#1 - 2018-7-8 10:46
九重凛 (雪中智代雨中杏,庭中琴美风中渚。)
综合cnbeta、浏览迷、IT之家

“Stylish”是一款流行的浏览器插件,此前已经登陆Chrome、火狐和Opera等浏览器,并有着超过200万的下载量。但据Ars Technica报道,这款浏览器插件已经于日前遭到下架,原因是其存在追踪、窃取用户数据的行为。

Stylish插件可以通过多种方式自定义网站的外观等,还能对Facebook、推特以及B站、淘宝等国内网站进行自定义排版,或更换背景和网页图像等。据报道,软件工程师Robert Heaton表示,这一插件会将用户的完整浏览历史向其服务器发送,并在许多情况下可以使用的唯一标识符关联属于这些用户的电子邮件地址或其他Internet属性。

Heaton使用Burp Suite的安全测试工具进行分析的时候,发现Stylish会向其所属的userstyles.org发送大量混淆数据。Heaton通过对数据进行解码,并发现其中包含了惊人数量的详细信息,包括他访问过的每个URL、来自浏览器窗口的实际Google搜索结果,并默认带上唯一标识符。





Heaton表示,自2017年1月以来,Stylish长期以来都在收集Chrome和火狐浏览器用户的历史记录。截至目前,Stylish方面并未对此进行回复。

在收到报告之后,Firefox 和 Chrome  从其各种的扩展网站移除了 Stylish,Firefox 还建议所有用户禁用该扩展。想要继续使用自定义样式的用户可选择安装 Stylish 的分支 Stylus( Google Chrome)。

Stylus 是一个基于 Stylish 1.5.2 版本开发的分支,这是 Stylish 原作者维护的最后一个版本。在此基础上,Stylus 重写并优化了大部分代码来提升性能。



和原版相比,Stylus 最主要的区别就是删除了所有分析功能,不会像 Stylish 一样收集用户的浏览历史。同时 Stylus 提供更友好的 CSS 编辑功能,让有技术能力的用户可以更方便地直接在扩展内编写 CSS。

Stylus 的使用方法和 Stylish 基本一致。下载安装后,打开一个网站,在地址栏右侧点击 Stylus ,选择「查找更多样式」,Stylus 就会为你列出该网站合适的主题和皮肤模板。



如果你之前使用过 Stylish,你可以使用直接从 Stylish 里导出配置,然后导入到 Stylus 中,继续使用之前的 CSS 文件。



如果你之前没有使用过类似的浏览器扩展,不妨从下面这些开始尝试:

Weibo_v6:一款微博美化主题,优化排版并去掉了包括广告在内的多余元素。
百度轻:让百度用上 Material Design 风格,并且只保留最重要的搜索功能。
Flat_Zhihu:为知乎提供扁平化主题,同时优化字体和排版。
Inoreader Light tweaks:为 RSS 阅读器 Inoreader 提供更加大方典雅的设计。
Instagram grid:让网页版 Instagram 拥有「瀑布流」设计,提升宽屏体验
Stylish 这次的事件可以说为我们敲响了警钟。事件发生后,一些 Chrome 扩展开发者表示自己也收到过广告分析公司的收购邀约,希望他们能够在自己的扩展中加入类似 Stylish 收集用户隐私的功能。

对于用户来说,浏览器扩展虽然好用,但也要同时警惕存在的安全隐患。养成良好的扩展使用习惯可以最大程度上保证我们的隐私安全:

尽量不要使用来自非官方渠道的扩展。相对于缺乏监管的第三方扩展,Chrome 和 Firefox 提供的官方渠道对扩展的隐私权限有更加严格的限制,因此在大多数情况下都建议从官方商店下载扩展。
只使用必要的扩展。很多扩展都只在特定的网站才能发挥作用,因此平时没有必要打开所有的扩展,这样不仅会降低速度,而且还容易泄露自己的浏览记录。
关注自己常用扩展的更新。由于 Chrome 和 Firefox 都采用自动更新扩展的机制,因此用户需要不时关注一下自己经常使用扩展的更新日志,尤其要注意使用权限的变化,警惕使用那些被广告分析公司收购的扩展。
Stylus 安装地址:

chrome浏览器:https://chrome.google.com/websto ... ahjckkjfobafhncgmne
Firefox浏览器:https://addons.mozilla.org/firefox/addon/styl-us/
Opera浏览器:https://addons.opera.com/extensions/details/stylus/
#2 - 2018-7-8 10:48
(大変に気分がいい)
惊了....
#3 - 2018-7-8 12:09
(e^iπ+1=0)
换人的时候就换xStyle了
#3-1 - 2018-7-8 12:44
菜叶
+1
啊不对,我是换成 stylus(
#4 - 2018-7-8 12:27
(DD集まれ! (๑•̀ㅂ•́)و✧)
致远星战况如何
#4-1 - 2018-7-8 12:51
LautlosP
不过看后半更像是小广告
#4-2 - 2018-7-8 13:15
烈之斩
之前Firefox版本没问题

当然,之前Chrome出问题的时候就都换Stylus了……
#4-3 - 2018-7-8 13:20
宴夜曲
73" 说: 不过看后半更像是小广告
致远星人表示,有料的文章打点广告也无妨
#4-4 - 2018-7-8 14:41
Cedar
什么时候的事情?
好像也就这两天啊..
#5 - 2018-7-8 12:56
记得之前Stylish没适配Firefox quantum而换的Stylus(bgm38)
#6 - 2018-7-8 17:54
(情更怯)
stylish 2.0.7 貌似还是安全的。

https://forum.palemoon.org/viewtopic.php?f=46&t=19597
https://www.reddit.com/r/privacy ... nalytic_company_is/

还在使用老版本的 Firefox 用户 表示暂时继续使用一下。
#7 - 2018-7-8 20:14
([s]安静点格子[/s])
想问问还有什么主题推荐吗(bgm38)
twitter的和youtube的什么网站都可以
最好能让youtube实现网页全屏(bgm38)
stylish自带的那个网站不太好找(bgm38)
#7-1 - 2018-7-28 02:51
InQβ
userstyle做不到网页全屏,因为无法增加交互(除非你要的是平时就是网页全屏)
你需要userscripts
#8 - 2018-7-8 23:54
(故事只能是故事。)
看到这条新闻才发现有这么好用的扩展(bgm38)
#9 - 2018-7-13 19:49
(为什么一定要非此即彼)
我的Stylish 2.1.1应该也是2017年以后的版本,然而它并没有一键导出现有配置功能。(bgm38)
#10 - 2018-7-13 20:06
请问2.02安全吗....
#11 - 2018-7-14 12:40
(Q, ∑, δ, q0, F)
以前完全不会写前端。
#12 - 2018-8-5 09:35
https://addons.mozilla.org/zh-CN/firefox/addon/styl-us/reviews/
Probably the same privacy issues as Stylish.
评分 1 / 5
SheepKid12 发于 2 天前
#12-1 - 2018-8-5 12:42
九重凛
呃呃呃,难道要自己造轮子……
#12-2 - 2018-8-5 14:47
烈之斩
什么情况,现在有一个用户评个1分就成什么证据了?
#12-3 - 2018-8-5 15:18
LunarShaddow
没有实锤(贴出代码片段/抓包截图)不认可
而且这句话语法错误,指不定是中国小学僧呢
#12-4 - 2018-8-11 03:07
幻の上帝
烈之斩 说: 什么情况,现在有一个用户评个1分就成什么证据了?
不清楚状况,看看不知道有没有人关心或者审计……
#12-5 - 2018-8-11 03:08
幻の上帝
LunarShaddow 说: 没有实锤(贴出代码片段/抓包截图)不认可
而且这句话语法错误,指不定是中国小学僧呢
语法错误是指?
#12-6 - 2018-8-13 17:08
LunarShaddow
幻の上帝 说: 语法错误是指?
缺少动词的说~
#12-7 - 2018-9-15 04:10
幻の上帝
LunarShaddow 说: 缺少动词的说~
动词是可以省略的。https://en.wikipedia.org/wiki/Ellipsis_(linguistics)#Answer_ellipsis
#12-8 - 2018-9-15 09:56
LunarShaddow
幻の上帝 说: 动词是可以省略的。https://en.wikipedia.org/wiki/Ellipsis_(linguistics)#Answer_ellipsis
1. 上下文没有Q
2. 在用了as, probably, same 这么多助词后,已经不能构成简单的回答句式了
#12-9 - 2018-9-15 10:23
Rくん
LunarShaddow 说: 缺少动词的说~
我也觉得没问题,中国小学生desu(bgm38)
#12-10 - 2018-10-29 19:05
c933103
也不要以為外國人語法就會完美呀(
#13 - 2018-8-13 17:29
(媛娇系是检验大法的唯一标准)
感觉应该在github上提供源码也许能让人放心一点
#14 - 2018-9-15 10:17
因为觉得开个stylish太耗内存,把style移到了脚本里,逃过一劫(bgm03)
#14-1 - 2018-10-23 01:37
幻の上帝
Stylish似乎有内存泄漏一直没修……
#15 - 2018-9-15 10:47
(好懒)
惊了,后面重新安装浏览器感觉没必要折腾页面就没装了(bgm38)
#16 - 2018-10-23 01:37
因为换了Basilisk,姑且换了Stylem……
还有个备胎Freestyler没试。
WebExtension的东西还是不太爽。
#17 - 2018-10-23 01:45
(Don't feel. Think.)
有什么关系呢,chrome本身不就会窃取用户数据吗(
#17-1 - 2018-10-23 02:18
幻の上帝
Chrome的其它操作(钦定安装路径、不打招呼烧系统定时器、冷启动时没事问候动态库的所有页面、xjb依赖非公开系统二进制库、带头刷版本号……)太骚以至于这个问题对我来说差不多都能无视了——因为这些其它骚操作的原因就没在自己的机器上用过Chrome。
#17-2 - 2018-10-23 10:18
Chazeon
讲道理你至少有 Chromium 可以选、是有可能审查其代码的、这时候你只能选择相信开源
#17-3 - 2018-10-24 01:52
Rivers
Chazeon 说: 讲道理你至少有 Chromium 可以选、是有可能审查其代码的、这时候你只能选择相信开源
是啊我前阵子换到chromium了
#17-4 - 2018-10-24 07:52
#17-5 - 2018-11-6 05:43
幻の上帝
Chazeon 说: 讲道理你至少有 Chromium 可以选、是有可能审查其代码的、这时候你只能选择相信开源
开源在浏览器这档子破事上只具有理论意义——那么多破烂代码是个人都看不完,更别说审查干净了。ESR的所谓Linus's Law对这等规模的分布式开发而没有中心依赖管理软件现实上是破产的了,光是个OpenSSL就常年缺人,而浏览器的其它组件加起来难度只会更高。所以开源在公开代码审查的意义上增加的安全性对凡人来讲说到底就是心理安慰(如果你是人肉sanitizer另说)。
#18 - 2018-11-6 06:16
嘛,公平点说,对开发者来讲开源一定意义上还是靠谱一点的,实在不行还有机会自己魔改。虽然对浏览器这种体量的基本没什么卵用,但也能给人看到备胎的潜力。(比如Mozilla作死瞎改,Firefox上就能fork出几坨玩意儿来。)而就技术上来讲,由于开发人员素质普遍不够用和规模控制的失当,我不指望不开源的东西质量上能好到哪去(该0day的还是要0day),有意义的差别可能就是天降大锅时不容易出现maintainer哭穷还要多个donation的步骤才能上路……
题外话,我太不喜欢用Chrome这类Google系的东西,一个另外的原因是Google本身的乌烟瘴气。倒不是产品动不动就莫名其妙死了的问题(这个看来很拉仇恨不过没碍到我,搜索和邮件不倒就行),而是编码这种末端生产的环节就实在辣鸡。我审计过的Google的代码规范(主要是C艹)里有不少跟现代提倡的部分脱节或者根本反着搞的。尽管这方面各家友商也不咋地,而且Google的这套姑且也在更新,但嚷嚷码农素质不够平滑迁移这个借口基本原地踏步快10年也是作呕。因此就更没耐心卸掉代码里的烂轮子了(读破烂代码觉得像是人肉逆向)。
当然,并不是说Mozilla能好哪去。Mozilla的产品起点低但砍特性作死神速这个略过,改个build system就让人想祭天……想当年还有撤回x64官方兹瓷的奇葩操作,不过想想当时的代码编译起来光是size_t不兼容警告就有四五千个,也是6……
(总之浏览器这个行当嘛,在座的……整体实现层面的各种意义都弃疗好了;反正我是爱莫能助,搞ISO C艹这种spec级别的bug还来不及呢,还要盯着toolchain,烦……)