我一直怀疑用户请求翻译的内容是明文传输,今天安装了一个本地代理Privoxy,证实了这一推测。

首先将Lingoes的代理服务器指向Privoxy:

然后打开Lingoes的划词翻译功能(Translate Selected Text):

 

当你正在编辑一段很隐秘的文本,又不经意中全选了这段文本,此时Lingoes就会试图自动翻译您的这段文本: 

从Privoxy的日志中我们可以看到,它是被明文传送到了好几个翻译服务器:

Privoxy Logs

Jun 04 18:23:03 Privoxy(00000604) Request: api.dict.cn/wapi.php?q=ftp%20server%20%3A%20myserver.com%0D%0Aaccount%3A%20administrator%0D%0Apassword%3A%20p%40ssw0rd123&client=lingoes
Jun 04 18:23:03 Privoxy(000004f4) Request: dict.hudong.com/dict.do?title=ftp%20server%20%3A%20myserver.com%0D%0Aaccount%3A%20administrator%0D%0Apassword%3A%20p%40ssw0rd123&from=lingoes&type=1
Jun 04 18:23:03 Privoxy(0000177c) Request: www.google.com/uds/Gtranslate?callback=google.language.callbacks.id100&context=22&q=ftp%20server%20%3A%20myserver.com%0D%0Aaccount%3A%20administrator%0D%0Apassword%3A%20p%40ssw0rd123&langpair=%7Czh-CN&key=notsupplied&v=1.0 

有谁可以保证这些服务器的拥有者不会收集、分析甚至非法使用这些客户请求数据?

有谁可以保证这些明文传输不会在网络上被Sniffer所截获?

因此,各位请慎用Lingoes的划词翻译功能。

这里我仅对Lingoes的划词翻译功能进行了分析,因为我认为它是安全问题最严重的一个功能。其实即使是鼠标指定翻译,也同样存在不同程度的危险,同时我相信其他在线词典也极有可能存在类似的风险。

posted on 2009-06-04 19:21  愚公  阅读(2179)  评论(10编辑  收藏  举报