这是一个创建于 4235 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前安装了“土豆视频下载”这个插件,方便同事下土豆上的视频。
结果最近无意中发现它会向一些网页注入js,就是下面两个:
http://www.life.pm/js/tudoudownload/extension.js
http://www.life.pm/js/extension.min.js
对阿里巴巴的某些页面进行劫持。
去Chrome这个插件的评论里看,还有这么一条:
盗用别人代码,植入广告,劫持网银!见过无耻的,没见过这么无耻的!!
还会劫持网银!
太恐怖了。
我不是技术,所以没有详细的分析他的实现原理,有朋友感兴趣,可以分析下,公布出来。
避免其他人上当。
Ps:如果这个插件的开发中在这里,我只想说:“君子爱财取之以道”
结果最近无意中发现它会向一些网页注入js,就是下面两个:
http://www.life.pm/js/tudoudownload/extension.js
http://www.life.pm/js/extension.min.js
对阿里巴巴的某些页面进行劫持。
去Chrome这个插件的评论里看,还有这么一条:
盗用别人代码,植入广告,劫持网银!见过无耻的,没见过这么无耻的!!
还会劫持网银!
太恐怖了。
我不是技术,所以没有详细的分析他的实现原理,有朋友感兴趣,可以分析下,公布出来。
避免其他人上当。
Ps:如果这个插件的开发中在这里,我只想说:“君子爱财取之以道”
第 1 条附言 · 2013-04-20 00:14:42 +08:00
Ps:
我看到某个页面css没加载,仔细检查后发现是Adblock把某个域名ban掉了。
无意中又发现了这个插件的内幕,无心插柳了。
Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
我看到某个页面css没加载,仔细检查后发现是Adblock把某个域名ban掉了。
无意中又发现了这个插件的内幕,无心插柳了。
Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
 |
1
swulling 2013-04-19 11:39:43 +08:00
嘛,淘宝客。这个见多了。。
|
|
2
swulling 2013-04-19 11:40:06 +08:00
只能说安装扩展时要看下权限
|
 |
4
olnyshe 2013-04-19 11:51:12 +08:00
|
 |
5
tension 2013-04-19 11:57:33 +08:00
Chrome / Android
不都是这样吗????????? |
 |
6
shidenggui 2013-04-19 12:02:49 +08:00
谷歌在扩展上真的是不作为啊,任由恶意扩展横行
|
 |
7
linuxer 2013-04-19 12:55:37 +08:00
AMO上审核还是挺严格的。相反,Chrome上,真是哈哈哈。
|
 |
8
1423 2013-04-19 13:46:30 +08:00
|
|
9
swulling 2013-04-19 14:43:42 +08:00
|
 |
10
xupefei 2013-04-19 17:20:26 +08:00
@1423 还有http://userscripts.org/scripts/show/119622
|
 |
11
lightening 2013-04-19 18:04:17 +08:00
下载优酷土豆视频,只要把视频的url中的tudou.com改成xiatudou.com就行了。优酷也一样,xiayouku.com.
|
 |
12
Sivan 2013-04-19 18:22:47 +08:00
Chrome 上这种插件多了去了……
|
 |
13
muzuiget 2013-04-19 20:24:17 +08:00
不审核就是这样的,相反 AMO 有审核生态环境就好点,我也上传过几个扩展,一个月了还是初审资格。
AMO 审核真的好严格,上传文件后会先自动验证和检查,风险代码会被高亮警告,例如使用 document.createElement('script')。 然后排队等人工审核,分「初步审核」和「全面审核」,还是代码级的,有意见的话会打回来让你改,新扩展基本只给初审资格。得到初审后,要 10 天后才能重新请求完全审核。每个版本都会审,都要排队,所以好慢(这也可能会扩展的受欢迎程度和作者水平相关,比如 flashgot/noscript 隔几天就有机会更新一次)。 而且代码要求也很多,不允许从服务器动态载入脚本,不允许混淆(除非是类似 jquery 这样的库),也不许故意写的难理解,有 exe 文件的话,也要提供源码,没一个月跑不了。 具体可见 https://addons.mozilla.org/zh-CN/developers/docs/policies/reviews 这样作恶成本就高了,这样对老实并急于分享的开发者不友好,修改还要重新排队等审核,不过也可以迫使开发者好好对待每一个版本。 能通过全面审核基本上都是干净扩展,而且扩展质量比 Chrome 版本的好得多。 |
 |
14
wwqgtxx 2013-04-19 21:36:07 +08:00 via Android  1
还是用Firefox吧,AMO中的插件比较放心
|
 |
15
banbanchs 2013-04-19 22:54:25 +08:00
下视频可以看看flvcd.com,可以直接用浏览器下载
google在应用审核方面真的做的很烂很烂 |
 |
16
byron OP 唉,我自己要下载的话Chrome自身就可实现下载,关键是给同事用的,so……
Ps:Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么? |
 |
17
cyr1l 2013-04-20 00:51:35 +08:00
adblock 不是有白名单吗。 添加所在网站入白名单是不是就可以了。
|
|
19
cyr1l 2013-04-20 11:50:36 +08:00
可以联系屏蔽这个域名的屏蔽列表的列表维护者, 发邮件或者到列表页面反馈, 一般都会给你回复的。 我上次添加issure很快就有了回复。
|
 |
20
cyberscorpio 2013-04-20 23:41:20 +08:00
@muzuiget AMO 的审核相对比较放心。不过他们很多编辑都是义务的,所以有的时候不同的编辑可能标准不一样,同样的代码,这个人能过,那个人就不能过。
|
Select Language