V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
nosugar
V2EX  ›  程序员

[安全漏洞] 慎用部分划词翻译软件

  •  
  •   nosugar · 2018-04-10 11:11:35 +08:00 · 6978 次点击
    这是一个创建于 2453 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前发现:
    https://github.com/waynecz/dadda-translate-crx
    扩展在选中文字后,立即提交选中文字到搜狗服务器获取翻译结果,此时还没有点击翻译按钮。
    这会导致在你不想翻译的时候由于误选中敏感文字(邮箱、密码、银行账号)到搜狗服务器。
    目前此 bug 已提交给作者。

    目前已经分析源码:
    https://github.com/Selection-Translator/crx-selection-translate
    不会出现上述情况,此扩展之前版本加入了 Google Analytics

    油猴子脚本:
    https://greasyfork.org/zh-CN/scripts/34921-translate

    第 1 条附言  ·  2018-04-10 13:51:14 +08:00
    https://github.com/waynecz/dadda-translate-crx/issues/13
    关闭了 issue,作者提到在你选中文字立即提交搜狗服务器是为了减少延迟,是 feature
    后续大家用的时候注意不要选中敏感文字信息,多注意下避免在不想翻译的时候误选中了文字发到搜狗服务器
    16 条回复    2018-04-10 21:24:16 +08:00
    iSteven
        1
    iSteven  
       2018-04-10 11:21:38 +08:00
    DevNet
        2
    DevNet  
       2018-04-10 11:26:16 +08:00 via Android
    用的 google 翻译插件。。。
    rosu
        3
    rosu  
       2018-04-10 11:31:27 +08:00 via Android
    浏览器选中了密码区域的话,应该无法获得密码明文的吧?不太确定。
    yazoox
        4
    yazoox  
       2018-04-10 11:43:57 +08:00
    @rosu 附议
    @nosugar 楼主,你有抓包还是如何操作,得出,密码明文被发送到了翻译服务器了么?

    不是很懂,等有大神来解答一下。
    Hardrain
        5
    Hardrain  
       2018-04-10 12:16:50 +08:00
    @rosu 我觉得扩展程序应该可以获取到,事实上 F12 调试工具都能获取到已输入的密码
    @yazoox 查看了其源码,Google 翻译和搜狗翻译是 HTTPS
    但另一个词根翻译是 HTTP

    即便传输过程是安全的,这些内容也不应该被上传至服务器。
    nosugar
        6
    nosugar  
    OP
       2018-04-10 12:17:19 +08:00
    @yazoox #4 chrome 扩展 debug,看发送包请求
    nosugar
        7
    nosugar  
    OP
       2018-04-10 12:18:33 +08:00
    @Hardrain #5 看看这个教程,或者自己搜索下: https://www.cnblogs.com/sinojelly/archive/2011/01/11/1933213.html
    可以用此方法检查下自己安装的扩展程序


    @yazoox #4
    ys0290
        8
    ys0290  
       2018-04-10 12:24:14 +08:00 via iPhone
    这难道不是特色吗?点击翻译然后再去传数据,如何做到妙答?
    coolzjy
        9
    coolzjy  
       2018-04-10 13:08:51 +08:00 via iPhone   ❤️ 3
    明明是 feature 却被说成漏洞。上面所谓的「敏感信息」与用户身份无法建立任何联系,有什么价值呢?密码一般更不会明文显示。词典服务器每天都会收到成千上万奇怪的请求,包括复制失败把上一次剪贴板内容粘贴上去的肯定也不在少数,不知道你是不是每次在表单中粘贴内容的时候是不是都会再三确认剪贴板内容。

    当然,从产品设计角度来说提供一个功能开关来让这一些用户没得喷是个更好的处理方式。
    nosugar
        10
    nosugar  
    OP
       2018-04-10 13:51:39 +08:00
    @ys0290 #8
    @coolzjy #9
    多谢指正,issue 已关闭
    williamx
        11
    williamx  
       2018-04-10 14:59:56 +08:00
    特别烦划词翻译,都是通过快捷键调出窗口,然后输入单词进行查询。这样单词还能输入一遍,有助于熟悉。
    imn1
        12
    imn1  
       2018-04-10 15:16:25 +08:00
    @coolzjy
    与用户身份无法建立任何联系

    这句话有待商榷,以搜狗的信息量,不能建立的话可以说水平太次了
    如果说「有多少能建立」或者「会否主动建立」还说得过去
    greatghoul
        13
    greatghoul  
       2018-04-10 17:29:27 +08:00 via Android
    我写得扩展也会选中后自动翻译,不过我也觉得这是 feature 不是 bug,对信息如此敏感,就选择操作麻烦一些的扩展就好了,没必要说的好严重的样子。便利与安全本来就不太可能兼顾的很好。

    如果我选中 438euveu16eyvdhuwvg 搜狗如果各种分析

    ~ 发送请求的是哪个人
    ~ 发送的是 WiFi 密码还是 pornhub 密码
    ~ 发送的是当前这个人的密码还是他复制别人的密码
    ~ 这人的密码会不会因为操作失误没有复制全
    ~ 难道不是密码,而是银行卡号码

    最后分析出
    我擦,竟然是苍老师的百度盘资源 base64 码,小张呀,替我看会门口,顺便把纸巾给我丢过来

    搜狗的服务器看来都不要钱。

    哈哈,以上玩笑了,还是感谢楼主对安全的敏感和重视

    我的扩展的做法是,只有选中的内容是应用单词(只能识别英文)时,才自动出发翻译,否则,需要用户手动选择翻译。这应该是一种折中的做法,希望划词翻译类应用的作者可以参考一下这个思路。
    omph
        14
    omph  
       2018-04-10 19:24:37 +08:00
    自己搭建一个 dict 服务器,就解决了
    autoxbc
        15
    autoxbc  
       2018-04-10 20:04:58 +08:00
    这算比较好的了,怕的是好多扩展后台挖矿,前台弹返利

    有顾虑的话可以自己动手写,一个简单的词典用不了 30 行
    ivechan
        16
    ivechan  
       2018-04-10 21:24:16 +08:00
    用本地词典就好了.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   967 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:45 · PVG 06:45 · LAX 14:45 · JFK 17:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.