Cubox 一款相對方便的稍後讀使用軟體,但由於其定價年費 98 元導致阿江沒有使用。
近日有使用者發現 Cubox 瀏覽器插件過度收集使用者資訊。使用者回饋在偏好設定中已經關閉瀏覽記錄同步功能,但是插件仍然不斷上傳瀏覽記錄。
使用者本是 Cubox 年費會員,本來只是為了方便網頁和微信文章收藏。發生這種事情還是有點失望,聯繫客服目前沒有回覆。使用者還指出 cubox chrome 瀏覽器插件不支援「允許點擊時讀取資料」或「允許讀取特定網站資料」,而必須允許讀取所有網站資料才能使用。
本來以為只是簡單吃瓜,沒想到使用者還給出了截圖。
可以看出 cubox 擴展頻繁使用 get 請求,並且還向伺服器 cubox.pro 請求成功。
根據 kimichat 可知
從您提供的圖片內容來看,這是一個 HTTP 請求和回應的記錄,具體是一個代理工具(可能是 Burp Suite)的抓包結果。以下是對該請求包的詳細分析:
- 請求資訊(Request):
- 方法(Method): GET,這是一個 HTTP GET 請求,通常用於請求伺服器上的資料。
- URL(URL):
/c/api/bookmark/exist?targetURL=https:%2F%2Fwww.baidu.com%2F
,這是請求的資源路徑和查詢字串。查詢字串targetURL=https:%2F%2Fwww.baidu.com%2F
表明請求的目標是檢查 URLhttps://www.baidu.com/
是否存在某個特定的標記(可能是書籤或記錄)。- Host(Host):
cubox.pro
,這是請求發送到的伺服器的域名。- 其他標頭(Headers): 包括日期、Cookie、內容類型(Content-Type: application/json)等,這些標頭資訊為伺服器提供了請求的附加資訊。
- 回應資訊(Response):
- 狀態碼(Status code): 200,這表示請求成功,伺服器正常回應。
- 內容長度(Length): 508,回應體的大小,單位是位元組。
- MIME 類型(MIME type): JSON,表明回應體是 JSON 格式的資料。
- 回應標頭(Headers): 包括伺服器資訊、存取控制允許的標頭、日期等,這些資訊告訴客戶端如何處理回應資料。
- 回應體(Body): 顯示為 JSON 物件,其中包含幾個欄位:
"code":200
,表示操作成功。"message":
(空),沒有額外的訊息。"data":
包含一個欄位"exist":false
,表明目標 URLhttps://www.baidu.com/
在伺服器上不存在或沒有找到對應的書籤 / 記錄。- 其他資訊:
- 該記錄還包含了請求和回應的原始資料(Raw),以及十六進制表示(Hex),這些通常用於更詳細的網路除錯和分析。
綜上所述,這個請求包是一個檢查特定 URL 是否存在於伺服器記錄中的 API 呼叫,根據回應結果,目標 URL 在伺服器上沒有找到對應的記錄。
以阿江淺顯的知識,認為get
只是常規的請求,應該不存在上傳使用者資訊,因為上傳一般都是直接post
,但具體這個插件頻繁的請求的目的是什麼我也不得而知,基於定價我就不會選擇 Cubox,比較關注隱私的小夥伴可以自行抓包研究。