本帖最后由 小灵通 于 2024-7-10 15:43 编辑
众所周知,不作恶(英语:Don't be evil)是 Google 的口号。 2018年5月,不作恶字眼于 Google 行为准则开头段落中被移除,仅在行为准则结尾提到不作恶,当时 Google 内部正因参与 Project Maven 而发生争议。 And remember… don’t be evil, and if you see something that you think isn’t right – speak up!
后来,谷歌母公司改名为字母表(Alphabet)后,这一座右铭也改为了改成“做正确的事”(Do the Right Thing)。 事实上,谷歌干过的坏事还真不少。如:推动非法药物广告,未经授权扫描书籍建立数字图书馆,挑战中国的网络监管,参与“棱镜”项目收集用户数据,与美国军方合作开发军事技术,并在其平台上对反华和挺中内容采取双重标准等。 而今天,谷歌作恶的新闻又来了。
前端程序员都知道的一个常识:在谷歌浏览器里是无法获取真实的 CPU 和硬件信息的(因为 UA 信息不多且很容易伪造)。 今天再告诉你一个反常识:其实,Chromium 内置了一个系统级插件,这个插件允许 *.google.com 网站获取宿主机的 CPU 信息。 在 Chromium 源码里可以找到这个插件,插件 ID 是:nkeimhogjdpnpccoofpliimaahmaaome 。而且,这个插件还能对外通信。 我们可以随便打开一个 Google 的网站在 console 里面输入: | chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome', {method: 'cpu.getInfo'}, response => console.table(response)); |
CPU 、进程还有负载 一五一十的就有了。 如果在别的网站上运行这段代码,会得到一个错误提示: 只有谷歌网站才能获取到这些信息,妥妥双标啊。 搞笑的是,微软的 Edge 浏览器内置了这个插件,同样也给了最高权限。
看源代码,这个内置插件里面还暴露了不少危险的方法。当然,还能对外通信。 | 
发表于 2024-7-10 15:42:03
