关于Cubox浏览器插件疑似违规上传用户网页浏览记录
Cubox一款较为方便的稍后读使用软件,但由于其定价年费98元导致阿江没有使用。
近日有用户发现Cubox浏览器插件过度收集用户信息。用户反馈在偏好设置中已经关闭浏览记录同步功能,但是插件仍然不断上传浏览记录。
用户本是 Cubox 年费会员,本来只是为了方便网页和微信文章收藏。发生这种事情还是有点失望,联系客服目前没有回复。用户还指出cubox chrome 浏览器插件不支持“允许点击时读取数据”或“允许读取特定网站数据”,而必须允许读取所有网站数据才能使用。
本来以为只是简单吃瓜,没想到用户还给出了截图。
可以看出cubox扩展频繁使用get请求,并且还向服务器cubox.pro请求成功。
根据kimichat可知
从您提供的图片内容来看,这是一个HTTP请求和响应的记录,具体是一个代理工具(可能是Burp Suite)的抓包结果。以下是对该请求包的详细分析:
请求信息(Request):
- 方法(Method): GET,这是一个HTTP GET请求,通常用于请求服务器上的数据。
- URL(URL):
/c/api/bookmark/exist?targetURL=https:%2F%2Fwww.baidu.com%2F,这是请求的资源路径和查询字符串。查询字符串targetURL=https:%2F%2Fwww.baidu.com%2F表明请求的目标是检查URLhttps://www.baidu.com/是否存在某个特定的标记(可能是书签或记录)。- Host(Host):
cubox.pro,这是请求发送到的服务器的域名。- 其他头部(Headers): 包括日期、Cookie、内容类型(Content-Type: application/json)等,这些头部信息为服务器提供了请求的附加信息。
响应信息(Response):
- 状态码(Status code): 200,这表示请求成功,服务器正常响应。
- 内容长度(Length): 508,响应体的大小,单位是字节。
- MIME类型(MIME type): JSON,表明响应体是JSON格式的数据。
- 响应头部(Headers): 包括服务器信息、访问控制允许的头部、日期等,这些信息告诉客户端如何处理响应数据。
- 响应体(Body): 显示为JSON对象,其中包含几个字段:
"code":200,表示操作成功。"message":(空),没有额外的消息。"data":包含一个字段"exist":false,表明目标URLhttps://www.baidu.com/在服务器上不存在或没有找到对应的书签/记录。其他信息:
- 该记录还包含了请求和响应的原始数据(Raw),以及十六进制表示(Hex),这些通常用于更详细的网络调试和分析。
综上所述,这个请求包是一个检查特定URL是否存在于服务器记录中的API调用,根据响应结果,目标URL在服务器上没有找到对应的记录。
以阿江浅显的知识,认为get只是常规的请求,应该不存在上传用户信息,因为上传一般都是直接post,但具体这个插件频繁的请求的目的是什么我也不得而知,基于定价我就不会选择Cubox,比较关注隐私的小伙伴可以自行抓包研究。