EditThisCookie 到底怎么了？

EditThisCookie 于 2024 年 9 月 28 日从 Chrome 应用商店被移除。社区查到的解释是维护者账号易主,转让后的更新加入了违反 Chrome 应用商店政策的不受欢迎商业化行为。GitHub 上的原始开源代码还在,但商店上架页没了——新用户装不了,老用户也收不到更新。

EditThisCookie 还能继续用吗？

建议卸载。即使你本地装的是易主前的可信版本,它跑在 Manifest V2 上,而 Chrome 正在稳定版强制下线 MV2。一旦下线,数据被锁在不再运行的扩展里。而从官方商店之外重装的任何 "EditThisCookie" 来源不明——对一个有 Cookie 权限的扩展而言是真实风险。

为什么是移除而不是更新？

当扩展违反政策时,Google 会下架商店上架页——本例就是账号转让后引入的商业化行为。下架不等于强制更新;Google 是把整个上架页拿掉,而非回退它,所以商店里没有"更新版 EditThisCookie"。

最好的 EditThisCookie 替代品是什么？

要一个 Manifest V3 上的同类 Cookie 编辑器,CookieVault Editor 还原了 EditThisCookie 工作流（查看、编辑、导出、导入）并加了端到端加密同步和可复现构建。Cookie-Editor（by Moustachauve）是另一个积极维护的 MV3 选择。两个都安全;CookieVault 开源,Cookie-Editor 闭源。

我的 EditThisCookie Cookie 能转到新扩展吗？

能,前提是先导出。趁 EditThisCookie 还装着,用它的 Export → JSON。CookieVault Editor（和多数现代 Cookie 管理器）能导入该 JSON 并完整还原标志位。若已卸载,可从 Chrome 开发者工具手动重建 Cookie。

GitHub 上的 EditThisCookie 源码自己构建安全吗？

原始源码在 GitHub 上公开可查,自己构建比安装来历不明的二进制更安全。但它仍依赖 Manifest V2,所以自建版在 Chrome 完全禁用 MV2 后也会停止工作。Manifest V3 替代品才是耐久的选择。

EditThisCookie 偷密码或数据了吗？

没有广泛的公开确认说转让后的 EditThisCookie 窃取了密码。被记录的担忧是违反政策的商业化行为,不是已证实的凭证窃取。但话说回来,一个 Cookie 权限的扩展在不明所有权下本身就是可信风险,这也是社区迅速离开它的原因。

怎么从 EditThisCookie 迁移到 CookieVault？

把 EditThisCookie 的 Cookie 导出为 JSON,从 Chrome 应用商店装 CookieVault Editor,打开设置 → Import → EditThisCookie JSON,确认 Cookie 出现。完整分步迁移指南在我们的 EditThisCookie 替代品页。

EditThisCookie 没了 —— 发生了什么,以及该怎么办

TL;DR：EditThisCookie 于 2024 年 9 月 28 日因维护者账号据称被转让、转让后更新加入违反政策的商业化行为,从 Chrome 应用商店移除。原版已废;安全路径是 Manifest V3 替代品,如开源的 CookieVault Editor 或闭源的 Cookie-Editor。

EditThisCookie 的下架是 Chrome 扩展史上最具影响的事件之一。EditThisCookie 做了近十年数百万 Chrome 用户的默认 Cookie 编辑器¹——然后在 2024 年 9 月 28 日从 Chrome 应用商店消失。本文摆出可核实的时间线,解释一个被信任多年的扩展为何变成风险,并告诉你——无论你是否还装着它——该怎么办。

时间线

简而言之：EditThisCookie 在约十年里成长到数百万装机量,跑在 Manifest V2 上,于 2024 年 9 月 28 日在一次维护者账号转让和一个有争议的转让后更新之后,从 Chrome 应用商店移除。GitHub 源码还在;商店上架页没了。

事件经过,据开发者社区记录²:

时间	事件
约 2012-2023	EditThisCookie 是 Chrome 主流 Cookie 编辑器,装机量达数百万
2019 年起	Google 宣布并启动 Manifest V3 迁移,废弃 MV2³
2024 年前	原作者 Francesco Capano 把扩展转让给第三方
2024 年(转让后)	新更新引入被社区标记为违反政策的商业化行为
2024-09-28	Google 把 EditThisCookie 从 Chrome 应用商店移除
2024 年起	来历不明的发布者放出 “EditThisCookie 复活版” 分支和侧载 CRX

原作者已公开声明:他在出问题的更新前就卖掉了扩展,与导致下架的改动无关。我们不把下架责任算到他头上——重点是,维护者账号转让是浏览器扩展公认的供应链风险,EditThisCookie 是教科书案例。这种风险在中文开发者圈也发生过（早期部分国产浏览器扩展被收购后投毒）。

为何一个被信任的扩展会一夜变成风险

简而言之：浏览器扩展对你的浏览数据有特权访问。一个被信任多年的扩展,可能在其发布者账号易主的那一刻变成追踪或商业化载体——而用户往往在行为变化前没注意到所有权变化。

这种事不只发生在 EditThisCookie 身上的三个结构性原因:

特权访问随所有权延续。 一个有 cookies 权限的扩展在出售后仍保有该权限。新所有者继承了对你访问的每个站点每条 Cookie 的访问。
自动更新是静默的。 Chrome 在后台更新扩展。一个违反政策的更新可以不经你点击就落地,新行为以你授予旧所有者的权限运行。
来源在商店里不可见。 Chrome 应用商店上架页不显示所有权历史。你无法从商店页看出你 2022 年信任的扩展在 2024 年是不是同一个所有者。

这正是开源代码和可复现构建要紧的原因:它们让”二进制做了和源码不一样的事”这一攻击类别可被检测。

现在该怎么办

简而言之：如果你还装着 EditThisCookie,先导出数据再卸载。然后选一个所有权透明的 Manifest V3 替代品。不要从官方商店之外重装 EditThisCookie。

八步安全迁移清单:

检查 EditThisCookie 是否还装着 —— 访问 chrome://extensions 找它
若装着,先导出 Cookie —— 点 EditThisCookie 图标 → Export → JSON,保存
卸载 EditThisCookie —— 在 chrome://extensions 点移除
不要从第三方来源重装 —— “复活版” CRX 来历不明
选一个 Manifest V3 替代品 —— CookieVault Editor（开源）或 Cookie-Editor（闭源）都安全
从官方 Chrome 应用商店安装 —— 绝不从搜索结果里的直链下载
导入你导出的 JSON —— CookieVault Editor:设置 → Import → EditThisCookie JSON
验证导入后安全删除 JSON —— 明文 Cookie 留在磁盘上是凭证泄漏风险

选哪个替代品

简而言之：想要开源代码、加密同步、可复现构建,选 CookieVault Editor。想要尽可能小的安装、不需要同步,选 Cookie-Editor。两个都是 Manifest V3 且积极维护——避开无维护的分支。

安全选项的简短对比:

CookieVault Editor —— MIT 开源、Manifest V3、端到端加密同步、可复现构建、多档案。最接近同类的 EditThisCookie 替代,外加信任信号。
Cookie-Editor（by Moustachauve） —— 闭源、Manifest V3、积极维护、体积最小。如果源码透明不是你的硬需求,是合理选择。
无维护的”复活版”分支 —— 避开。来历不明加上 Cookie 权限,正是搞掉原版的那种风险。

带截图和功能对照表的完整迁移说明在我们的 EditThisCookie 替代品页。

另见

EditThisCookie 替代品 —— 完整迁移指南与功能矩阵
CookieVault 对比 EditThisCookie —— 直接对比
CookieVault Editor —— 开源替代
什么是 Cookie？ —— 底层协议
如何在 Chrome 中编辑 Cookie —— EditThisCookie 曾提供的工作流

EditThisCookie 的装机量在下架前公开显示在它的 Chrome 应用商店上架页;常被引用的”数百万”来自 Web Archive 在 2023-2024 年对该上架页的快照,为约数,我们未独立核实峰值数字。 ↩
维护者账号转让与随后的商业化更新于 2024 年 9 月在开发者社区被广泛讨论。原作者在其个人渠道公开回应了此事。中文开发者社区（V2EX、掘金、InfoQ）亦有相关讨论。 ↩
Chrome 的 Manifest V3 迁移时间表发布在 developer.chrome.com/docs/extensions/develop/migrate,稳定版 MV2 禁用时间表在 developer.chrome.com/blog/resuming-the-transition-to-mv3。 ↩

EditThisCookie 没了 —— 发生了什么,以及该怎么办

时间线

为何一个被信任的扩展会一夜变成风险

现在该怎么办

选哪个替代品

另见

Footnotes