Yüklü Chrome uzantılarında sahip değişikliğini tespit edin

 (github.com/classvsoftware)
2 puan yazan GN⁺ 2024-03-07 | 1 yorum | WhatsApp'ta paylaş

Yeni yönetim altında

  • Chrome Web Store’da listelenen geliştirici bilgilerinin değişip değişmediğini kontrol eden bir uzantı.
  • Yüklü uzantıların sahiplik değişimini aralıklı olarak denetler.
  • Bir değişiklik varsa, kullanıcıyı uyarmak için uzantı simgesinde kırmızı bir rozet gösterir.
  • Matt Frisbie tarafından yapıldı.
  • Hacker News tartışmasında ele alındı.

Neden gerekli?

  • Uzantı geliştiricileri, uzantılarını satın almak isteyenlerden sürekli teklifler alıyor.
  • Çoğu durumda bu alıcılar, mevcut kullanıcıları kandırmayı amaçlıyor.
  • Kullanıcılar uzantının değiştiğini fark etmeden, uzantı artık tehlikeye girmiş olabilir.
  • Yeni yönetim altında, sahiplik değişikliği konusunda kullanıcıya bildirim sağlayarak kullanılan yazılım hakkında bilinçli karar verilmesine yardımcı olur.

Nasıl kurulur?

  • Buradan yükleyin: (Chrome Web Store onayı bekleniyor)
  • Veya önceden derlenmiş sürümü indirip .zip dosyasını açın ve dist dizinini Chrome’a yükleyin.

Kaynaktan derleme

  • Yeni yönetim altında, Parcel, React, Typescript ve TailwindCSS kullanır.
  • Bağımlılıkları yarn install ile kurun.
  • Yerelde çalıştırmak için yarn start kullanın.
  • Sürüm derlemesi için yarn build kullanın.

Neden harici bir sunucu gerekiyor?

  • Tarayıcılar, uzantı pazar yeri alan adlarını değiştirmeye yönelik özel kurallara sahiptir.
  • Örneğin, chromewebstore.google.com için declarative_net_request kuralı ayarlayamazsınız.
  • Bu nedenle uzantı, geliştirici bilgisi kontrolünü ExBoost API sunucusuna devreder.

GN⁺ Görüşü

  • Bu uzantı, kullanıcıların gizliliklerini ve verilerini korumasına yardımcı olan önemli bir araçtır. Uzantının sahipliği değiştiğinde kullanıcıları bilgilendirerek, sahiplik değişiminden doğabilecek potansiyel güvenlik risklerine karşı önlem almalarını sağlar.
  • Uzantı sahipliği değişiklikleri kullanıcılara şeffaf biçimde açıklanmalıdır ve bu tür değişimleri tespit eden araçlar, kullanıcı güvenini korumada önemli rol oynar.
  • Bu teknolojiye veya benzer işlevlere sahip diğer açık kaynak projeler arasında EFF’in Privacy Badger’ı ve DuckDuckGo’nun Privacy Essentials’ı bulunur. Bunlar, kullanıcının çevrimiçi gizliliğini korumaya odaklanır.
  • Bu uzantıyı değerlendirirken, sahiplik değişimini gerçekten doğru tespit edip etmediği ve bu tespitin kullanıcının gezinme deneyimini olumsuz etkileyip etkilemediği dikkate alınmalıdır.
  • Sahiplik değişimi kullanıcılar için gerçek güvenlik riskleri doğurabileceğinden, bu tür uzantılar oldukça yararlı ve gereklidir. Ancak uzantının tüm sahiplik değişimlerini kusursuz biçimde tespit edip edemeyeceği ve tespit edilen her değişikliğin her zaman olumsuz bir sonuç anlamına gelmediği için kullanıcıların yine de dikkatli olması gerekir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-07
Hacker News görüşleri
  • Birkaç ay önce yazar, YouTube reklamlarını hızlandıran ücretsiz açık kaynaklı bir uzantı yaptı ve bunu Hacker News'te paylaştı; bu sayede ana sayfaya çıktı. Bir hafta sonra bir kullanıcı bunu kopyalayıp kendi sürümünü Reddit'te tanıttı; bu da viral oldu ve 300 binden fazla kullanıcı kazandı. Yazar, neden ücretsiz açık kaynaklı bir uzantının kopyalandığını sorgularken, söz konusu kullanıcının daha sonra bunu çeşitli sitelerde beş haneli meblağlara satmaya çalıştığını belirtti. Ayrıca Chrome Store'da kayıtlı geliştiricinin değiştiğini fark ettiğini söyledi.
    • Uzantının kimliği, geliştiricinin uygulama mağazasına ilk yükleme sırasında sağladığı özel anahtardan türetilir; daha sonraki yüklemeye farklı bir key.pem eklenirse kimlik değişir. Kimlik değiştiyse sahibin değişmiş olma ihtimali vardır, ancak asıl sahibi özel anahtarı yeni sahibine vermiş de olabilir. Google her yüklemede özel anahtarı istemediği için yeni sahip, bu anahtara erişmeden de değişiklik yükleyebilir.
    • Bir kullanıcı, uzantı ekosisteminin çok ilginç olduğunu söyleyerek bu alan için araçlar geliştirdiğini belirtti. Belirli uzantıları hedefleyen GitHub depoları oluşturup güncellemeleri takip etmek, her güncellemeyi depoya değişiklik olarak push etmek, ardından kod üzerinde statik analiz çalıştırmak ve çalışma zamanı kirlenme analizini denemek istiyor.
    • Popüler bir açık kaynaklı Chrome uzantısının sahibi, yıllar boyunca aldığı bağışların aylık kafe masrafını bile karşılamadığını söyledi. Buna karşın uzantıyı kötü niyetli amaçlarla satın almak isteyenlerden defalarca teklif aldığını ve hepsini reddettiğini belirtti. Güvenlik ve gizlilik için tek çerçevenin yalnızca ilk geliştiricinin ahlakı olmaması gerektiğini savundu.
    • Başka bir yorumcunun belirttiği gibi bu uzantı faydalı, ancak aslında tarayıcıya yerleşik bir özellik olmalı. Sahiplik değişikliğini otomatik bildirip bildirmediği ya da elle check komutunu çalıştırmak gerekip gerekmediği soruldu. Uzantı sahipliği değiştiğinde bunun kullanıcı onayı gerektirecek şekilde politikanın değiştirilmesi gerektiği yönünde görüşler de vardı.
    • Firefox uzantılarında Mozilla, güvenlik uzmanlarının sıkı teknik incelemesinden geçen bir "Önerilen Uzantılar Programı" yürütüyor. Ancak tüm güncellemelerin yayımlanmadan önce incelenip incelenmediği net değil. Eğer tüm güncellemeler inceleniyorsa, popüler uzantılardaki bu sorunu çözebilir.
    • Uzantılar kötü niyetli amaçlarla el değiştirdiğinde, çoğu zaman Google geliştirici hesabı kimlik bilgileri satıldığı için bu tür durumlar tespit edilemeyebilir.
    • Bir kullanıcı, uzun zaman önce adblock kurduğunu ve yeni bilgisayarına yeniden kurarken izinleri kontrol ettiğini söyledi. Reklam engellemek için kullanıcının gördüklerini görebilmesi gerektiğini, ama bunun ne kadar fazla izin gerektirdiğini hiç düşünmediğini belirtti. Artık pihole kullandığını ve hiç uzantı kullanmadığını söyledi.
    • Kötü niyetli uzantı alıcılarının geliştirici adını olduğu gibi bırakıp bu sorunu aşıp aşamayacağı ve Chrome uzantı mağazasında geliştirici adlarının ne kadar sıkı yönetildiği konusunda soru işaretleri dile getirildi.
    • Uzantının hedefi desteklense de tüm uzantı listesini uzantı odaklı bir reklam ağına göndermenin şüpheli olduğu yönünde görüşler vardı. Bunun, tarayıcının uzantı marketplace alan adını değiştirmeye ilişkin özel kuralları olduğu için harici bir sunucu gerektirdiği açıklandı.
    • Bunun tüm tarayıcılara yerleşik olması gereken bir özellik olduğu ve sahip değiştiğinde güncellemenin otomatik olarak devre dışı bırakılması gerektiği ifade edildi.