沉浸式翻译插件是否安全?
<i class="pstatus"> 本帖最后由 不要搞我 于 2025-1-3 22:40 编辑 </i><br /><br />
用的时候没想太多,直接就装上了,后面想想插件的权限有点大,有些担心,所以搜索了一下,发现还是蛮多争议的<br />
<br />
1.有泄露第三方 AI 的 API-KEY 的风险,同时也有泄露哔哩哔哩和 有图比 的 Cookie 的风险,有没有大佬验证一下<br />
https://linux.do/t/topic/317877?page=4<br />
https://www.v2ex.com/t/1042477<br />
<br />
2.假开源争议,一开始是 Fork 项目,有开源 License ,后面使用闭源项目,顶替开源项目的名称、链接<br />
https://www.v2ex.com/t/961178<br />
https://www.v2ex.com/t/962364<br />
<br />
<br />
对于浏览器插件,是否有办法限制其获取网站的 Cookie ? 用别怕,怕别用。 <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16167573&ptid=1379908" target="_blank"><font color="#999999">wawos 发表于 2025-1-3 15:09</font></a></font><br />
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...</blockquote></div><br />
<br />
扩展可以的,油猴有个GM_cookie接口就可以读,httponly只是js拿不了,外部的扩展根本管不着,不信的话可以自己写个扩展,监听get_cookie看看 沉浸式翻译是个什么意思?好高大上 我的想法是虽然开源不意味着绝对安全,但是有黑历史,总不能让我放心,实在要用开虚拟机吧 <div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16167474&ptid=1379908" target="_blank"><font color="#999999">Daniel991 发表于 2025-1-4 00:34</font></a></font><br />
我的想法是虽然开源不意味着绝对安全,但是有黑历史,总不能让我放心,实在要用开虚拟机吧 ...</blockquote></div><br />
虚拟机没用吧<br />
<br />
泄露 API-KEY 这个倒不用担心,可以用自己搭建的 new-api 中转,定时重置 KEY 就可以了,甚至可以设置好额度,不担心被刷爆<br />
<br />
重点是哔哩哔哩和 有图比 的 cookie 泄露之后可以直接网页登录你的账号 我最近才用这插件,因为谷歌翻译经常因为网络问题翻译不了,其他的用着不太好用,感觉这个还行 <i class="pstatus"> 本帖最后由 wawos 于 2025-1-4 05:12 编辑 </i><br />
<br />
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly,<br />
就是这个cookie只通过http访问发送给网站服务器,本地js无法读取到,<br />
<br />
但是扩展有拦截获取header头修改header的功能, httponly的cookie会存在发送的header头里面,<br />
我不知道扩展它能不能获取到<br />
<br />
我觉得扩展读不到 不确定,我也感觉有风险,所以我把是它扔另一个浏览器用的。<br />
<img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" /><img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" />