近期火绒发表一篇名为《“去广告”插件云控劫持流量 产品官网假坦然“求同情”》的文章,引起了广告拦截插件用户们的一片哗然。近日,火绒根据用户反馈,分析发现一款名为“广告净化器”的浏览器插件存在流量劫持功能:通过替换计费名(和上游分成的标识)的方式来劫持用户“京东”和“淘宝”链接的计费号。当插件设置中的“支持开发者”选项被勾选后(插件安装后该选项即默认勾选),就会开启劫持逻辑;但即使用户取消勾选,该插件作者也可随时通过云控打开劫持开关开启劫持逻辑。

流量劫持和广告过滤规则配置中,存在大量劫持规则,劫持规则会将reload关键字左边的匹配到的请求链接劫持为关键字右侧的网址链接。被劫持链接主要包括京东和淘宝链接,如当用户在网站页面中点击跳转地址为https://s.click.taobao.com/6******的链接时,会被劫持为https://s.click.taobao.com/Qc***gw 。

这也不是火绒第一次扒皮了去广告插件的后门。更早的时候更是曝光过像”ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码,偷偷劫持用户流量。可参见:https://www.huorong.cn/info/1520593787110.html

而 Cloudopt AdBlocker 可能是东半球数一数二的安全插件,实时保护您的隐私及安全、拦截恶意广告。作为同样有能力拦截恶意广告的浏览器扩展,很多用户也难免犯起了嘀咕甚至有人在火绒论坛希望火绒检查 Cloudopt AdBlocker:国内这种百万级用户量、千万级用户量的产品都有后门,那 Cloudopt AdBlocker有没有呢?

首先我们知道这些国内的『知名』的去广告扩展们之所以会有劫持的后门主要是为了偷偷的盈利,而这种一次链接一点点的盈利 * 用户数量的时候就会变成让大部分人都愿意铤而走险的金额数目。我们虽然不知道他们最开始的初衷是什么,但现在来说肯定是已经变了。

16年底的时候,我们就在想为什么没有一个浏览器扩展是同时带有安全功能和屏蔽骚扰广告功能的呢?与小伙伴们经过整整半年的策划、原型设计、视觉设计、开发、测试等等终于在17年6月份在美国完成了1.0版本,并邀请了不少朋友进行了为期两个月的内测。为了达到最好的性能,基于 Cloudopt 自主研发的  Cloudopt Next  打造了一个性能卓越的云安全中心。设计上为了更好的契合浏览器,依据 Material Design 规范进行了设计并反复打磨提高用户体验。

虽然在境内注册了公司,但也只是为了方便申请各种备案及商标和购买云服务等等。

目前已经是 Cloudopt 自上线后走过的第三个年头了,目前数据中心横跨两家公有云服务商,三个国家和地区,为全球将近 79 个国家的用户提供服务(国家数量来自 谷歌分析统计),Cloudopt AdBlocker 仍然是为爱发电,无任何盈利且完全开源在  GitHub  的,我们每一次的迭代过程都可以在 GitHub 中看到,也没有故意放置任何后门。其实也不需要第三方审查,任何一个有前端编程基础的人都可以直接浏览源码。

而且 Cloudopt  AdBlocker 是经过微软、谷歌、火狐、360、Naver 等多家浏览器厂商检查过源码且正式上架的。

目前的服务器等开销虽然都很巨大,花费都来自团队成员个人捐赠,随着用户量不断增多,花销也越来越巨大,我们可能也会在今年开放对外的捐赠渠道,寻求大家帮助。

那么作为一个国内同类『原创』扩展唯一有云安全功能的扩展,我们是如何保障用户连接云安全过程中的隐私呢?

首先在连接过程中,我们购买了 Comodo 或是赛门铁克等知名安全厂商的 SSL 证书,保证所有连接都是在 HTTPS 加密情况下连接的。

SSL 连接上通过了 MySSL A+ 级(因CDN厂商原因目前为 A)评定,也通过了SSL Labs A+ (是SSL Labs 一个全球知名的 HTTPS 网站检测工具 。Qualys SSL Labs 同时也是很具有影响力的 SSL 安全和性能研究机构。)级别评定。

其次是云安全在请求过程中是只匿名上传域名检查网站是否安全的,不会上传具体的链接,也不会上传任何与您有关的隐私信息。即使是开启『用户体验改进计划 』后,也是依托于谷歌分析统计的,只是用于统计浏览器、系统、所在地区等等,具体可见谷歌分析统计的隐私条款。

而我们通过谷歌分析统计分析是希望改进用户体验、帮助低版本的用户更好的升级到新版本及提供对更多国家和地区友好的国际化体验。

我们目前也在努力的推进透明化的过程,包括但不限于收录网站数量、评论数量、贡献者列表等等。希望真的有一天做成一个第三方的、透明的、无买卖用户隐私的安全机构。