这是一个创建于 135 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,
我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:
得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:
明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文
虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。
我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。
这在理论上是可能得吗?
当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?
只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,
我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:
得益于遍地的科普知识,我们知道现有的 https 安全基于众所周知的结构:
明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文
虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。
我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。
这在理论上是可能得吗?
当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?
只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
 |
1
cheng6563 135 天前
这不是必有的吗
|
 |
2
chaoschick 135 天前 via Android
不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥
|
 |
3
renmu 135 天前 via Android
浏览器插件都能随便看记录,更别提浏览器了
|
 |
4
IvanLi127 135 天前 via Android
可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。
|
 |
5
busier 135 天前
Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易!
|
 |
6
nnikolaatteslaa 135 天前
国产浏览器都可以得知访问的网页内容
国产浏览器应用都会有一个自带的证书 |
|
7
nnikolaatteslaa 135 天前
国产浏览器都会敏感词库
|
 |
8
gentrydeng 135 天前 via Android  1
Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。
这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。 还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。 这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。 那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情? 当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。 |
 |
9
Conantv2 135 天前 1
1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。
2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。 |
 |
10
jeesk 135 天前
google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有?
|
 |
11
YaD2x 135 天前
别提浏览器了 国内啥软件不知到你干啥了
|
 |
12
Stoney 134 天前 via iPhone
用国产即裸奔
|
 |
13
cccer 134 天前
加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。
浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。 |
 |
14
dodakt 134 天前
没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用
|
 |
15
ysq 134 天前
IP 地址关联,MAC 关联
|
 |
16
bl4ckoooooH4t 134 天前
肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。
|
 |
17
NessajCN 134 天前 1
就事论事仅对于定向个性化广告来说
广告商其实并不需要知道你搜了什么内容 他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例: (function 定制广告(){ const "关键字" = 获取剪贴板(); 显示广告("关键字"); })() 上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等, 调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能 而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告 仅仅是向根据关键字向你推送了广告 |
 |
18
nothingistrue 134 天前
不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗?
|
 |
19
InDom 134 天前
甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。
|
 |
20
janus77 134 天前
这东西跟国产不国产没关系,任何浏览器都可以的
|
 |
21
pendulum 134 天前
大概率是因为广告联盟共享信息
|
 |
22
7inFen 134 天前
我觉得浏览器大概率不会做这个
程序化广告利用算法和技术对目标受众进行精准识别和定向投放,已经很成熟了 跨平台、跨媒体、匿名浏览都有精准定向的可能性 |
 |
23
guoziq09 134 天前
使用网络=裸奔
跟国不国产 用不用浏览器关系不大 |
 |
24
wanwaneryide 134 天前
浏览器如果不知道页面的内容(内容加密),怎么通过关键字搜索页面的内容的?
|
 |
25
body007 134 天前
别用国产浏览器了,这段时间访问 P 站提示无网络,换成 Chrome 就没问题。你猜猜看,用国产浏览器知不知道你在干嘛。
|
 |
26
SenLief 134 天前
在 v2 国产就是原罪,啥屎盆子都往上扣就完事了。
|
 |
27
SunsetShimmer 134 天前 via Android
如果浏览器(客户端)不可信,必然无法保证安全。
“PC 端的 Chrome(国际版)页面搜索”,用的是什么搜索引擎? |
 |
28
toubi 134 天前
都没有看题吗?这和浏览器没啥关系,你访问的网页中含有广告追踪代码,会存储你的搜索记录和你的 IP 等等信息,然后这些信息会被同步给广告商,其他平台接入这个广告商,自然可以知道你干了啥,给你推算相关的内容。
|
 |
29
Mrwes 134 天前
程序化广告,广告联盟信息共享
|
 |
30
felix0012 133 天前 via Android
歪个楼,lz 提到在浏览器上搜索了某种商品,这时候是不是也要怀疑输入法?通常输入法也会是泄漏隐私的重灾区
|
 |
31
chqome 133 天前
旧版 chrome 浏览器只要访问 12306 网站,电脑里就自动增加一个叫 cfca 证书,现在最新版已经修补这个漏洞了
|
 |
32
ryanlid 133 天前
页面内容是由浏览器显示的,那么浏览器到底能不能感知到页面内容???
|
 |
33
chapiom 123 天前 via iPhone
windows 也有用户画像啊,安装的时候有选项,默认是打开的
|
Select Language