V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
oszlso
V2EX  ›  分享发现

安装浏览器插件真的要仔细检查,商店上架的不一定安全

  •  
  •   oszlso · 2023-05-31 01:01:41 +08:00 · 2927 次点击
    这是一个创建于 539 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天又一次发现 Edge 点击京东搜索结果时自动转链(盈利行为),检查半天发现是大名鼎鼎的 SwitchyOmega 插件引起(先别慌)。

    跳转插件主页发现,我安装的这款 SwitchyOmega 已经被 Edge 下架了,现在上架的是另一个 SwitchyOmega 。

    随后对比了一下 SwitchyOmega 的开源代码,发现果然多了不少私货,虽然我看不懂,但也能确定它被第三方修改了,并非原始版本。

    这个被修改的 SwitchyOmega 插件( id:dijmmgblneagkcdganednabkbgjmceoe )我应该是几年前通过 Edge 插件商店安装的,猜测目前仍有不少用户在使用。

    建议大家安装浏览器插件时要仔细检查作者、来源,商店上架不代表插件安全

    然后我有个疑问,为什么已被 Edge 下架的存在风险的插件,用户仍可以同步到新设备呢,直接移除或提示风险应该会更好。

    9 条回复    2023-11-18 17:58:58 +08:00
    TrembleBeforeMe
        1
    TrembleBeforeMe  
       2023-05-31 01:17:45 +08:00   ❤️ 4
    提供方 FelisCatus
    版本 2.5.21
    上次更新日期 2020 年 11 月 22 日

    SwitchyOmega 早已不更新了,建议用 SmartProxy 代替
    oszlso
        2
    oszlso  
    OP
       2023-05-31 01:59:03 +08:00
    @TrembleBeforeMe 多谢,换上了
    lqzhgood
        3
    lqzhgood  
       2023-05-31 10:51:55 +08:00
    试了下 SmartProxy ,感觉还是 SwitchyOmega 更美观易用


    - 左键点击 icon 就能切换
    - icon 更能直观体现现在的代理模式


    - 没有订阅
    AoEiuV020JP
        4
    AoEiuV020JP  
       2023-05-31 10:54:18 +08:00
    我也在用 SwitchyOmega ,
    chrome 好像没有类似问题,就只有 chrome 商店上架的插件可以同步,
    edge 感觉可能是为了允许同步 chrome 商店的插件就放开了一些限制导致同步了下架的插件?
    我记得很清楚 chrome 这边 chrono 插件下架期间我一直苦恼于这个插件无法同步安装到新设备上,

    另外这个 SwitchyOmega 我也不太需要了,现在分流都用 clash 了,插件留着基本只用来切换“系统代理”和“直连”,不知道有没有这样简单点的替代品,
    lqzhgood
        5
    lqzhgood  
       2023-05-31 10:55:52 +08:00
    打快发出去了
    SmartProxy




    - 可以基于当前页面域名 全局代理当前页面所有请求 (例如访问 www.google.com 自动代理页面中的 abc.edf.com 请求)
    - 可以订阅


    - 优 1 只能在 Firefox 中使用
    - 没有 SwitchyOmega 美观 易用
    AoEiuV020JP
        6
    AoEiuV020JP  
       2023-05-31 11:05:36 +08:00
    @TrembleBeforeMe #1 试了一下 SmartProxy 表示 (不幸的是,Chrome 扩展 API 不再支持代理服务器身份验证。这是 "有意的"。)
    但 SwitchyOmega 还是支持并有效的,这是怎么回事,会不会和 SwitchyOmega 不再更新有关?(比如有没有更新必须使用新 api 之类的坑)
    AoEiuV020JP
        7
    AoEiuV020JP  
       2023-05-31 11:36:09 +08:00
    @AoEiuV020JP #6 跟踪了下这个问题,有点意思,这块代码改来改去的,总有人提 issue,
    根本原因是 chrome 支持 http 代理的身份认证却不支持 socks 代理认证,
    这块代码最后一次修改还是两个月前,试图在 socks 代理设置时显示这个不支持身份的提示,结果 http 代理设置中也丢失了身份认证设置,估计过阵子还得改代码,
    https://github.com/salarcode/SmartProxy/issues/272
    总得来说还是太小众,没啥人提 pr ,作者有点力不足的感觉了,
    xuing
        8
    xuing  
       2023-07-03 15:49:31 +08:00
    ![对比了一下发生修改的文件]( https://imgur.com/a/CeOIc60)
    coderkk
        9
    coderkk  
       2023-11-18 17:58:58 +08:00
    全能插件 Flash Switcher - 主打 all in one ,沉浸式翻译、智能网页大纲、万级书签管理等等,强大易用
    https://kjeek.com/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1122 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:06 · PVG 03:06 · LAX 11:06 · JFK 14:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.