Chrome 上的比价扩展 InvisibleHand 被指泄露用户隐私

Posted by Eyon on May 8, 2010

最近,一次偶然的 Google Products 搜索操作引起了 CNET 编辑 Rafe Needleman 的注意,他发现在通过 Google Products 搜索一个产品之后,再进入电子零售商亚马逊(amazon.com)的网站,会发现你刚刚搜索的产品赫然的出现在了“最近浏览”(Recently Viewed)一栏内,也就是说你在 Google Products 中搜索的数据被亚马逊知道了,这一点让 Rafe Needleman 很不理解,大家看一下下面这个视频:

然而,出现了这种情况的罪魁祸首就是一个叫做 [InvisibleHand](http://www.getinvisiblehand.com/) 的 Chrome 比价扩展,该扩展我们[之前也有所介绍](http://www.chromi.org/archives/2637),它的功能就是当你在某电子零售商浏览某一款商品时,在页面顶端帮你自动显示出其他电子零售商的价格,以让你花最少的钱买到同样的商品。Rafe Needleman 发现,在 Chrome 和 Internet Explorer 上只要安装了该扩展/插件都会出现这个问题,而在 FireFox 上安装对应的插件之后,进行同样的操作则没有这个问题。 虽然说 invisibleHand 这款扩展确实非常方便,毕竟可以通过非常简单的方式帮我们省钱,但对于注重隐私的用户来说,自己搜索的产品却被亚马逊知道了,这是很难接受的事情。那么,在 Chrome 和 Internet Explorer 上为什么会出现这样的问题呢?Rafe Needleman 联系了该扩展的开发者,得到了答案。 出现这个问题的主要原因是 Chrome 和 Internet Explore 在处理后台 http 请求时和 Firefox 采用了不一样的思路,在这两个浏览器中的同一个标签执行后台 http 请求(InvisibleHand 执行价格比较请求),并没有被隔离(sandboxed),所以亚马逊会直接读取到这个标签后台 http 请求的 Cookies,然后被当作你最近浏览的产品显示在网站的“最近浏览”一栏内。 实际上,这种“隐私泄露”的情况不仅仅出现在 Google 搜索中,同时也出现在了各大电子零售上之间,也就是说比如你在百思买浏览商品,亚马逊通过这个扩展也知道你刚才浏览了什么;同样,你在 Google Products 搜索中浏览的商品,不仅仅会泄露给亚马逊,也可能泄露给百思买,只是除了亚马逊之外的电子零售商不会将这个展示在网页上而已。 ![](http://img.chromi.org/2010/05/install-extensions.png "install extensions") 当然,我们应当相信 InvisibleHand 这款扩展本身并不会记录用户的习惯,甚至该扩展都不需要用户注册,而电子零售商本身也仅仅是跟踪了用户浏览的商品,从而根据你的喜好推荐出相应的商品而已,但这件事情确实反映出了一个问题,就是你在日常的网页浏览中,很多东西都可能泄露给扩展程序。其实这一点从我们安装扩展的时候就能够看出来,在安装扩展的时候,会弹出对话框提醒你使用该扩展可能访问到你的哪些数据。 一名 Google 的员工发现这个问题之后向 Rafe Needleman 表示这确实是一个问题,而且 Chrome 的开发者已经开始尝试解决它了(学习 Firefox 的后台 http 请求处理方式)。 ![](http://img.chromi.org/2010/05/notification-settings.png "notification settings") 另外,如果你正在使用这个扩展又非常注重隐私的话,可以在匿名模式下进行日常的网页浏览操作(其实隐私泄露也仅仅是你使用 Google Product 搜索并点击搜索结果之后的数据),另外你也可以在扩展的选项中关闭在 Google 搜索中的价格提醒,但这仍然可能在零售商与零售商之间“泄露隐私”。 Via [CNET](http://www.cnet.com/8301-31361_1-20004265-254.html)