这是一个创建于 717 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是这样的:我在 PC 端的 Chrome(国际版)页面搜索一些商品,
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,
我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:
得益于遍地的科普知识,我们知道现有的 https 安全基于众周知的结构:
明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文
虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。
我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。
这在理论上是可能得吗?
当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?
只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
我用手机的其他 APP 刷视频的时候,竟然非常及时的看到定向的此类商品广告。
我并不是对监视感到有什么不妥,我只是单纯在技术层面非常好奇,
我这里用的是国际版浏览器,至于标题中说到的国产浏览器,
是我发散思维的延伸联想猜测,咱们往下看:
得益于遍地的科普知识,我们知道现有的 https 安全基于众周知的结构:
明文 <=> 浏览器客户端 <=> 安全信道(证书) <=> 服务器 <=> 明文
虽然网页内容在安全信道里都是以密文形式传输,
但内容总是要渲染到浏览器客户端供人阅读,
理论上浏览器客户端有监视页面内容的能力。
我们暂且不谈悄悄植入中间人证书这种行为,
就算不在证书这一层做手脚,
如果有一家作恶企业(或者说背负着神圣使命的企业),对浏览器进行改造,
在数据从安全信道中解密出来,往页面上渲染的这之间,又安插了一层,
(毕竟浏览器最终要解析 html 文档,进行渲染,供用户阅读)
这岂不是能完全监视用户的页面内容了不是么。
这在理论上是可能得吗?
当然,技术人当然会使用可信赖的客户端,
但如果你是网站开发者,你的用户被迫使用这些被魔改的客户端,
上面说的浏览器监视用户阅读的内容的行为,是否存在可能性?
只是当个娱乐探讨一下,我是写科幻小说的,纯当个故事素材探讨一番
 | 1 cheng6563 2023-12-14 17:58:46 +08:00 这不是必有的吗 |
 | 2 chaoschick 2023-12-14 18:49:45 +08:00 via Android 不止国产浏览器 一些病毒程序都能做到这种事 监控用户的键盘事件 偷取用户冷链钱包的密钥 |
 | 3 renmu 2023-12-14 19:05:15 +08:00 via Android 浏览器插件都能随便看记录,更别提浏览器了 |
 | 4 IvanLi127 2023-12-14 19:06:39 +08:00 via Android 可以感知呀,还能做智能预加载呢,十多年前的 uc 就能帮你找到"下一",然后预加载进去。 |
 | 5 busier 2023-12-14 19:28:40 +08:00 Windows 的证书存储,实际上就是注册表中的一个键值而已。想搞很容易! |
 | 6 nnikolaatteslaa 2023-12-14 20:10:18 +08:00 国产浏览器都可以得知访问的网页内容 国产浏览器应用都会有一个自带的证书 |
| 7 nnikolaatteslaa 2023-12-14 20:12:46 +08:00 国产浏览器都会敏感词库 |
 | 8 gentrydeng 2023-12-14 20:31:29 +08:00 via Android  1 Google Chrome 有个设置选项叫“改善搜索和浏览体验”,作用是“将您所访问的网页的网址发送给 Google”,该选项默认启用。 这个时候等于你的浏览器本身就变成了一个网络爬虫,给 Google 收集网站数据。 还有“预加载网页”这个功能,明确地告诉你部分网页会通过 Google 服务器进行预加载。 这也是为什么 Google 搜索上能够出现一些明明需要登录才能够访问的网页,或者非常小众的网页,却也被 Google 索引了的原因。 那么在这些功能之上进行扩展,把所访问的网页的内容发送给浏览器厂商,或者浏览器厂商直接获取你的 cookies 来访问网页,是不是也是可能的事情? 当然这只是说有这种可能性,目前来讲应该不存在这个问题。厂商推出浏览器主要是为了捆绑用户生态,而不是为了监控。 |
 | 9 Conantv2 2023-12-14 20:40:47 +08:00 1 1 、广告用户画像是共享的,不用浏览器读取内容,其他 APP 也知道你访问过。 2 、HTTPS 保护的是传输安全,浏览器是终端,两个不沾边的,对浏览器来网页内容是明文,读啥都行,篡改也行。服务器返回 A 它给你展示 B 你都分不清真假。 |
 | 10 jeesk 2023-12-14 23:23:27 +08:00 google 有自己的 safe browser 会将你访问的网站发送请求判断是否安全 ? 你以为国外没有? |
 | 11 YaD2x 2023-12-15 00:10:41 +08:00 别提浏览器了 国内啥软件不知到你干啥了 |
 | 12 Stoney 2023-12-15 08:50:26 +08:00 via iPhone 用国产即裸奔 |
 | 13 cccer 2023-12-15 09:04:30 +08:00 加密是对浏览器和服务器之间了,到浏览器之后的第一件事就是解密。 浏览器、浏览器插件或者插件里运行的脚本都能获取到网页里内容。 |
 | 14 dodakt 2023-12-15 09:36:45 +08:00 没有能不能 只有想不想 要不能的话 adblock 之类的扩展怎么使用 |
 | 15 ysq 2023-12-15 09:43:26 +08:00 IP 地址关联,MAC 关联 |
 | 16 bl4ckoooooH4t 2023-12-15 09:51:32 +08:00 肯定可以,你传输的所有加密数据,都在他的进程里,这不是随便拿吗? HTTPS 目前主流都用 OpenSSL 的库实现,所有明文都可以在 ssl_read 、ssl_write 直接获取。 不然国产浏览器是怎么屏蔽一些诈骗、色情网站的。 |
 | 17 NessajCN 2023-12-15 09:52:50 +08:00 1 就事论事仅对于定向个性化广告来说 广告商其实并不需要知道你搜了什么内容 他要做的仅仅是在投放的网站上用一段前端代码,为方便看懂我用中文伪代码举例: (function 定制广告(){ const "关键字" = 获取剪贴板(); 显示广告("关键字"); })() 上面这段中的 获取剪贴板() 是一个函数,可以改成获取浏览缓存(),获取输入缓存() 等, 调用这些函数甚至不需要魔改浏览器,很多甚至是是主流浏览器都支持的功能 而该脚本获取到的「关键字」不会被广告商获知,因此不触犯隐私协议或追踪警告 仅仅是向根据关键字向你推送了广告 |
 | 18 nothingistrue 2023-12-15 10:01:18 +08:00 不管你是不是安全领域小白,最起码的基础尝试应该有吧。如果你找个人帮你读信,你觉得这个帮你读信的人有可能不知道信的内容吗?如果你找个人帮你理财,你觉得这个人有可能不控制你的钱吗? |
 | 19 InDom 2023-12-15 10:03:48 +08:00 甚至都不需要多复杂,一个浏览器插件,乃至油猴插件都能做到。 |
 | 20 rb6221 2023-12-15 10:04:05 +08:00 这东西跟国产不国产没关系,任何浏览器都可以的 |
 | 21 pendulum 2023-12-15 14:00:53 +08:00 大概率是因为广告联盟共享信息 |
22 7inFen 2023-12-15 14:23:29 +08:00 我觉得浏览器大概率不会做这个 程序化广告利用算法和技术对目标受众进行精准识别和定向投放,已经很成熟了 跨平台、跨媒体、匿名浏览都有精准定向的可能性 |
 | 23 guoziq09 2023-12-15 16:46:40 +08:00 使用网络=裸奔 跟国不国产 用不用浏览器关系不大 |
 | 24 wanwaneryide 2023-12-15 16:58:34 +08:00 浏览器如果不知道页面的内容(内容加密),怎么通过关键字搜索页面的内容的? |
 | 25 body007 2023-12-15 17:30:50 +08:00 别用国产浏览器了,这段时间访问 P 站提示无网络,换成 Chrome 就没问题。你猜猜看,用国产浏览器知不知道你在干嘛。 |
 | 26 SenLief 2023-12-15 17:30:57 +08:00 在 v2 国产就是原罪,啥屎盆子都往上扣就完事了。 |
 | 27 Shorekeeper 2023-12-15 18:19:44 +08:00 via Android 如果浏览器(客户端)不可信,必然无法保证安全。 “PC 端的 Chrome(国际版)页面搜索”,用的是什么搜索引擎? |
 | 28 toubi 2023-12-15 18:56:31 +08:00 都没有看题吗?这和浏览器没啥关系,你访问的网页中含有广告追踪代码,会存储你的搜索记录和你的 IP 等等信息,然后这些信息会被同步给广告商,其他平台接入这个广告商,自然可以知道你干了啥,给你推算相关的内容。 |
 | 29 Mrwes 2023-12-15 18:59:35 +08:00 程序化广告,广告联盟信息共享 |
 | 30 felix0012 2023-12-16 07:32:56 +08:00 via Android 歪个楼,lz 提到在浏览器上搜索了某种商品,这时候是不是也要怀疑输入法?通常输入法也会是泄漏隐私的重灾区 |
 | 31 chqome 2023-12-16 14:27:51 +08:00 旧版 chrome 浏览器只要访问 12306 网站,电脑里就自动增加一个叫 cfca 证书,现在最新版已经修补这个漏洞了 |
 | 32 ryanlid 2023-12-16 14:45:38 +08:00 页面内容是由浏览器显示的,那么浏览器到底能不能感知到页面内容??? |
 | 33 chapiom 2023-12-27 03:17:56 +08:00 via iPhone windows 也有用户画像啊,安装的时候有选项,默认是打开的 |
Select Language