这是 Google Chrome 的浏览器扩充， 主要是增加Steam的物品库交易功能， 今天更新後要求新权限"读取所有造访网站的资料"， 注重网路隐私的建议移除。 替代方案 userscript 使用者脚本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介绍 https://steamcn.com/t310798-1-1 ************************************************** 官方更新释出前声明： 短网址 https://goo.gl/xfjxFE 原连结 http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319 为了和合作网站沟通，这次更新包含新权限要求， 你会看到"读取及变更造访网站的所有资料"通知， 这只是Google的原则要求，不用惊慌， 我们不会读取或变更你的资料， 也会放上隐私政策连结让你放心。 ************************************************** 更新释出後reddit热门文章： 警告: Steam Inventory Helper 包含危险权限 https://redd.it/70xofs 原码分析： Steam Inventory Helper (SIH) 浏览器扩充 会载入所有开启的网页，甚至是about:blank空白页 监控何时进入网站、何时滑鼠点击/移动、 何时开始输入文字(不是键盘侧录，只记录动作时间) 当你点击连结时，会将网址回传到 steamih.com/box/monit 结论：尽快移除! ************************************************** 查了一下原来在 2016-05 就已经转手卖人 SIH browser extension has been sold http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/ ************************************************** 类似案例 2015-09-30 CrxMouse会上传你所有浏览的网页 http://bbs.kafan.cn/thread-1693616-1-1.html 2017 01/11 #1OTNsa_v [-GC-] 新版 Stylish 开始蒐集使用者资讯 03/13 #1OnVxxje [-GC-] 又一扩充元件在更新中偷偷放入广告软体 06/27 #1PKJnRkr [-GC-] Betternet 6/25 被植入广告(6/27 修复) 文内提供的恶意扩充列表 http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html 07/12 #1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新权限 09/09 #1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似为木马! 流程：转卖/被骇 → 加料 → 自动更新 → 使用者发现 → 检举 要是扩充原本就有读取变更所有网站的权限， 自动更新加料的话你根本就不会知道， 更新上架推送，商店都不用审核的吗？ 越来越频繁的案例真的很扯…根本就是木马後门。 现在只能避免安装有变更所有网站权限的扩充， 也尽量改用userscript，至少看得到原码，更新也会通知。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.135.109.115 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1505791428.A.950.html 已经有大大在 Steam 板翻译 SIH 官方後续公告 文章代码: #1PmOAp9t (Steam) 文章网址: https://webptt.com/cn.aspx?n=bbs/Steam/M.1505854131.A.277.html 简单整理： 1. 更新推送前公告 https://goo.gl/xfjxFE “read and change all your data”, this is just a Google principle 读取修改所有资料只是Google的规定 we won’t read and change your data 我们不会读取修改你的资料 2. 更新後 reddit 网友抓包回传所有浏览纪录 https://redd.it/70xofs 3. SIH官方道歉，表示会下架并重新上传无权限版本 https://archive.is/vYC3h (原公告已删除) 4. SIH官方删除道歉公告，另发新公告 https://goo.gl/C7NRXy 表示 Google Analytics 提供的统计资料太少， 我们收集资料的作法跟浏览器 Cookie 没两样， 我们将会继续收集资料开发 SIH， 收集资料的 SimilarWeb 公司也受到 Google 信任。 说我们 keylogger 侧录和转卖资料的人都疯了， 我们从来不骗人，免费给你用还要被骂，哭哭。 更新前说是 Google 要求权限，我们不会收集资料。 被抓包後说 Google 统计资料太少，我们要继续收集资料开发。 都是 they 的错 XD ************************************************** 补充替代方案 userscript 使用者脚本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介绍 https://steamcn.com/t310798-1-1 ※ 编辑: mkz6 (220.135.109.115), 09/20/2017 12:51:11 你拿 userscripts.org 时代的脚本来说嘴… 各种盗原码加料上传的始祖，真是吓屎人惹 XD 跟现在 Google 商店的情况倒是有87%相似， 差别在脚本安装前你可以先看到原码， 脚本更新後你可以选择是否安装， 大部分的恶意脚本都是乱枪打鸟， 不懂原码也可以看评论/上传日期来判断， 顶多只能骗骗没经验的使用者。 反观GC扩充功能， 只要取得读取变更所有网站资料的权限， 配上一直放行各种恶意代码的商店审核， 今年就已经有许多知名且热门的扩充出包， 都是更新推送後才被使用者发现检举， 也难怪会有新闻说骇客锁定扩充开发人员网钓， 或者买断扩充，都是因为可以轻松加料推送给使用者， 你跟我说脚本比扩充危险？？？ 麻烦您举几个今年热门脚本出包的例子好不好 ^_^ ※ 编辑: mkz6 (220.135.109.115), 09/21/2017 09:02:41 userscripts镜象站截图 https://i.imgur.com/tjnppS4.png 我前面已经说了好几遍了… 扩充功能会在没有任何通知的情况下自动更新， 如果原本就有"读取变更所有网站资料"的权限， 就不会跳出权限变更的提示， 就算更新夹带恶意代码，也只能先装了再说… 使用者脚本更新不但会通知，还可以选择是否要安装新版本。 脚本比套件危险是您自己在前面推文说的， 您现在要改口没问题，我也没有意见 ^_^ 所以是我才发文让大家注意扩充功能的权限问题啊！ 难道扩充功能一直出包是我的错吗？ XD ※ 编辑: mkz6 (220.135.109.115), 09/21/2017 11:07:10