一个反常识: 在 Chrome 浏览器里如何拿到用户最真实的 CPU 和其他硬件信息(不走 UA
RiverRay · 2024-07-10 08:49:32 +08:00 · 28144 次点击这是一个创建于 421 天前的主题,其中的信息可能已经有所发展或是发生改变。
前端老鸟都知道一个常识
谷歌浏览器里面是拿不到真实 CPU 和硬件信息的
(:UA 那个很容易伪造好吧
今天再给你一个反常识:
其实,Chromium 内置了一个系统级插件。
这个插件允许 *.google.com 网站获取宿主机 CPU 信息
去 Chromium 源码里找找,发现插件 ID 是:nkeimhogjdpnpccoofpliimaahmaaome 。
而且,这个插件还能对外通信
so ,骚操作来了
我们可以随便打开一个 Google 的网站在 console 里面输入:
chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome',
{method: 'cpu.getInfo'},
response => console.table(response));
CPU 、进程还有负载 一五一十的就有了
看源代码,这个内置插件里面还暴露了不少其他方法,可以自己探索玩玩
说人话:
如果你做的是浏览器扩展,完全可以获取到宿主机的 CPU 还有其他硬件信息的
哈哈哈哈哈
 |
101
nieyujiang 2024-07-10 15:30:20 +08:00
歪个楼.可以使用 navigator.userAgentData
.getHighEntropyValues([ "architecture", "model", "platformVersion", "fullVersionList", ])获取相对真实的信息. |
 |
102
testliyu 2024-07-10 15:30:28 +08:00
代理挂在香港的时候不行,换了个节点之后可以了
|
 |
103
635925926 2024-07-10 15:35:34 +08:00  1
@webbillion 又一个二极管,人家只是提到了这是个 api ,就认定人家啥啥啥了?
|
|
104
635925926 2024-07-10 15:37:09 +08:00
67 楼
|
 |
105
dongsuo 2024-07-10 16:12:22 +08:00
用 thorium 也没能逃过一劫,烂公司!
|
 |
106
regent 2024-07-10 16:19:43 +08:00
各位大神有禁用和屏蔽的方法了吗? 还是只能转向 Firefox?
|
 |
107
evam 2024-07-10 16:24:24 +08:00
试了一下 arc 无法获取
|
 |
108
epiloguess 2024-07-10 16:29:56 +08:00
今天上 hn 的首页了,https://news.ycombinator.com/item?id=40918052
|
 |
109
zzzlight 2024-07-10 16:30:08 +08:00
复现成功,这谷歌自己给自己留的后门啊
|
 |
110
lyx1975 2024-07-10 16:30:47 +08:00
知道就知道呗,反正早就当自己在网上裸奔了
|
 |
111
expy 2024-07-10 16:38:00 +08:00
https://news.ycombinator.com/item?id=40918052
edge on linux 复现成功,不过浏览器本体代码直接跑物理机上,信息搜集早就一锅端了。 阴谋论一点可以说是给 fork 版本留的后门? |
 |
112
webbillion 2024-07-10 16:43:19 +08:00
@635925926 #103 我只是一个猜测,打了一个问号。不然为何试图用插件都有这个 API 来混淆是非呢?所有插件可以用这个 API= Chrome 内置插件用这个 API 是正当的=Chrome 内置插件只对谷歌开放也是正当的。当然你可以说这是谷歌自己的浏览器它想干嘛就干嘛,不服的人或者公司可以自己开发全民都用的扩展或者浏览器或者系统来给自己开后门——事实上我也不会因此骂或者弃用 Chrome 。只是上来就为谷歌开脱,大可不必(能给出开发文档链接的人,不可能不懂这个问题的本质)。
|
 |
113
salmon5 2024-07-10 16:44:04 +08:00
要说作恶,那必须是微软的 bing ,通过 edge 浏览器爬用户的上网记录到 bing 里面。
|
 |
114
caqiko 2024-07-10 16:47:22 +08:00
@pikko #98 确实是我没想明白。
 扩展的 manifest 中声明的 externally_connectable 可以为指定的页面添加 chrome.runtime.sendMessage 方法。我试了在 devtools console 中发送消息,但是报错 background 收不到消息。 这样看的话,确实挺可疑的  |
|
115
salmon5 2024-07-10 16:47:48 +08:00
Google 这个是小恶,微软的 bing 是罪大恶极。
|
|
116
salmon5 2024-07-10 16:51:02 +08:00
@salmon5 #113
https://www.cnet.com/tech/services-and-software/microsoft-resolves-edge-setting-that-was-leaking-websites-you-visit/ 现在的情况来看,edge 可能还在爬取用户的上网记录,给 bing 的爬虫。 |
 |
117
DOLLOR 2024-07-10 16:54:47 +08:00 2
这事儿我有点不理解,浏览器底层自己收集数据发给 google 自己服务器不就好了,为什么还要拐弯抹角给自家网站开个白名单,暴露 JS 接口,然后用 JS 来收集呢?🤣
|
 |
118
simpleH 2024-07-10 16:58:03 +08:00
有个疑问,拿到 archName ,modelName 会对用户有什么影响呢?和 ua 判断系统类型的操作有啥区别
|
 |
119
SimonOne 2024-07-10 17:00:15 +08:00
Vivaldi 好像不行
|
 |
121
NessajCN 2024-07-10 17:04:00 +08:00
@DOLLOR 推测这种事情的起因一般遵循汉隆剃刀,也就是某个菜鸟开发需要 cpuInfo 但是改浏览器源码太麻烦就加个插件并白名单自己
|
|
122
SimonOne 2024-07-10 17:06:04 +08:00
@maikaze #120 怪了,我在 www.google.com 试的,抛出异常“TypeError: Cannot read properties of undefined (reading 'sendMessage')”,我是 6.8.3381.46 (Stable channel) (x86_64)
|
 |
123
ih8es9OIzne0959p 2024-07-10 17:12:17 +08:00 2
复现成功,牛 B
不过,cpu 信息而已,我身份证账号密码都在网上飘着了,还在乎这点吗。 |
 |
124
laikick 2024-07-10 17:23:03 +08:00 1
Google 会告诉你他记录了哪些信息,并且允许你查阅,控制,删除。
所以还是换兲朝公司的产品吧,虽然可能记录的更多,还和实名身份永久绑定不能注销,但不告诉也你不给你看眼不见心不烦对不对? |
|
125
laikick 2024-07-10 17:26:44 +08:00 1
说得难听点,就算是隐私被人爬了,我被海外的爬了他总不可能特地飞到大陆来人肉我吧,我何德何能啊。
至于被国内的爬了……我反正已经喝过茶了,楼主自行参考。 |
 |
127
WeiPong 2024-07-10 17:50:58 +08:00
@registerrr gmail 可以啊
|
 |
128
VinliamCao 2024-07-10 17:59:10 +08:00
@dante9 #60 有无安装包流出
|
 |
129
weijancc 2024-07-10 18:08:33 +08:00
还真可以, 很酷
|
 |
130
8E9aYW8oj31rnbOK 2024-07-10 18:38:24 +08:00
@Cooky 我试了 thorium 也有效
|
 |
131
drydiy 2024-07-10 19:09:01 +08:00 via iPhone 1
还有插件可以获取到所有 cookie ,哪怕设置 httponly 。浏览器插件真的别乱装。
|
 |
132
Damn 2024-07-10 19:17:21 +08:00
ungoogled-chromium 110.0.5481.78 复现失败
>Uncaught TypeError: Cannot read properties of undefined (reading 'sendMessage') at <anonymous>:1:16 |
 |
133
OneMan 2024-07-10 19:21:42 +08:00
各位如果有当过 google play 开发者,就知道 google 对互联网的统治力,涉及每个角落,你的遍体数据,什么都有。
这个 chrome 真的不要用。 |
 |
134
neiltroyer849 2024-07-10 19:49:51 +08:00 via iPhone
@ajaxgoldfish 不好意思虽然有点偏题但不知道为什么笑得有点想死(允悲
|
 |
135
XiLingHost 2024-07-10 19:59:35 +08:00
用 Firefox 不就好了,早该去 Google 化了
|
 |
136
jqtmviyu 2024-07-10 20:27:09 +08:00
brave 复现失败
|
 |
137
sunfly 2024-07-10 22:16:43 +08:00
能拿来获取 mac 地址么😂
|
 |
138
mayli 2024-07-11 02:20:17 +08:00
@zeR0f1re 你装了啊,chrome 自带 hangouts 插件 ( nkeimhogjdpnpccoofpliimaahmaaome )。而且你都装 chrome 了,还在乎这浏览器带个插件获得你 cpu 信息?
|
 |
139
haixiu 2024-07-11 08:54:10 +08:00
前些天看到 chrome 要逐步废弃 manifest v2 就转 firefox 了,用了几周感觉没啥不适应的。
|
 |
140
muzi131313 2024-07-11 10:19:55 +08:00
goolge.com 验证成功,Version 126.0.6478.127 (Official Build) (arm64)
|
 |
141
mikewang 2024-07-11 14:56:28 +08:00 1
Ungoogled Chromium 8 年前就禁用了这个 feature 。这下更坚定地使用 Ungoogled Chromium 了。
https://github.com/ungoogled-software/ungoogled-chromium/issues/2944 |
 |
142
tifaaa 2024-07-11 16:10:33 +08:00 via iPhone
|
 |
143
smile2wild 2024-07-11 17:13:57 +08:00
@nieyujiang 对啊,而且每个请求的 ua 也会显示这些信息。谷歌这个是有什么恶劣影响吗?没懂?感觉很严重似的
|
 |
144
playboy0 2024-07-13 10:30:31 +08:00
好像拿不到其他信息,我想拿到显示器、摄像头、硬盘之类的,这个代码里其他方法调用会出错。
 |
 |
145
miaomiao888 2024-07-14 18:27:57 +08:00
有些人又跟捡到宝似的,又是作恶甚至夸大到后门,然而我寻思 CPU 信息它属于敏感隐私数据吗?
|
 |
146
LicV587 2024-07-19 10:25:17 +08:00
@clifftts 当然是为了跟踪用户卖广告啊,再结合之前谷歌一直说要淘汰三方 cookie ,就更加印证了这点。禁止其他广告商跟踪用户,然后自己可以借着 chrome 的私有内部 api 继续跟踪用户,谷歌在广告领域的统治地位不就更强大了?
|
 |
147
robinchina 2024-07-22 09:21:14 +08:00
|
Select Language