Get cookies.txtというChromeアドオンがあります。
名前のとおりCookieをテキストに出力してくれる便利な拡張機能であり、Googleおすすめマークも付いています。
さて、この拡張機能に問題が見つかりました。
⚠️⚠️【注意喚起】⚠️⚠️
— Torishima (@izutorishima) February 28, 2023
今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…😇😱 🔽https://t.co/BjqyruuU3u pic.twitter.com/rVZJpGKwhc
結論から言うと、この変更は作者が意図して行ったものであり、スパイウェアを目的としたものではありません。
ただし外部にCookieを送信しているのは事実なので、余程の理由がない限りアドオンを削除した方がよいでしょう。
経緯
2023/01/12、バージョン1.5からこの変更が行われる。
2023/01/14、作者がこの意図について解説する。
その後何処か、送信しないオプションが追加される。
バージョンアップ履歴が見当たらないのでどこかはわからない。
2023/02/28、日本人がこれに気付く。
ソースコード
https://ck.getcookiestxt.com/getcookieにデータを送っていることがわかります。
一切の難読化も暗号化もされておらず普通にfetchしており、隠そうという意図は一切見られません。
プライバシーポリシー
プライバシーポリシーにもきちんと明記されています。
ただしこちらは、問題になった後で変更された可能性があります。
編集権限ないからわかりませんが。
Visited URLs and HTTP headers (and some related information, required both to prevent abuse and to ensure the best user experience - including tailored features like language support) are sent via POST request to the Get cookies.txt API (ck.getcookies.txt/getcookie) to assist in processing HTTP headers, and to determine if differently parsed, corrected, or re-processed info should be sent back to the browser for display. If the ‘Display HTTP header’ feature is disabled in settings, no data whatsoever is sent to the Get cookies.txt API.
API logs, including those to help prevent abuse, are automatically deleted after 72 hours. Data sent to the Get cookies.txt API is never associated with either you as an individual, or with your individual device. Data is never licensed, shared, or sold to third-parties.
訪問したURLとHTTPヘッダ、幾つかの関連情報がck.getcookies.txt/getcookieにPOSTされます。
設定で"Display HTTP header"を無効にすると、データは一切送信されなくなります。
送信されたデータは72時間以内に削除されます。
データは第三者に共有、販売されることはありません。
作者の主張
The extension has been updated to Manifest V3 in the latest update. I am in the process of adding the ability to get cookies from web requests (from HTTP headers) using an API I made for this.
Changes still in progress with request header, it’s not perfect yet. Making many changes to update to new version, make this extension more featureful, and future-proof it.
UPDATE: at the suggestion of another user, I will add a button to disable this feature in the future, as well.
Chrome拡張機能はマニフェスト V3に更新されました。
このためにWebリクエストからCookieを取得する機能を追加しているところです。
リクエストヘッダに関する部分はまだ実装している最中であり、完璧ではありません。
新しいバージョンに対応するため今後多くの変更を予定しています。
他ユーザからの提案で、この機能を無効にするボタンを追加する予定です。
マニフェスト V3では、これまで使えていた機能の多くがブロックされます。
そのため、これまでと同じ方法ではCookie(HTTPヘッダ?)を取得することができなくなったため、Webリクエストを飛ばすことで回避しよう、と試みているところのようです。
Cookieを外部送信しようって発想が危険
作者は悪意を持っていたわけではないようですが、しかしCookieの中身を外に送ろうとする時点で発想が危険ですね。
万一Cookieが漏れたら何ができるかというと、概ねなんでもできます。
私がQiitaにログインしていたとして、やろうと思えばGet cookies.txtの作者もQiitaに私のアカウントでログインできるわけです。
実際するかしないかといえばしないでしょうが、するしないではなく、"できる"になっている時点で危険です。
作者に信頼がおけなくなりました。
いやまあ今日までこの人のこと知らなかったんですけどね。
感想
軽々しくマルウェアとか言っちゃうメディアはもうちょっと調べた方がいいと思うよ。
あと拡張機能のレビュー欄ってコメントを遡れないんだけどどうすればいいんだ?
おまけ
マニフェスト V3でもCookieを取得できるそうです。
Get cookies.txt 騒動に便乗して、chrome manifest V3でサーバーなしで通信内容のcookieを取得が出来る事を確認。
— フシハラ (@Fushihara) February 28, 2023
manifest V3でもchrome.webRequest APIは使えるし、本質的なコードは2枚目の画像だけ。https://t.co/qYLRXQusXe
cookie取得するだけなら自分用の拡張作ったほうが安心では pic.twitter.com/EQt3Y1tykT
作者に教えてあげて。