥,给你推算相关的内容。
    Mrwes
        29
    Mrwes  
       2023-12-15 18:59:35 +08:00
    程序化广告,广告联盟信息共享
    felix0012
        30
    felix0012  
       2023-12-16 07:32:56 +08:00 via Android
    歪个楼,lz 提到在浏览器上搜索了某种商品,这时候是不是也要怀疑输入法?通常输入法也会是泄漏隐私的重灾区
    chqome
        31
    chqome  
       2023-12-16 14:27:51 +08:00
    旧版 chrome 浏览器只要访问 12306 网站,电脑里就自动增加一个叫 cfca 证书,现在最新版已经修补这个漏洞了
    ryanlid
        32
    ryanlid  
       2023-12-16 14:45:38 +08:00
    页面内容是由浏览器显示的,那么浏览器到底能不能感知到页面内容???
    chapiom
        33
    chapiom  
       361 天前 via iPhone
    windows 也有用户画像啊,安装的时候有选项,默认是打开的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2549 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:57 · PVG 11:57 · LAX 19:57 · JFK 22:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.