Button Stealer olayı
(anatolyzenkov.com)- Button Stealer, kullanıcının ziyaret ettiği web sitelerinden düğmeleri tek tek “çalıp” biriktiren bir tarayıcı uzantısıdır
- Web’i her zamanki gibi kullanmanız yeterlidir; düğme koleksiyonu otomatik olarak büyüyen, daha çok şaka amaçlı bir araçtır
- Ürünün karakteri eğlenceli, işe yaramaz ve ücretsiz bir uzantı olarak tanıtılır
- Herkese açık göstergeler olarak Chrome Web Store’da 4.9/5, Product Hunt’ta
#3 Product of the Day,↑492 Featured Productgösterilir - Yerelde çalışır ve verileri dışarı göndermez; bu nedenle kullanıcı verileri gizli kalır
Web sitesi düğmelerini toplama yöntemi
- Button Stealer, kullanıcının açtığı web sitelerinden bir düğmeyi “çalan” bir tarayıcı uzantısıdır
- Kullanıcının ayrıca bir şey yapmasına gerek yoktur; normal çevrimiçi etkinlikler sürerken çalınan düğmelerin koleksiyonu büyür
- Ürünün kendisi eğlenceli, işe yaramaz ve ücretsiz bir araç olarak tanıtılır
Açık rozetler ve göstergeler
-
Chrome Web Store
- Puan: 4.9/5
- Featured Badge gösterilir
-
Product Hunt
#3 Product of the Day↑492 Featured Product
Gizlilik yaklaşımı ve kurulum
- Button Stealer yerelde çalışır
- Verileri hiçbir yere göndermediği için kullanıcı verileri gizli kalır
- Sayfada Button Stealer yükleme düğmesi sunulur
1 yorum
Hacker News yorumları
Bu “zararsız” uzantının sorunu, manifest’te
host_permissionskullanmak zorunda kalması.Ziyaret ettiğiniz her web sayfasında fiilen her şeyi yapabilir ve verileri kazıyabilir.
Bir uzantı geliştiricisi olarak ben bunu istemem. Pratik faydası olmayan, sadece eğlencelik böyle bir uzantının geniş yetkiler istemesi riskli.
GitHub’da kodu kontrol ettikten sonra uzantıyı yerel olarak kurarsanız, ileride kötü niyetli bir değişiklik gelmesi riskinden kaçınabilirsiniz.
Ziyaret ettiğim tüm sayfaların DOM’una erişim izni versem bile, dışarı sızdırmanın bir yolu yoksa sorun olmazdı.
Bence doğru yaklaşım, kodun geri kalanından yalıtılmış bir fonksiyon koymaya izin vermek ve güvenilir bir üçüncü tarafa bu fonksiyonun işlevini incelemesi için ödeme yapmak olurdu.
Bu durumda o fonksiyon yalnızca 1) web sitesinin HTML’ine erişebilir, 2) düğmeleri bulabilir ve 3) düğmeyi oluşturan şeyi döndürebilir.
Böylece güven kurumu tarafından yazılan izin açıklaması da “Bu uzantı web sitesindeki düğmeleri kopyalamak istiyor” gibi doğru olabilir.
Buna DEWISOTT bilişimi demek istiyorum: dışına yazıldığı gibi tam olarak çalışması anlamında.
O fonksiyona dokunmadığınız sürece uzantıyı günde 1000 kez güncelleyebilirsiniz.
Bu, uygulama versiyonunda bir oltalama e-postası gibi.
Sırf görsel eğlence için, ziyaret ettiğiniz her web sitesindeki her şeye erişmek için izin istemek demek.
Bu tür uzantıları kurmak konusunda endişeliyim.
Çünkü biri geliştiriciye yüklü para teklif edip satın alabilir ve sonra daha az eğlenceli amaçlarla kullanabilir.
Ek izin gerekip gerekmediğini bilmiyorum ama en azından mevcut content script zaten “[https:///\](https://*/\)” için çalışıyor.
Standart WebExtensions API yerine Chrome’a özel API kullanmanın özel bir nedeni var mı merak ediyorum.
Web uzantılarını denemeyi düşünüyordum; standart API’nin tarayıcıya özel API’lere kıyasla pratikte ne gibi kısıtları olduğunu bilmek isterim.
Firefox, kendi yaptığım uzantıda kullandığım
chrome.*API çağrılarıyla uyumlu.GitHub: https://github.com/anatolyzenkov/button-stealer
Koda baktım, zararsız görünüyor. Ama Chrome Extension Store’a yüklenen kodun aynı kod olduğunu doğrulamanın bir yolu var mı bilmiyorum.
https://adnauseam.io/ içindeki tıklanmış reklamlar görünümünü https://adnauseam.io/img/adnauseam_vault.png hatırlatıyor.
Modern sorunlar modern çözümler gerektirir.
Fikir hoşuma gitti ama erişim izinleri biraz korkutucu.
İdeal olarak bir bookmarklet olarak yeniden yapılabilir gibi. Ancak düğme HTML parçalarını dosyaya kaydetmesi gerektiği için, Blob ile ilgili bir dolambaçlı yolla indirilebilir hâle getirmek gerekebilir.
Eskiden benzer amaçlı bir araç yapmıştım.
Ama düğme değil CSS/SCSS çalıyordu ve uzantı değil CLI aracıydı. GitHub’da
coalio/rfscssolarak bulabilirsiniz.Düğmeleri kolayca yeniden kullanabilmek için HTML/CSS mi kaydediyor, yoksa görüntü olarak mı kaydediyor merak ediyorum.
İlkiyse oldukça kullanışlı, ikincisiyse eğlenceli ama daha az kullanışlı olur. Görüntüyse, tüm düğmeleri gösteren sayfadan çıkarmanın ne kadar zor olduğunu da merak ediyorum.
UI/UX tasarım ilhamı bulmak için gayet iyi bir yöntem gibi geliyor.