【发布时间】:2019-06-30 04:20:24
【问题描述】:
我开始在 React 中开发 webapps,我发现 Chrome 扩展 react-devtools 几乎是编写 react 应用程序的一个事实要求。
该工具(和反应)是由 Facebook 制造的,这家公司以在数据收集和对我们所有人的令人毛骨悚然的监视方面完全缺乏道德而闻名。并且它需要能够访问您正在浏览的所有内容(这可能是发挥它的魔力所必需的),才能安装。
react-devtools 拥有近 150 万用户(他们可能都是开发人员)。我是否应该相信 Facebook 不会利用这个明显的机会来跟踪我们开发人员在 Chrome 中所做的每一件事?
这里有没有人知道 react-devtools,有没有人尝试分析 react-devtools 向什么方向发送的数据?因为坦率地说,我不再对 Facebook 有这么多的信任,但如果我想制作 React 应用程序,react-devtools 似乎是不可避免的? :-(
【问题讨论】:
-
FB 不是开源工具。 React 开发工具是。如果您不信任操作系统社区github.com/facebook/react-devtools,您可以审核代码。如果你关心开发工具,为什么不也质疑 React?
-
这是一个很好且有效的观点!我自己没有足够的技能进行值得信赖的审计,但我猜开源社区中的某个人会发现代码中的漏洞,如果他们在那里? :-)
-
...感谢匿名愤怒的家伙的反对 - 我试图用谷歌搜索这个,但根本没有找到任何东西 - 我什至在 react-devtools 上找不到使用条款- 只看到它要求访问我所有的浏览,所以我真的不知道去哪里担心我的问题,以获得合格的安全性。 :(
-
我猜开源社区中的某个人会发现代码中的漏洞,如果他们在那里 - 这适用于任何操作系统产品。如果存在已知的安全问题,社区肯定会解决这些问题。至于隐私泄露,这种担忧似乎牵强附会(并非不可能,但 Facebook 的论点并没有使这种情况更有可能发生)。 我试图用谷歌搜索,但根本没有找到任何东西 - 我没有投反对票,但关于 FB 渗透操作系统工具的整个想法似乎有点偏执。如果有什么值得怀疑的地方,React 看起来更诱人。
-
顺便说一句,开发工具的隐私问题并非完全没有根据。例如。 AngularJS 提供指向他们网站的错误报告,例如 code.angularjs.org/1.6.9/docs/error/$injector/… 。我怀疑谷歌能否从这个请求中提取任何可用数据。尽管如此,它仍为他们提供了一些有关实施的数据,否则他们将无法获得这些数据。
标签: reactjs facebook security privacy