沉浸式翻译插件是否安全？

不要搞我

用的时候没想太多，直接就装上了，后面想想插件的权限有点大，有些担心，所以搜索了一下，发现还是蛮多争议的

1.有泄露第三方 AI 的 API-KEY 的风险，同时也有泄露哔哩哔哩和 有图比 的 Cookie 的风险，有没有大佬验证一下
https://linux.do/t/topic/317877?page=4
https://www.v2ex.com/t/1042477

2.假开源争议，一开始是 Fork 项目，有开源 License ，后面使用闭源项目，顶替开源项目的名称、链接
https://www.v2ex.com/t/961178
https://www.v2ex.com/t/962364


对于浏览器插件，是否有办法限制其获取网站的 Cookie ？

joker12581

用别怕，怕别用。

loclocloc

wawos 发表于 2025-1-3 15:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可以自己写个扩展，监听get_cookie看看

你好，再见

dapeng

吓的我赶紧卸载了，不是，谷歌给这些扩展程序的权限也太大了吧？真的假的

sevenjustin

这是什么意思 话说不应该泄漏用户隐私吧

bmoxzjaualynivh

我们不会将您的个人数据与第三方销售商或合作伙伴共享，法律规定的必要情况除外。

沪ICP备2023011353号

懂了吗?

loclocloc

wawos 发表于 2025-1-3 21:50
确认吗?  是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,  

https://developer.chrome.com/docs/extensions/reference/api/cookies

chrome.cookies开发文档里明确提到了有个httpOnly字段
扩展申明cookies权限后，直接

1. let currentTab = tabs[0]
   
2.     chrome.cookies.getAll({ url: currentTab.url }, function (cookies) {
   
3.         let cookies = JSON.stringify(cookies)
   
4.     })
   

复制代码

虽然没拿过这种直白的Cookie获取代码实际上过扩展商店，至少本地安装100%是可以的，但结合前两天因为Google为了所谓”安全“下架了一堆v2扩展，导致有的扩展被恶意的李鬼模仿（包括一个很知名的Cookie编辑扩展），实际上对Chrome扩展商店的审核也要打个问号

不要搞我

wawos 发表于 2025-1-4 11:52
这个api只是删除/修改httponly的cookie吧, 能读?

Chrome：
使用 chrome.cookies API 查询和修改 Cookie，并在 Cookie 发生变化时接收通知

wawos

不要搞我 发表于 2025-1-4 11:12
Chrome 提供了专门的 cookies API，允许扩展程序访问和操作浏览器的 Cookie，包括 HttpOnly Cookie ...

这个api只是删除/修改httponly的cookie吧, 能读?

wawos

loclocloc 发表于 2025-1-4 09:22
扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可 ...

确认吗?  是只需要向正常安装扩展那样就可以了吗

还是需要自己特别的方式安装什么东西,  

httponly都可以读影响太大了吧, 我自己试了下把google的登录cookie(httponly的)手动复制写入到一个新浏览器中,打开这个新浏览器, 直接就是登录状态了(新浏览器是另一台电脑的并且IP也与之前不一样)

liugogal

都已经闭源了，这是没法自证的问题，怕就别用用就别怕