JSON Formatter Chrome uzantısı kapalı kaynağa geçiyor ve reklam amaçlı kod içeriyor

 (github.com/callumlocke)
2 puan yazan GN⁺ 17 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Chrome'da JSON verilerini yapısal olarak görselleştiren uzantı artık açık kaynak olarak sürdürülmüyor
  • Proje kapalı kaynak ticari modele geçiyor ve yeni sürüm premium özellikler içeren bir API keşif aracı olarak geliştiriliyor
  • Mevcut kullanıcılar için JSON Formatter Classic, son açık kaynak sürüm olarak yayımlandı ve yalnızca yerel kullanım odaklı bir biçimlendirici olarak sunuluyor
  • Classic sürüm için güncellemeler durdurulacak; Chrome Web Store üzerinden veya kaynak koddan kurulabilecek
  • Bu geçişle birlikte reklam amaçlı kod eklenmesi ve güvenilirliğin azalması yönünde endişeler gündeme geliyor

Projenin sona ermesi ve geçiş duyurusu

  • JSON Formatter, açık kaynak geliştirmeyi sonlandırıp kapalı kaynak ticari modele geçiyor
    • Yeni sürüm, premium özellikler içeren bir API keşif aracı olarak geliştiriliyor
  • Mevcut açık kaynak kullanıcıları için son açık kaynak sürüm, JSON Formatter Classic adıyla yayımlandı
    • Chrome Web Store'dan kurulabiliyor ve yalnızca yerel JSON biçimlendirme uzantısı olarak korunuyor
    • Artık güncelleme sağlanmayacak

JSON Formatter genel bakış

  • Chrome tarayıcısında JSON API yanıtlarını yapısal olarak görselleştiren bir uzantı
  • Uzun JSON sayfalarında bile yüksek işlem hızı sunuyor; Dark Mode ve syntax highlighting desteği var
  • Ağaç yapısını daraltma/genişletme, girinti kılavuzları ve tıklanabilir URL'ler özelliklerini içeriyor
  • JSON olmayan sayfalarda 1 milisaniyeden az performans etkisi yaratıyor
  • Raw / Parsed JSON geçiş düğmesi sunuyor; ayrıştırılmış JSON'a konsoldan global json değişkeniyle erişilebiliyor

İlgili okumalar

1 yorum

 
GN⁺ 17 일 전
Hacker News yorumları

  • Bugün Chrome Inspector'da give-freely-root-bcjindcccaagfpapjjmafapmmgkkhgoa adlı şüpheli bir öğe fark ettim
    Kontrol edince, popüler açık kaynaklı JSON Formatter uzantısının yaklaşık bir ay önce kapalı kaynağa geçtiğini ve ödeme sayfalarına reklam kodu ile konum takibi eklemeye başladığını gördüm
    Artık tarayıcı uzantı pazaryerinin kendisi başarısız bir deney gibi geliyor. Sanırım kendi JSON formatlayıcımı yapıp kullanmak daha iyi

    • Google politikalarında reklam eklemeye izin verilirken kaldırmanın yasak olması ironik
    • App Store'lardaki güvenlik filtreleme özellikleri hâlâ belli bir değere sahip. Kusursuz olmasa da, hiçbir denetimin olmadığı bir ortamdan daha iyi bence
    • Mevcut kullanıcıları kandırıp reklam eklemek gerçekten etik dışı bir davranış. Kapalı ticari bir sürüme geçmek sorun değil ama önceden haber vermeden reklam koymak çizgiyi aşmak demek
    • Bu tür davranışlar kamuoyu önünde eleştiri ve hesap sorma ile karşılanmalı. Elbette biraz şaka yollu söylüyorum ama böyle bir ‘satışın’ toplumsal yaptırım görmesi de gerekli bence
    • Böyle şüpheli bir öğeyi nasıl fark ettiğini merak ediyorum. Normalde DOM'u sık sık inceleyen biri misin diye sormak isterim

  • Bu olayın faili olan Callum Locke'un gerçek bir kişi olması ilginç
    Eskiden böyle ‘gerçek isimli geliştiriciler’ bir güven işaretiydi ama artık bunun her zaman geçerli olmadığını gösteriyor

    • Kullanıcı sayısı milyonları bulduğunda satma cazibesi oldukça büyüyor. Ben de 300 bin kullanıcı ölçeğinde bir uzantı işletiyorum ve sadece son birkaç yılda aldığım teklifler bile epey büyük paralardı
      İlgili tartışma HoverZoom GitHub discussion içinde yer alıyor
    • Popüler bir uzantıya sahip geliştiriciler için böyle bir cazibeden kaçınmanın zor olduğunu iyi biliyorum
    • Tarayıcı uzantısı bakımcıları sık sık şüpheli teklif e-postaları alıyor. Bu olay da öyle bir teklife kanılmış bir örnek gibi görünüyor
    • Her hâlükârda Callum Locke bu olayla birlikte itibarını tamamen kaybetmiş sayılır

  • Yazarın 2 yıl önce bizzat bıraktığı HN yorumu incelendiğinde,
    kendisinin JSON Formatter'ın yaratıcısı olduğunu ve kullanıcı verilerini asla göndermeyeceğine ya da satmayacağına yemin ettiğini görüyoruz
    Defalarca yüksek tutarlı satın alma teklifleri aldığını ama onurunu korumak için bunları reddettiğini söylemiş

    • “Ya kahraman olarak ölürsün ya da yeterince uzun yaşayıp kötü adama dönüşürsün” sözü akla geliyor
    • Bugünlerde araçları doğrudan yapmanın maliyeti neredeyse 0, bu yüzden başkalarına güvenmek için pek sebep olmadığını düşünüyorum
    • Sonuçta bu tür sözler de yalnızca bir satış stratejisi olmuş olabilir. Açık kaynak için düzgün bir sürdürülebilir finansman yapısı gerekli
    • Yine de son ana kadar ilkelerine bağlı kalsaydı bu takdir edilecek bir şey olurdu

  • Yazarın bıraktığı Chrome Web Store inceleme yanıtına göre,
    ‘Give Freely’nin spyware değil, bağış amaçlı bir affiliate link sistemi olduğu söyleniyor
    Kullanıcı affiliate mağazalarda ödeme yaparken tıklarsa, gelirin bir kısmı Code.org gibi kuruluşlara bağışlanıyormuş
    Kişisel bilgi ya da gezinme verisi toplanmadığı ve istenmezse ayarlar üzerinden tamamen devre dışı bırakılabileceği özellikle vurgulanmış
    Ayrıca ‘Give Freely’ kodu içermeyen bir JSON Formatter Classic sürümü de sunuluyormuş

    • Niyet ne olursa olsun, uygulama biçimi başarısızdı ve tarayıcı uzantısı dağıtım modelindeki güvenlik zafiyetlerini ortaya koyan bir örnek oldu bence

  • Asıl sorunun otomatik güncelleme ideolojisinde olduğunu düşünüyorum
    Güncellemeler güvenlik açıklarını kapatıyor ama aynı zamanda kullanıcıların istemediği değişiklikler ve tedarik zinciri saldırısı riskini de beraberinde getiriyor
    Özellikle bireysel geliştiricilere ait uzantılarda otomatik güncellemeler kapatılmalı. Ama Chrome buna izin vermiyor
    Google, reklam merkezli yaklaşımı yüzünden böyle adware'e dönüşümleri sorun olarak görmüyor
    Firefox biraz daha iyi ama kendi derlenmiş uzantıları kalıcı olarak kurmaya izin vermemesi üzücü

    • Firefox'ta da tamamen imkânsız değil. about:debugging üzerinden geçici yükleme yapılabilir ya da xpinstall.signatures.required kapatılabilir
    • Şahsen tüm yerel çalışan programlarda ilke olarak otomatik güncelleme yasak olmalı. Aksi hâlde bu yalnızca toplumsal olarak kabul edilmiş bir RCE arka kapısı olur
    • JSON Formatter gibi işlevi sabit uzantılarda en iyisi kurulumdan hemen sonra güncellemeleri devre dışı bırakmak.
      Ama uBlock gibi filtre listelerini düzenli güncelleyen uzantılar istisna olabilir

  • En büyük sorun, Chrome Web Store'daki ikili dosyalarla açık kaynak arasındaki uyuşmazlık gibi görünüyor
    Store, geliştiricinin yüklediği pakete olduğu gibi güveniyor ve bunun gerçekten kamuya açık kodla eşleşip eşleşmediğini doğrulamıyor
    Ben bizzat birkaç uzantıyı reproducible build ile yeniden üretmeyi denedim ama çoğu eşleşmedi
    Firefox AMO, kaynak gönderiminden sonra temiz derleme ile karşılaştırma (diff) yapıyor ama Chrome bunu yapmıyor
    Yeniden üretilebilir derlemeler ile imzalı commit'ler arasında bağ yoksa, kötü amaçlı kod eklemelerini önceden tespit etmenin bir yolu yok

  • Google Manifest V3'ü dayatırken bu sorunları görmezden gelmeye devam ediyor
    Hatta Blaze VPN, Safum VPN, Snap VPN gibi kötü amaçlı uzantılara ‘Featured’ rozeti veriyor
    Bunlar geçmişte zararlı uzantılar üreten PDF Toolbox grubunun kopyaları ve gerçekte çalışmıyor bile
    Bu da Chrome Web Store'un doğrulama sisteminin tam bir karmaşa olduğunu gösteren bir örnek

  • Aynı şey ModHeader uzantısında da yaşandı
    ModHeader bağlantısı
    Google arama sonuçlarının her birine reklam eklemeye başladı ve bildirmeme rağmen hâlâ Store'da duruyor

  • Bu sorunu bir hafta önce fark edip, kendim sevdiğim özellikleri bir araya getirerek yeni bir JSON formatlayıcı yaptım
    GitHub - JSON Alexander

    • İsminin gerçekten çok havalı olduğu yönünde övgü aldı

  • Bu olay, kurulu uzantıları temizlemek için iyi bir vesile oldu
    Yalnızca gerçekten gerekli olanları bırakıp geri kalanları sileceğim