Açık kaynaklı Chrome uzantısı geliştiricisinin karşılaştığı ayartmalar
(github.com/extesy)- Hover Zoom+ bakımcısı, 2015’ten 2026’ya kadar aldığı uzantı gelir elde etme ve satın alma tekliflerini yayımlayarak, kullanıcıları satmamak için bu teklifleri reddettiğini açıkladı
- Teklifler; anonim kullanıcı verisi satışı, arama trafiğinden gelir elde etme, affiliate bağlantı yerleştirme, reklam/kupon gösterimi, SDK kurulumu, uzantının satın alınması gibi tarayıcı izinlerini ve kullanıcı tabanını paraya çeviren yöntemlerin tekrar ettiğini gösteriyor
- Teklif metinleri “anonim”, “kişisel veri yok”, “UX’e etkisi yok”, “Google politikalarına uygun” vurgusu yaparken; DNS hataları, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, arama sorguları gibi davranışsal verileri talep ediyor
- Bakımcı, Hover Zoom+’ın birden çok tarayıcıda yaklaşık 400 bin kullanıcıya sahip olması ve tüm sayfalarda çalışması nedeniyle, kötü niyetli aktörler için geniş bir saldırı yüzeyi ve gelir potansiyeli yarattığını açıklıyor
- Yorumlarda; kaynak kodunu inceleme, izin listesini gözden geçirme, Chrome Web Store’daki privacy practices sekmesini kontrol etme, son yorumlara bakma, ağ isteklerini inceleme ve Site Access’i “On Click” ile sınırlama gibi yöntemler uzantı riskini azaltmanın pratik yolları olarak öneriliyor
Bakımcının paylaştığı temel kaygı
- Hover Zoom+ bakımcısı, yıllardır uzantıdan para kazanma yönünde çok sayıda teklif aldığını ve “eğlence için açık kaynak yapıyorum, kâr için değil” dediğini belirtiyor
- Bakımı sürdürmesinin en büyük nedeninin, işi başkasına bıraktığında bu tekliflere kapılmayacağına güvenmenin zor olması olduğunu söylüyor
- Kendisi, yeterince iyi kazandıran bir işi olduğu için “ahlaki pusulasını” koruyabildiğini ve teklifleri görmezden gelebildiğini ifade ediyor
- Ancak tüm geliştiricilerin aynı maddi güvenceye sahip olmadığını, bu başlığın da uzantı geliştiricilerinin maruz kaldığı finansal baskıyı göstermesini umduğunu ekliyor
Tekrarlayan gelir elde etme tekliflerinin türleri
- Pek çok teklif, Hover Zoom+’ın Chrome Web Store’daki kullanıcı tabanının “önemli gelir” yaratabileceği iddiasıyla geliyor
- Tekrarlayan yöntemler şunlar:
- Anonim kullanıcı verisi toplayıp reklam hedefleme, pazar araştırması, iş zekâsı ve clickstream verisi olarak satmak
- Bing, Yahoo, Google araması veya search lander/feed ekleyip arama sorguları ve reklam tıklamalarından gelir paylaşımı almak
- Organik arama sonuçlarına store logo, affiliate link, “Sponsored” bağlantılar ekleyip satın alma gerçekleştiğinde komisyon almak
- Coupon, cashback, PopUnder, in-text, new tab, search injection, in-image monetization gibi reklam formatlarını yerleştirmek
- Bir SDK ya da birkaç satır JS ekleyerek veri toplama veya reklam gösterimini uzantıya entegre etmek
- Uzantının kendisini satın almak ya da Google hesabı devri olmadan Chrome extension ownership devri önermek
- Bazı teklifler, “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX” gibi ifadelerle kullanıcıya mümkün olduğunca görünmeyen gelir modellerini öne çıkarıyor
Tekliflerde geçen veriler ve tutarlar
- 2015 tarihli tekliflerden biri, anonymous user data üzerinden para kazanılmıyorsa “çok para kaçırılıyor olabileceğini” söylüyor ve NAI ile IAB onaylı reklam ağlarından söz ediyor
- 2016’daki DNS hata araştırması teklifi şu verileri talep ediyor:
- NXD, yani kullanıcının yazdığı ancak var olmayan alan adları
- Oluşma zamanı
- GEO
- Hash’lenebilir olduğu ve kullanıcı takibini imkânsız kıldığı iddia edilen benzersiz rastgele kullanıcı kimliği
- 2020 sonrası tekliflerde GEO, günlük/aylık aktif kullanıcı, ilgi alanı sınıflandırması, URL, referrer, country, timestamp, browsing behavior, clickstream, browser history gibi öğeler tekrar tekrar geçiyor
- Teklif edilen tutarlar oldukça değişken:
- 2016 uzantı satın alma teklifi: $14,500
- 2020 analytics platform entegrasyonu teklifi: $2,000/ay
- 2020 arama gelir modeli teklifi: 300.000 kullanıcı için günde $9,000 mümkün olduğu iddiası
- 2021 data marketplace SDK entegrasyonu teklifi: $30,000/yıl
- 2023 veri teklifi: en fazla $20K/ay
- 2024 clickstream data partnership teklifi: $30,000~$40,000/ay
- 2024 satın alma teklifi: $30,000
- 2025 satın alma teklifi: kullanıcı başına $0.05~$0.15
- 2024 sonlarında gelen bir abonelikle gelir elde etme teklifi, 400.000+ kullanıcı tabanında %5 dönüşüm varsayımıyla; $0.99/ay için yaklaşık $19,800/ay, $4.99/ay için yaklaşık $99,800/ay, $9.99/ay için yaklaşık $199,800/ay örnekleri veriyor
Bakımcının yaklaşımı ve karar ölçütleri
- Şirket adlarını açıklamamasının nedeni sorulduğunda, bazı şirketlerin zengin ve yasal biçimde faaliyet gösteriyor olabileceğini, dava riskini almak istemediğini söylüyor
- Popup reklamların kullanıcı tarafından fark edilip sorumlu uzantının kolayca devre dışı bırakılabileceğini; ancak gizli yöntemlerin çok daha uzun süre yaşayabildiğini belirtiyor
- Telemetri konusunda, kullanıcı açısından fayda ile takip ediciliğin istilacılığı arasında denge kurulabileceğini; ancak geliştirici açısından en iyisinin hiç izleme koymamak olduğunu, böylece daha geniş bir kullanıcı kitlesine ulaşılabildiğini ve anonimleştirme düzeyi tartışmalarından kaçınıldığını söylüyor
- Hover Zoom+ adının, geçmişte kötü amaçlı tartışmalarla anılan Hover Zoom ile karıştırıldığı eleştirisine karşı; hedefinin tüm kullanıcıları kazanmak olmadığını, 300 binden fazla kişinin zaten değer gördüğünü ve ücretsiz, gelir getirmeyen bir uzantı için ad değişikliğine ya da ek kanıt üretmeye zaman harcamayacağını belirtiyor
- 2023 tarihli bir yorumunda bakımcı, Hover Zoom+’ın neden değerli olduğunu iki maddede özetliyor
- Tüm tarayıcılarda toplam yaklaşık 400 bin kullanıcı
- Belirli bir site yerine tüm sayfalarda etkin olması
- Bu iki unsurun birleşerek son kullanıcı tarafında büyük bir potansiyel saldırı yüzeyi yarattığını ve kötü niyetli aktörler için yüksek gelir anlamına geldiğini açıklıyor
Kullanıcılar ve geliştiriciler için uyarı işaretleri
- Bir yorum, uzantı satın alındıktan sonra sonraki sürüme adware ya da botnet script eklenebileceğini ve mevcut izinler sayesinde ek izin açılır penceresi olmadan çalışabileceğini belirtiyor
- Başka bir yorum, bazı veri tekliflerinin AdTech/RTB amaçlı kullanıcı verisi satışıyla bağlantılı olabileceğini açıklıyor ve Privacy International’ın adtech materyaline bağlantı veriyor
- DNS hata verisi isteyen teklife ilişkin bir yorum, bunun yaygın yazım hatalı alan adlarını veya süresi dolmuş alan adlarını ele geçirip kullanıcı yönlendirmelerini kaçırma amacı taşıyabileceğini öne sürüyor
- The Great Suspender örneğine değinen bir yorum, bazı anlaşmaların SDK kurulumunu değil, repository’nin ya da uzantı sahipliğinin devrini hedeflediğine dikkat çekiyor
- 2026’daki tekliflerden biri; you.com izinleri, sayfa içeriğini okuma, keystroke yakalama, harici sunucuya gönderim, session cookie erişimi, browsing history toplama kalıplarından söz ediyor; ancak bakımcının notu, Hover Zoom+’ın böyle davranmadığını ve bunun sadece söz konusu şirketin satın almak istediği veri türünü gösterdiğini ekliyor
Bir uzantının gelir elde etmek için değiştirilip değiştirilmediği nasıl anlaşılır?
- Bakımcıya göre en güvenilir yöntem kaynak kodunu okumak
- Bunun dışında şu sinyalleri öneriyor:
- Chrome Web Store’daki privacy practices sekmesinde geliştiricinin veri toplamadığını veya kullanmadığını beyan edip etmediğini kontrol etmek
- Açık kaynak olup olmadığını kontrol etmek
- Uzantının izin listesinin, işleviyle ilgisiz şüpheli izinler isteyip istemediğine bakmak
- Son kullanıcı yorumlarında davranışla ilgili tekrarlayan şikâyet kalıpları olup olmadığını incelemek
- chrome-stats gibi sitelerdeki risk tahminlerine bakmak
- Ancak bu sinyallerin hepsinin manipüle edilebileceğini, dolayısıyla bunun “suçsuzluğu kanıtlamaktan” çok sorun tespiti anlamına geldiğini ekliyor
- Başka bir yorum, Webpack vb. yüzünden kaynak kodunu okumanın zor olabileceğini; bunun yerine uzantının yaptığı ağ isteklerini incelemenin daha kolay olabileceğini öneriyor
- Aynı yorum, background ya da service worker isteklerinin de kontrol edilmesini ve birçok uzantının gerekmediği hâlde tüm sayfalarda çalıştığını, bu yüzden Chrome’daki Site Access ayarının “On Click” olarak sınırlandırılmasını anlatıyor
Topluluk tepkisi ve devam eden tartışma
- Birçok yorum, bakımcının kullanıcıları satmamış olmasını ve teklifleri ifşa etmesini destekliyor
- Bir kullanıcı, bu tür uygulamalar hakkında hem kullanıcılar hem de uzantı geliştiricileri tarafında daha fazla farkındalık gerektiğini söylüyor
- Bakımcı, kötü amaçlı uzantılar etrafındaki durumun zaten yeterince kötü olduğunu ve daha fazla kişinin bunu bilmesi gerektiğini söylüyor
- Hacker News’te paylaşıldığını belirten bir yoruma karşılık, bakımcı başka geliştiricilerin de bir “stand” alması için ilham olmasını umduğunu ifade ediyor
- 170 bin kullanıcılı başka bir uzantı geliştiricisi de benzer teklifleri sıkça aldığını; yoksul bir üniversite öğrencisi olarak bunların cazip geldiğini ama sonunda daha az istilacı başka yollarla gelir elde ettiğini söylüyor
1 yorum
Hacker News yorumları
ChatGPT for Google bu yılın başında HN'de 1 numaraydı; şimdi GitHub deposuna bakınca o eklentinin çoktan satılmış olduğunu görüyorsunuz
Benim de yaklaşık 25.000 kuruluma sahip ücretsiz bir yan proje eklentim vardı ve “gelir elde etmenize yardımcı olalım” diyen epey çok kişi bana ulaştı
Bu yüzden her türden rahatsız edici gelir elde etme yolunu derlemenin değerli olacağını düşündüm: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
Reklam teknolojisi sektörü gerçekten genel olarak iğrenç bir alan
O para, evin peşinat meselesini çok daha küçük bir sorun haline getirir
Kendi etik çizginizin nerede olduğunu önceden düşünmek her zaman iyi
Bu tür çöp tekliflerin önemli bir kısmı kesinlikle otomatikleştirilmiş
“Ben [extension name] hayranıyım; ne kadar pratik ve yararlı olduğunu gerçekten seviyorum.
Eklentinizde kendi ürünlerini tanıtmak isteyen kişilere tanıtım alanı sağlamayı hiç düşündünüz mü? Eklentimi [extension name] içinde tanıtmak istiyorum ve bu olasılığı görüşmek isterim.
İlgilenirseniz haber verin.” gibi
Bu arada, burada bazılarınızın muhtemelen kullandığı JSON Formatter eklentisinin [0] sahibi benim
12 yıl önce yaptım ve açık kaynak olarak yayımladım; bugüne kadar bakımını sürdürdüm ve [1] şu anda 2 milyon kullanıcısı var
Herhangi bir veriyi herhangi bir yere gönderen kodu asla eklemeyeceğime ve bunu yapacak birinin eline de teslim etmeyeceğime ciddiyetle yemin ederim
Herkesin verisini çalmak ya da daha kötü şeyler yapmak istiyor gibi görünen şüpheli kişilerden birkaç kez cazip nakit teklifleri aldım
Bazen keşke adımı koymasaydım diyorum. Öyle olsaydı itibarımı zedelemeden parayı alabilirdim
Ama adımı koyduğuma göre onurlu kalmaktan başka yol yok. Yine de iyi tarafı, onu asla satmadığımı her zaman söyleyebilecek olmam
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Dürüst olmak gerekirse çok da emek harcamadım
Tek satırlıktı, bu yüzden değişecek hiçbir şey yoktu
Ama Chrome Web Store 5 yıldan uzun bir süre sonra onu kaldırdı; muhtemelen hiç güncelleme yayımlamadığım için artık zorunlu hale gelen giriş alanları boş kalmıştı
Satmamış olmanız saygı duyulacak bir şey
Benim yaptığım gibi bu satın alma tekliflerini kamuya açıklama işine başlamayı düşünüp düşünmediğinizi merak ediyorum
Açıkça dünyaya değer sağlıyorsunuz ve benim ahlak anlayışıma göre, şüpheli işler yapmadan bu değerin bir kısmını geri alma hakkınız olmalı
Ben Streak'in kurucusuyum ve biz, Grammarly gibi başka yerlerde olduğu gibi eklentiden doğrudan gelir elde ediyoruz
Harcadığınız emek için kullanıcılardan doğrudan para istemeyi hiç denediniz mi merak ediyorum
Bu sektörde gün geçtikçe güçlü bir etik anlayışı korumak zorlaşıyor gibi
Yoksa gizlice mi araya sıkıştırılıyor, bilmiyorum
En azından tehlike işareti olacak bir açılır bildirim görmeyi isterdim
Bakımcısıyım
Benim eklentimden gelir elde etmek fiilen neredeyse imkânsız, bu yüzden hangi teklif gelirse gelsin bir ölçüde ahlaki fedakârlık gerektiriyor
Şimdiye kadar gördüğüm en az müdahaleci teklif, eklentimin içine başka bir eklentiye karşılıklı bağlantı koymaktı; DarkReader'ın kendi web sitesinde yaptığına benzer şekilde
Kullanıcı verilerini ihlal etmese bile bunu yapmamamın nedeni, o diğer eklentiyi dolaylı olarak onaylamış olmam ve onların kullanıcı verilerini nasıl ele aldığını kontrol edememem
Büyüdüğünde, pek dile getirilmese de yaygın olan “sonunda herkes satar” algısını kırmaya yardımcı olur
Şu anda Chrome kullanmıyorum ama eskiden Hover Zoom+'ı gerçekten çok severdim; eşim hâlâ sorunsuz kullanıyor
Harika bir eklenti ve bu yorumu plus bağlantı verilen GitHub issue'sunu okuyunca daha da içim rahatladı
O zaman imagus'a geçip alışmıştım
Her halükârda gelir elde etme girişimlerini reddettiğiniz için teşekkürler
Bu sorunun çözümünü bilmiyorum ama kullanıcıdan zaten gerçek parayla para kazanırken kullanıcı verilerini de yılda yaklaşık 20 sterline satan, güvenilir ve yasal birkaç şirket biliyorum.
Mahremiyet ihlali temel inançlarıma ters düştüğü için ben bunu asla yapmam; fakat çözülmemiş bir çatışma var.
Bir yandan, kullanıcıların büyük çoğunluğunun tek kuruş ödemektense mahremiyetini satmayı tercih ettiğini biliyorum.
Her zaman “para öde” düğmesi yerine “verilerimi sat” düğmesine basmaya razı olurlar.
Yeterince çok kullanıcıyla temas ettiğim için bunu bildiğimi söyleyebilirim.
Birçok kullanıcı ücretsiz değilse ortalığı ayağa kaldırır, ama kişisel bilgilerini devretmek uykularını kaçırmaz.
Elbette genel olarak çoğunluktan söz ediyorum.
Öte yandan internetin vicdansız aktörlerin serpilip büyümediği bir yer olmasını istiyorum.
Gerçek dünyada çoğu zaman bir şeyi bedavaya almayı beklemiyoruz; internet neden farklı olsun?
Neden herkes, ben dahil, internette hep bedava olanı arıyor?
En kötüsü de sonunda çevrim içi para harcamaya istekli tek tarafların veri hırsızları ve reklamverenler olması.
Geri kalanlar ruhlarını teslim ediyor.
Geliştiricilerden, tüm bu yapının ayakta kalması için bedavaya çalışmaları bekleniyor.
Üstelik “veri” ifadesi de sıradan kullanıcı için genellikle belirsiz.
AB ve Kaliforniya gibi düzenlemelerin tam da bunu zorunlu kılması gerekiyor.
Seçenekler “Sizin hakkınızda elimizde şu veriler var: ürpertici takiplerin ürünü olan a,b,c,d... dahil. Mahremiyetinizi çeşitli yollarla ihlal etmemize izin verirseniz bu küçük süs eşyasını ücretsiz veriyoruz. Ya da x lira ödeyin” diye sunulsa, kaç kişi mahremiyet ihlalini seçerdi?
İnternetin önemli bir kısmı bir biçimde iletişimdir.
Gerçek dünyada da birçok iletişimi ücretsiz elde ederiz.
Asıl merak ettiğim, neden herkesin interneti cahil yerlilere süs eşyaları satarak zengin olma platformu varsaydığı.
Bazı şeyleri kâr amacı gütmeden işletmek daha iyi olabilir.
Firefox’ta zaten böyle bir şey var gibi görünüyor (https://mzl.la/3Acn4DU).
Chrome uzantıları için bir denetçi bilmiyorum.
Google veya Mozilla gibi güvenilir bir kuruluş ya da grubun uzantıları denetleyip kötü amaçlı yazılım içermediğini “sertifikalandırması” sağlanabilir.
Ek olarak uzantıların %100 açık kaynaklı olması gerekir; güvenilen kuruluş ele geçirilse ya da işini yapamasa bile sonunda ortaya çıkar ve insanlar kullanmayı bırakır.
Elbette kusursuz değil.
Adware denetçiden de gizlenebilir, denetçi ele geçirilmiş olabilir ve kimse bunu bilmeyebilir.
Çok karmaşık koda sahip uzantılar daha fazla maliyet ve zaman gerektireceğinden, hiçbir sorunu olmayan popüler uzantılar bile sertifika alamayabilir.
Değişikliklerin de her zaman denetlenmesi gerekeceği için güncellemeler gecikir ve baskılanır.
Kolayca gözden kaçabilecek son sorun, denetçinin belirli bir uzantıyı, örneğin para ödeyen tarafı, onaylama konusunda yanlı olabilmesidir.
Kod okunması çok zorsa ya da inceleme kuyruğunun arkasındaysa onaylanmayabilir; “çok zor okunuyor” ölçütü ve kuyruktaki yer ise parayla kolayca etkilenebilir.
Yine de web uzantıları, diğer uygulamalara kıyasla denetlenmeye uygun yazılımlardır.
Çünkü genellikle çok daha küçük ve basittirler, gereken kullanıcı sayısı daha azdır ve bankalar ile gizli siteler dahil tüm web gezintisi gibi son derece güvenilen bir alanda çalışırlar.
Sandbox’lanmış telefon uygulamaları veya bilgisayardaki kullanıcı modu programlarıyla karşılaştırıldığında zarar hâlâ vardır ama çok daha küçüktür.
Bir şey için ödeme yaptığınızda zaten kimlik bilgilerinizi vermiş oluyorsunuz.
Değer değişimi açıkça tek tarafa eğilmiş durumda; ama X’i elde etmek için hem kimliğinizi paylaşmanız hem de para ödemeniz gerekiyorsa hem paranızı kaybetmiş hem de kimliğinizi paylaşmış oluyorsunuz.
Kimliğinizi paylaşıp X’i ücretsiz alırsanız en azından para kaybetmezsiniz.
Gerçekte genellikle para ödeseniz de verilerinizi sattığınız, ücretsiz kullanırsanız da gerçekten çok fazla veri sattığınız seçenekler arasında kalıyorsunuz.
Çoğu ücretli hizmet de gizlilik politikasında, şartlarında ve kullanıcı sözleşmesinde verileri nasıl sattığını aynı şekilde yazar.
En iyi ihtimalle nakit akışında daha az desperate oldukları için kime sattıkları konusunda biraz daha seçici olacaklarını umabilirsiniz.
Ama kullanıcı üzerindeki etkisi daha büyüktür.
Artık kredi kartı, adres, gerçek ad ve telefon numarasına sahip olurlar; bunların hepsi hack’lere ve sızıntılara açıktır.
Ücretsiz hesapta olduğundan bu bilgileri uydurmak da daha zor olduğu için toplanan verilerin değeri daha yüksektir, dolayısıyla cazibesi de artar.
Ayrıca ücretli hizmetlerin dark pattern’ların yaygın olduğu tüketici düşmanı abonelik sistemleri vardır.
Beğenmeyip iptal etmek istediğinizde gereksiz yere zahmetlidir; ücretsiz denemeler bile kredi kartı ister.
Paranın gerçekte nereye harcandığı konusunda da şeffaflık çok düşüktür.
Birçok hizmet zararına çalışır; müşteri ücretleri vitrin süsüdür, asıl para yatırımcılardan gelir.
Bazı şirketler için ücretli model bir tür kamuflaj gibidir; gerçek çıkış, yıllarca veri topladıktan sonra bir veri toplayıcı tarafından satın alınmak olabilir.
Diğer tarafta ise saçma biçimde şişirilmiş fiyatlarla enayi avlayanlar vardır.
Bu nedenle para ödeme seçeneği güvensizlikle lekelenmiştir; bunun nedeni yalnızca tüketicilerin cimri ve hak iddiası yüksek olması değildir.
Güvensizlik herhangi bir piyasayı hızla durgunlaştırabilir.
Yine de sektörü çok fazla suçlamıyorum.
1848 Kaliforniya’sında olduğu gibi, ortalıkta duran altını toplayan insanı suçlamak zordur.
Asıl sorun, kullanıcının verilerinin nasıl kullanıldığını görmesini ve kontrol etmesini sağlayacak araçların, altyapının ve düzenleyici çerçevenin olmamasıdır.
İnsanlar gerçekten ödeme yapmak yerine verilerini satmak istiyorsa bırakın öyle yapsınlar.
Ancak şu anda çoğu kullanıcı tam olarak hangi verilerin toplandığını ve bunların değerinin ne olduğunu bilmiyor.
5 dolarlık bir uygulamayı satın almanın, 20 dolarlık veri madenciliğine maruz kalmaktan daha iyi olduğuna rasyonel biçimde karar verebilecek durumda değiller.
Rahatsız edici olan, uygulamaların veriyle para kazanmayı gizlemesi, zorunlu kılması veya bunu kabul etmeden hizmeti kullanmanın bir yolunu sunmaması.
Özellikle katılmamayı seçmenize bile izin vermeyen hizmetler daha da kötü.
Örneğin, çalıştığım yer Equifax’ın “The Work Number” hizmetini daha yeni devreye aldı; ben hesap oluştursam da oluşturmasam da verilerim zaten orada
Daha kötüsü, hesap oluşturmazsam birinin benim iradem dışında daha fazla bilgi toplamak için hesap oluşturmayı denemesine açık kapı kalıyor
İnsanlar kendi verileriyle neyi seçerse seçsin, kendi görüşümü dayatmak gibi ahlaki bir yükümlülük hissetmiyorum
Gerçekten rıza gösterip 20 doları ya da uygulamada o verinin değeri ne kadarsa o parayı tasarruf etmek istiyorlarsa, sırf ben onların gizlilik bilgilerini ele alış biçimine katılmıyorum diye bu seçeneği ellerinden almak da aynı nedenle dayatmaktan pek farklı değil
Benim için önemli fark, bundan çıkar sağlayıp sağlamadığım; ama her durumda bir seçenek varsa, kullanıcının durumu nasıl tarttığı açısından bu aslında önemli değil
Bir web sitesi işletince sürekli böyle e-postalar alıyorsunuz
“Merhaba,
Mevcut yazılara konuk yazı katkısı ya da link ekleme kabul edip etmediğinizi sormak istiyorum. Mümkünse yönergeleriniz ve ilgilendiğiniz konular hakkında daha fazla bilgi almak isterim.
Zaman ayırdığınız için teşekkürler. Yanıtınızı bekliyorum.
Teşekkürler.”
Bunlar kesinlikle toplu spam. Benim sitemde blog bile yok
Sitemde birkaç Windows yazılımı indirmesi de var; bazen şüpheli kurulum paketi bundle teklifleri içeren e-postalar da alıyorum
Çoğu, kullanıcının internet bağlantısına erişimi satmaya çalışan konut proxy’si hizmetleri
O kadar çok bağlam ekliyorlar ki gerçek bir insan gibi görünüyorlar; sonunda çok zaman kaybettiriyorlar ve açıkçası epey kırıcı oluyor
Materyal paylaşmak için çok zaman harcıyoruz; böyle sahte bağlantılar ciddi bir iticilik yaratıyor
Son zamanlarda derin bağlam eklenmiş, yapay zeka tarafından yazılmış “ödül aday listesi” türü e-postalar yağmaya başladı
Kolay bir ödeme karşılığında ödüle aday olarak değerlendireceklerini söylüyorlar
Yalnız bizim yazılım güvenliği hizmeti işletmediğimizi, web scraping konusuyla ilgilendiğimizi hatırlatan konu uyarlamasını hep unutuyorlar
Yapay zeka, yabancılar arasındaki e-posta iletişimini öldürecek gibi
Giderek çok yorucu oluyor
Sondaki unvan komik
“Konu: Web sitenizde güvenlik açığı buldum.
Merhaba ekip,
Ben güvenlik araştırmacısı Harris; bug bounty programı dışında web sitenizde bir güvenlik açığı buldum.
Bulduğum tüm açıkları ve uygun düzeltme yöntemlerini de açıklayarak web sitenizi daha güvenli hale getirebilirsiniz.
Yardım ettiğim şirketler her zaman cömert davrandı ve bulduğum sorun için uygun gördükleri bir tutarla beni ödüllendirdi. Yardımımı olumlu görürseniz PayPal, Bitcoin, Payoneer veya banka havalesiyle bonus ödeme almaktan memnuniyet duyarım.
Olumlu yanıtınızı bekliyorum.
Teşekkürler,
Harris A
Certified Ethical Hacker”
TOR operatörleri bağlantı paylaşmanın risklerini, özellikle pedofillerin bu hizmeti CSAM paylaşmak için kullanma riskini biliyor
Ama sıradan insanlar bilmiyor
Bir gün tutuklanana kadar hiç bilmiyorlar
Ben de böyle e-postalar alıyorum ama WordPress sitesi işlettiğim için, bunların web sitesinin parmak izini çıkarıp yalnızca WordPress sitelerine e-posta gönderdiğinden emindim
Bu yüzden WordPress parmak izini gizlemenin mümkün olup olmadığını kontrol etmek yapılacaklar listemdeydi
Ama bunu söyleyişine bakılırsa pek işe yaramayacağı belli
Geriye dönüp bakınca bu spam’cilerin herkese topluca göndereceğini anlayabilirdim
Buradaki temel sorun, tarayıcı uzantılarını meşru şekilde gelire dönüştürmenin bir yolu olmaması
Uzantılar basit olacak şekilde tasarlandığı için premium özellik satmak zor ve genelde reklam koyabilecekleri kendilerine ait bir alanları da olmuyor
https://developer.chrome.com/docs/webstore/money/
“Chrome Web Store’u kullanıma sunmamızın üzerinden geçen 11 yılda web büyük ölçüde gelişti. O dönemde geliştiricilere Web Store öğelerini gelire dönüştürme yolu sunmak istiyorduk. Ancak o zamandan beri ekosistem büyüdü ve geliştiricilerin artık kullanabilecekleri çok sayıda ödeme işleme seçeneği var.”
Bu tür e-postaları gönderen kötü niyetli aktörler, kullanıcı verilerinin kendilerine sağladığı değere para ödemek istiyor
Bu iki sayının birbiriyle hiçbir ilgisi yok ve kullanıcı verilerinin değeri çoğu zaman uzantı işlevlerinin değerinden çok daha yüksek
Gelire dönüştürme bu sorunu çözemez
Çünkü iki potansiyel müşteri aynı ürünü satın almıyor
Çoğu uzantı basit ve aslında güncellemeye ihtiyaç duymuyor
Ama güncelleme mekanizması sessiz, tamamen otomatik ve geri alma da yok
Steam bile bu kadar agresif güncelleme yapıyor diye aklıma gelmiyor
Ben bir yazılım lisansı API’si işletiyorum ve oldukça iyi bir kullanıcı tabanına sahip tarayıcı uzantısı müşterilerim az değil
Diğer dağıtım kanallarında olduğu gibi gelire dönüştürme fırsatları mevcut
Bu teklif zararsız görünüyor, hatta yardımcı bile olabilecek gibi durduğu için ilginç
DNS hatası izleme diyor; ben neyi kaçırıyorum acaba?
“Muhtemelen sık sık iş teklifleri alıyorsunuzdur, bu yüzden doğrudan konuya gireceğim. Önerdiğim şeyin biraz farklı ve gerçekten ilginizi çekebilecek bir şey olmasını umuyorum. Hover Zoom+’ın, son birkaç ayda cazibesini kaybeden ağabeyi Hover Zoom’a harika bir alternatif olduğunu düşünüyorum.
DNS hataları üzerine bir araştırma yürütüyoruz ve Chrome uzantınız aracılığıyla sağlayabileceğiniz az miktarda anonim veriyle ilgileniyoruz. Araştırmamız yıllardır sürüyor ve Google bunu hiçbir zaman sorun etmedi.
İlgilendiğimiz veri temelde yalnızca DNS hataları:
Hepsi bu. İsterseniz bizim betiğimizi kullanabilirsiniz; isterseniz veriyi kendiniz toplayıp FTP sunucusuna, API’ye vb. gönderebilirsiniz. Yöntem çok. Ödemeyi aylık yapıyoruz; tutar kullanıcı GEO’suna göre değişir ama yılda birkaç bin dolar düzeyinde olur.
Kısaca da olsa görüşmeye değer mi? Yanıtınızı bekliyorum.
Bir süre önce şirketimizin yürüttüğü DNS hatası araştırmasıyla ilgili olarak sizinle iletişime geçmiştik. Hover Zoom+ araştırmamız için ideal bir mecra olurdu. Karşılığında sizin için sağlam yeni bir gelir kaynağı olabilir.
Yöntemimiz yıllardır uygulanıyor ve Google ile hiçbir zaman sorun yaşamadık. Aylık düzenli ödeme yapıyoruz. Sizin için yılda on binlerce dolar düzeyinde olur; miktar kullanıcı tabanına ve veri kalitesine göre değişir.
Üçüncü taraf betik eklemek konusunda endişeniz varsa, bunu gerçekleştirmenin hâlâ pek çok yolu var.
Kısaca da olsa görüşmeye değer olup olmadığını lütfen bildirin.”
Örneğin sık yanlış yazılan alan adları
Yasak değil ama yine de biraz şüpheli
Kullanıcıların sıkça yanlış yazıp NX yanıtı aldığı alan adlarını görüp bunları kaydederek reklam göstermek veya phishing yapmak istiyorlar
Bu yüzden en iyi ihtimalle ortada bir tür ticari çıkar var; en kötü ihtimalle kullanıcıya zarar verecek bir davranış söz konusu olabilir
Dışarıdan tek bir iş yapıyormuş gibi görünürken gizlice başka bilgiler taşıyan bir betik yazmak zor değil
Örneğin kötü bir hash fonksiyonu yazmak mı? Çocuk oyuncağı
Her zaman ATP gradyanını takip etmek gerekir
Yaklaşık 300 bin kullanıcılı bir uzantıya bile bu kadar agresif teklifler geliyorsa, milyonlara ulaşmış uzantılara gelen tekliflerin ne kadar sert olacağını merak ediyorum
Uzantı ekosistemindeki teşvikler tamamen yanlış hizalanmış görünüyor
Ruffle’ın resmi e-posta kutusu da bu tür tekliflerle dolu
Ücretsiz ve özgür yazılım olan bir uzantı için teklif edilen miktarlar o kadar büyük ki, alıcıların Google veya Mozilla[0] tarafından hemen engellenmeyecek kadar kötü amaçlı kodu bolca eklemek istediklerini düşünmekten başka seçenek kalmıyor
Kişisel olarak, yeni sahiplik yapısına dair ön onay ve doğrulama olmadan uzantı sahipliği devrine izin verilmemesi gerektiğini düşünüyorum
Yeni kayıtların incelemesi veya güven geçmişi yoktur; bu yüzden mevcut bir uzantının devri, bilerek yeni bir uzantı oluşturmaktan daha zor olmalı
Bu tür politikaların pratikteki sıkıntısını zaman zaman bizzat yaşayan biri olarak[1], bürokratik süreçlerden geçmenin ne kadar can sıkıcı olduğunu bilerek söylüyorum
Yeraltı uzantı alım satım piyasası inanılmaz derecede şüpheli ve kullanıcı güvenini fazlasıyla hafife alıyor
[0] Ne yazık ki AMO kaydımız zaten makine tarafından üretilmiş kod olarak işaretlenmiş durumda. Çünkü Rust/WASM kullanıyoruz. Bu nedenle Mozilla uzantı gönderimini ancak build’imizi bayt bayt yeniden üretebildiğinde onaylıyor
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Ortaokuldayken aklıma gelen kirli planı hatırladım
Hangi davranışın kasıtlı, hangisinin kasıtsız olduğunu ayırt etmek gerçekten zor
Yıllar önce bir sunucuya bağlanıldığında sadece mesaj gösteren bir motd eklentisi aradığımı hatırlıyorum
Yeterince basit bir eklenti bulmuştum ama güncelleme kontrolü için eve ping gönderiyordu
Geliştirici faydalı bir özellik eklemeye çalışmış olabilir, ama içimdeki alaycı taraf bunun eklentiyi çalıştıran sunucuların IP adreslerini almak için olduğuna inanıyor
Kimlik doğrulamasız debug komutu da vardı ve klasördeki herhangi bir motd dosyasının içeriğini yazdırabiliyordu
Üstelik string escape işlemini doğru yapmadığı için
../...ile dizinden çıkıp herhangi bir dosyayı yazdırmak mümkündüYazarın bunu gerçekten kötüye kullanıp kullanmadığını, yoksa ilk eklentisini yazan saf 14 yaşında biri mi olduğunu bilmiyorum
Kötüye kullanmak istediyse hangi dosyayı yazdırmaya çalıştığını da bilmiyorum ama kesinlikle çok şüpheliydi
Birden fazla kişi WorldEdit’e, yaratıcı moda, yönetici komutlarına vb. erişebildi
Eski anarchy sunucusunun ötesinde, bugün Minecraft mod topluluğu çeşitli tedarik zinciri saldırıları ve deserialization açıkları gibi sorunlar yaşıyor