～技术宅真可怕～ » 讨论
因窃取用户数据，Stylish从Firefox与Chrome下架

综合cnbeta、浏览迷、IT之家

“Stylish”是一款流行的浏览器插件，此前已经登陆Chrome、火狐和Opera等浏览器，并有着超过200万的下载量。但据Ars Technica报道，这款浏览器插件已经于日前遭到下架，原因是其存在追踪、窃取用户数据的行为。

Stylish插件可以通过多种方式自定义网站的外观等，还能对Facebook、推特以及B站、淘宝等国内网站进行自定义排版，或更换背景和网页图像等。据报道，软件工程师Robert Heaton表示，这一插件会将用户的完整浏览历史向其服务器发送，并在许多情况下可以使用的唯一标识符关联属于这些用户的电子邮件地址或其他Internet属性。

Heaton使用Burp Suite的安全测试工具进行分析的时候，发现Stylish会向其所属的userstyles.org发送大量混淆数据。Heaton通过对数据进行解码，并发现其中包含了惊人数量的详细信息，包括他访问过的每个URL、来自浏览器窗口的实际Google搜索结果，并默认带上唯一标识符。





Heaton表示，自2017年1月以来，Stylish长期以来都在收集Chrome和火狐浏览器用户的历史记录。截至目前，Stylish方面并未对此进行回复。

在收到报告之后，Firefox 和 Chrome  从其各种的扩展网站移除了 Stylish，Firefox 还建议所有用户禁用该扩展。想要继续使用自定义样式的用户可选择安装 Stylish 的分支 Stylus（ Google Chrome）。

Stylus 是一个基于 Stylish 1.5.2 版本开发的分支，这是 Stylish 原作者维护的最后一个版本。在此基础上，Stylus 重写并优化了大部分代码来提升性能。



和原版相比，Stylus 最主要的区别就是删除了所有分析功能，不会像 Stylish 一样收集用户的浏览历史。同时 Stylus 提供更友好的 CSS 编辑功能，让有技术能力的用户可以更方便地直接在扩展内编写 CSS。

Stylus 的使用方法和 Stylish 基本一致。下载安装后，打开一个网站，在地址栏右侧点击 Stylus ，选择「查找更多样式」，Stylus 就会为你列出该网站合适的主题和皮肤模板。



如果你之前使用过 Stylish，你可以使用直接从 Stylish 里导出配置，然后导入到 Stylus 中，继续使用之前的 CSS 文件。



如果你之前没有使用过类似的浏览器扩展，不妨从下面这些开始尝试：

Weibo_v6：一款微博美化主题，优化排版并去掉了包括广告在内的多余元素。
百度轻：让百度用上 Material Design 风格，并且只保留最重要的搜索功能。
Flat_Zhihu：为知乎提供扁平化主题，同时优化字体和排版。
Inoreader Light tweaks：为 RSS 阅读器 Inoreader 提供更加大方典雅的设计。
Instagram grid：让网页版 Instagram 拥有「瀑布流」设计，提升宽屏体验
Stylish 这次的事件可以说为我们敲响了警钟。事件发生后，一些 Chrome 扩展开发者表示自己也收到过广告分析公司的收购邀约，希望他们能够在自己的扩展中加入类似 Stylish 收集用户隐私的功能。

对于用户来说，浏览器扩展虽然好用，但也要同时警惕存在的安全隐患。养成良好的扩展使用习惯可以最大程度上保证我们的隐私安全：

尽量不要使用来自非官方渠道的扩展。相对于缺乏监管的第三方扩展，Chrome 和 Firefox 提供的官方渠道对扩展的隐私权限有更加严格的限制，因此在大多数情况下都建议从官方商店下载扩展。
只使用必要的扩展。很多扩展都只在特定的网站才能发挥作用，因此平时没有必要打开所有的扩展，这样不仅会降低速度，而且还容易泄露自己的浏览记录。
关注自己常用扩展的更新。由于 Chrome 和 Firefox 都采用自动更新扩展的机制，因此用户需要不时关注一下自己经常使用扩展的更新日志，尤其要注意使用权限的变化，警惕使用那些被广告分析公司收购的扩展。
Stylus 安装地址：

chrome浏览器：https://chrome.google.com/websto ... ahjckkjfobafhncgmne
Firefox浏览器：https://addons.mozilla.org/firefox/addon/styl-us/
Opera浏览器：https://addons.opera.com/extensions/details/stylus/