沉浸式翻译插件是否安全？

不要搞我

用的时候没想太多，直接就装上了，后面想想插件的权限有点大，有些担心，所以搜索了一下，发现还是蛮多争议的

1.有泄露第三方 AI 的 API-KEY 的风险，同时也有泄露哔哩哔哩和 有图比 的 Cookie 的风险，有没有大佬验证一下
https://linux.do/t/topic/317877?page=4
https://www.v2ex.com/t/1042477

2.假开源争议，一开始是 Fork 项目，有开源 License ，后面使用闭源项目，顶替开源项目的名称、链接
https://www.v2ex.com/t/961178
https://www.v2ex.com/t/962364


对于浏览器插件，是否有办法限制其获取网站的 Cookie ？

joker12581

用别怕，怕别用。

loclocloc

wawos 发表于 2025-1-3 15:09
cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly ...

扩展可以的，油猴有个GM_cookie接口就可以读，httponly只是js拿不了，外部的扩展根本管不着，不信的话可以自己写个扩展，监听get_cookie看看

enjoyit

沉浸式翻译是个什么意思？好高大上

Daniel991

我的想法是虽然开源不意味着绝对安全，但是有黑历史，总不能让我放心，实在要用开虚拟机吧

不要搞我

Daniel991 发表于 2025-1-4 00:34
我的想法是虽然开源不意味着绝对安全，但是有黑历史，总不能让我放心，实在要用开虚拟机吧 ...

虚拟机没用吧

泄露 API-KEY 这个倒不用担心，可以用自己搭建的 new-api 中转，定时重置 KEY 就可以了，甚至可以设置好额度，不担心被刷爆

重点是哔哩哔哩和 有图比 的 cookie 泄露之后可以直接网页登录你的账号

小东xdd

我最近才用这插件，因为谷歌翻译经常因为网络问题翻译不了，其他的用着不太好用，感觉这个还行

wawos

cookie不用担心的, cookie有个属性httponly, 几乎所有网站与登录状态有关的核心cookie都会把它设成httponly,
就是这个cookie只通过http访问发送给网站服务器,本地js无法读取到,

但是扩展有拦截获取header头修改header的功能, httponly的cookie会存在发送的header头里面,
我不知道扩展它能不能获取到

我觉得扩展读不到

kindlecon

不确定，我也感觉有风险，所以我把是它扔另一个浏览器用的。

root123