[MAC/IOS] safari给插件权限这么恐怖吗?连密码都能读取???

查看相关话题
Stan-avatar

Stan

2025-03-21T15:35:55+00:00


如图,chrome吃内存实在过多加上发热不得已准备换safari,在装插件时发现询问权限,为什么允许插件读取密码???
(只有这一个选项,要么禁用插件要么给他权限,所有插件凡是允许在某个网页上运作的,就要让他看见该网站上所有密码)
Planets-avatar

Planets

您当 chrome 插件就没有吗……苹果隐私讨厌的地方就是把这些东西怼到明面上,所以招恨哭笑
Stan-avatar

Stan

+ by [fate0soul] (undefined)

您当 chrome 插件就没有吗……苹果隐私讨厌的地方就是把这些东西怼到明面上,所以招恨哭笑

chrome真没有吧,chrome插件的权限是一项一项给的啊,怎么可能只有“给全部权限”和“完全不给权限”两个选项,二极管吗??

正常不应该像这样吗,这是chrome针对单个插件的权限管理
ProHooker-avatar

ProHooker

+ by [你怎么来了] (undefined)

chrome真没有吧,chrome插件的权限是一项一项给的啊,怎么可能只有“给全部权限”和“完全不给权限”两个选项,二极管吗??

正常不应该像这样吗,这是chrome针对单个插件的权限管理

这些东西当然都是分开的 但是读取网页是一整个项目 不能拆分

读取网页修改网页就必然能够执行js 就会获得你输入的全部信息 这是没办法拆分的权限
Rip_;(_Kelvin-avatar

Rip_;(_Kelvin

Safari 给你写出来了,chrome 都没告诉你的
𝐑𝐢𝐚𝐧 𝐊𝐢𝐭𝐬𝐮𝐧𝐞_𝐕𝐭-avatar

𝐑𝐢𝐚𝐧 𝐊𝐢𝐭𝐬𝐮𝐧𝐞_𝐕𝐭

zsbd插个眼
Stan-avatar

Stan

+ by [MikeZTM] (undefined)

这些东西当然都是分开的 但是读取网页是一整个项目 不能拆分

读取网页修改网页就必然能够执行js 就会获得你输入的全部信息 这是没办法拆分的权限

那这样讲的话,岂不是成了所有主题/高亮/翻译等等插件,都可以任意获得我的银行账户,密码,个人信息???
只要安装一个插件,我就必须把所有信息对全世界公开然后还要傻傻地以为自己没有给他权限
是这样吗?
postee-avatar

postee

+ by [你怎么来了] (undefined)
那这样讲的话,岂不是成了所有主题/高亮/翻译等等插件,都可以任意获得我的银行账户,密码,个人信息???
只要安装一个插件,我就必须把所有信息对全世界公开然后还要傻傻地以为自己没有给他权限<b......
读取和修改“网页上的”敏感信息,哥们你看懂这四个字是什么意思吗
Stan-avatar

Stan

+ by [米特修卡穆] (undefined)

读取和修改“网页上的”敏感信息,哥们你看懂这四个字是什么意思吗

听不懂哇,意思就是,他能读取到的只有网页load出来的,但是不包含我输入的是嘛?
NotYourWaffle-avatar

NotYourWaffle

扩展工作原理就是要在网页里插入js来实现功能,这个并不在你前面列的这些权限里,Safari在提醒你罢了
就扩展系统而言Safari安全性是更高的,运作在沙盒内,且只能从app store下载。
Stan-avatar

Stan

+ by [Crawfish] (undefined)

扩展工作原理就是要在网页里插入js来实现功能,这个并不在你前面列的这些权限里,Safari在提醒你罢了
就扩展系统而言Safari安全性是更高的,运作在沙盒内,且只能从app store下载。

可是,Mac商店里付费三四十的插件,好多官网下载都是免费或者一折(哭
Sally-avatar

Sally

+ by [你怎么来了] (undefined)

可是,Mac商店里付费三四十的插件,好多官网下载都是免费或者一折(哭
因为上架商店需要钱,所以开发者会收取费用。
有很多免费插件都是靠 mac 版本盈利的
ProHooker-avatar

ProHooker

+ by [你怎么来了] (undefined)

那这样讲的话,岂不是成了所有主题/高亮/翻译等等插件,都可以任意获得我的银行账户,密码,个人信息???
只要安装一个插件,我就必须把所有信息对全世界公开然后还要傻傻地以为自己没有给他权限
是这样吗?

是的, 所有能修改网页的插件, 都可以获得你的银行卡数据, 包括uBlock Origin.
这件事是靠开源和信誉来保证的. 同时插件商店(Chrome商店/微软商店/AppStore)也会进行一定的审核.

他们读取的方式很简单, 就是给网页注入js代码, 就可以获得整个网页上包括你输入的内容的全部数据了. 这是没办法限制的
BackendKobe-avatar

BackendKobe

+ by [你怎么来了] (undefined)

chrome真没有吧,chrome插件的权限是一项一项给的啊,怎么可能只有“给全部权限”和“完全不给权限”两个选项,二极管吗??

正常不应该像这样吗,这是chrome针对单个插件的权限管理

简单来说浏览器插件主要有三个执行脚本的地方,活动标签页注入,service worker和popup.html。就以帖子为例,dark reader为了能够实现页面颜色的替换,是必须要向活动标签页例注入js的,这意味着它可以借助js阅读和控制/修改页面的所有内容,所以safari会告知你以上选项;这也就是不要随意安装不受信任来源的扩展插件,但是dark reader是一个拥有20k stars和1.4k contributers的开源插件,同时在可靠渠道(插件商店)上架,那么使用是完全没有问题的。

利益相关:贡献过代码
SaiseiKyodo-avatar

SaiseiKyodo

这个是指的你在网页文本框中输入的密码字段,不是你保存在浏览器里的密码
Stan-avatar

Stan

+ by [Tweez] (undefined)

简单来说浏览器插件主要有三个执行脚本的地方,活动标签页注入,service worker和popup.html。就以帖子为例,dark reader为了能够实现页面颜色的替换,是必须要向活动标签页例注入js的,这意味着它可以借助js阅读和控制/修改页面的所有内容,所以safari会告知你以上选项;这也就是不要随意安装不受信任来源的扩展插件,但是dark reader是一个拥有20k stars和1.4k contributers的开源插件,同时在可靠渠道(插件商店)上架,那么使用是完全没有问题的

Safari版本太贵了,小四十块QAQ
BackendKobe-avatar

BackendKobe

+ by [你怎么来了] (undefined)

Safari版本太贵了,小四十块QAQ

因为app store每年收取700元年费,这对于一个不盈利的app来说相当昂贵,此外safari的适配问题很多,需要花费额外精力,chrome/firefox版本不收费
Stan-avatar

Stan

+ by [Tweez] (undefined)

因为app store每年收取700元年费,这对于一个不盈利的app来说相当昂贵,此外safari的适配问题很多,需要花费额外精力,chrome/firefox版本不收费

额,那appstore上那些免费的工具软件一直是作者倒贴钱每年上架的吗抢镜头
BackendKobe-avatar

BackendKobe

+ by [你怎么来了] (undefined)

额,那appstore上那些免费的工具软件一直是作者倒贴钱每年上架的吗抢镜头

ProHooker-avatar

ProHooker

+ by [你怎么来了] (undefined)

额,那appstore上那些免费的工具软件一直是作者倒贴钱每年上架的吗抢镜头

是的, 苹果开发者年费USD 99, 包括了iOS/macOS两个AppStore的上架资格, 但是对于浏览器插件开发者来说也是不可避免的, 虽然他们不需要iOS的上架资格.
但是好处就是现在Safari插件iOS和macOS可以通用, 苹果鼓励开发者同时上架.

相关话题

[MAC/IOS]被系统bug恶心了一手 [MAC/IOS]ios14就这??? [MAC/IOS]老哥们帮忙看看macbook的这个功能怎么关 [MAC/IOS]这届水果机子发热这么狠??? [MAC/IOS] 你们要的M1的cinebench跑分来了, MBA/MBP都有 [外设讨论] [MAC/IOS] M1的MacbookAir快发货了,求一个接4K60显示器靠谱的dock [MAC/IOS] 求推荐mac相关推荐的论坛 [MAC/IOS] IPAD出现了一个莫名其妙的BUG。[老哥牛逼,已经解决] [MAC/IOS]iPadPRO12.9感觉咋样 [MAC/IOS] 按照苹果的说法,M1 MAX的macbook可以画质10特效满wow怀旧服60帧无压力了吧
返回主页