众所周知,不作恶(英语:Don't be evil)是 Google 的口号。
2018年5月,不作恶字眼于 Google 行为准则开头段落中被移除,仅在行为准则结尾提到不作恶,当时 Google 内部正因参与 Project Maven 而发生争议。
Google 行为准则 - Alphabet 投资者关系
And remember… don’t be evil, and if you see something that you think isn’t right – speak up!
后来,谷歌母公司改名为字母表(Alphabet)后,这一座右铭也改为了改成“做正确的事”(Do the Right Thing)。
事实上,谷歌干过的坏事还真不少。如:推动非法药物广告,未经授权扫描书籍建立数字图书馆,挑战中国的网络监管,参与“棱镜”项目收集用户数据,与美国军方合作开发军事技术,并在其平台上对反华和挺中内容采取双重标准等。
谷歌作恶简史-虎嗅网。
而今天,谷歌作恶的新闻又来了。
前端程序员都知道的一个常识:在谷歌浏览器里是无法获取真实的 CPU 和硬件信息的(因为 UA 信息不多且很容易伪造)。
今天再告诉你一个反常识:其实,Chromium 内置了一个系统级插件,这个插件允许 *.google.com 网站获取宿主机的 CPU 信息。
在 Chromium 源码里可以找到这个插件,插件 ID 是:nkeimhogjdpnpccoofpliimaahmaaome 。而且,这个插件还能对外通信。
我们可以随便打开一个 Google 的网站在 console 里面输入:
1
2
3
4
chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome',
{method: 'cpu.getInfo'},
response => console.table(response)
);
CPU 、进程还有负载 一五一十的就有了。
如果在别的网站上运行这段代码,会得到一个错误提示:
只有谷歌网站才能获取到这些信息,妥妥双标啊。
搞笑的是,微软的 Edge 浏览器内置了这个插件,同样也给了最高权限。真🐷啊。
看源代码,这个内置插件里面还暴露了不少危险的方法。当然,还能对外通信。
参考资料
一个反常识: 在 Chrome 浏览器里如何拿到用户最真实的 CPU 和其他硬件信息(不走 UA - V2EX
不作恶 - 维基百科,自由的百科全书
对Google的批评 - 维基百科,自由的百科全书
(1) X 上的 Luca Casonato 🏳️🌈:“So, Google Chrome gives all *.google.com sites full access to system / tab CPU usage, GPU usage, and memory usage. It also gives access to detailed processor information, and provides a logging backchannel. This API is not exposed to other sites - only to *.google.com.” / X
(1) X 上的 Luca Casonato 🏳️🌈:“Update: in Microsoft Edge this capability is also available exclusively to *.google.com domains” / X