Comments 67
Собственно интересно обоснование этого с правовой точки, и что теперь ждёт создателей.
Что же касается подобного, то от этого врятли можно защититься стандартными средствами, кроме как анализировать код плагинов. Ведь плагин всегда имеет доступ к интернету и средствами браузера.
Что же касается подобного, то от этого врятли можно защититься стандартными средствами, кроме как анализировать код плагинов. Ведь плагин всегда имеет доступ к интернету и средствами браузера.
Не читайте желтых статей, лучше перечитайте политику приватности перед установкой чего попало.
Ant.com collects non-personally-identifying information when you are visiting our site or using our software applications, this infomation made available typically from web browsers and servers. Some of the infomation type is: the Uniform Resource Locator (URL) of the web page from wich you came, the date and the time for each page you view, settings such as browser languages, etc. This infomation allows us to better understand the behavior of vistors using our sites. We will also use non-personally-identifiable information for such things as KeyWord popularity reports and regionally website migration patterns, etc.
Хм… таки да, а за что тогда удалили его с каталога… люди честно зарабатывали на статистических данных, ка форма монетизации… или рекламу смотри, или за софт плати, или поделись данными (так сказать поучавствуй в фокус-группе)
Здесь речь идет только о посещениях сайта ant.com, чувствуете разницу?
А как соотносятся «non-personally-identifying information» и уникальные ID, которые плагин присваивает пользовательскому браузеру(?). Хотя, в этом плане разного рода tracking cookie, которые могут оставлять разного рода счетчики посещений, иногда напрягают не меньше.
Информация не содержит номера карты соцстраха, вашего мыла и физического адреса. Предназначена для создания статистической выборки интересов пользователей. Но! Имея историю посещения сайтов в разрезе пользовательского ИД за достаточно долгий период времени, если пользователь не параноидальный параноик ), превратить ИД в персональную информацию достаточно легко и вы должны это сознавать, соглашаясь с политикой приватности.
Любой уникальный ID в пределах Интернета — это однозначная идентификация пользователя.
А сопоставить ID с URL-ами логинов на Фейсбуке, ВКонтакте, Одноклассниках, Твиттере и т.п. — дело техники. А по факту, на сегодня, элементарнейше. Также как потом проследить на сайты каких тематик и каким сервисами человек пользуется.
Для параноидального параноика факт в том, что внедренная на стороне пользователя тулза спокойно может анализировать и пересылать данные защищенных соединений: коннект между клиентом и сервером, например, защищен и обмен идет по HTTPS, но со стороны-то клиента данные открыты…
Это, конечно, не руткит, но о-очень большая брешь в безопасности конфиденциальности и приватности. Потому как даже по URL-ам можно собрать массу информации о пользователе. Особенно используя перекрестный анализ содержимого запрашиваемых страниц.
P.S. Впрочем, видя сколько личной информации пользователи добровольно выкладывают в соцсетях, думаю их проблема защиты конфиденциальности и анонимности не беспокоит ни разу.
А сопоставить ID с URL-ами логинов на Фейсбуке, ВКонтакте, Одноклассниках, Твиттере и т.п. — дело техники. А по факту, на сегодня, элементарнейше. Также как потом проследить на сайты каких тематик и каким сервисами человек пользуется.
Для параноидального параноика факт в том, что внедренная на стороне пользователя тулза спокойно может анализировать и пересылать данные защищенных соединений: коннект между клиентом и сервером, например, защищен и обмен идет по HTTPS, но со стороны-то клиента данные открыты…
Это, конечно, не руткит, но о-очень большая брешь в безопасности конфиденциальности и приватности. Потому как даже по URL-ам можно собрать массу информации о пользователе. Особенно используя перекрестный анализ содержимого запрашиваемых страниц.
P.S. Впрочем, видя сколько личной информации пользователи добровольно выкладывают в соцсетях, думаю их проблема защиты конфиденциальности и анонимности не беспокоит ни разу.
Да и не факт что он был раскручен белыми методами, имхо 7 миллионов скачек + 5 из 5 звезд…
Может нужен плагин, который будет отслеживать сетевую активность других плагинов?
Обнаружение простого шпионажа, типа приведенного в статье, несложно алгоритмизировать.
Обнаружение простого шпионажа, типа приведенного в статье, несложно алгоритмизировать.
Тогда кто же будет отслеживать сетевую активность плагина для отслеживания сетевой активности других плагинов?
Плагин для отслеживания сетевой активности плагина для отслеживания сетевой активности других плагинов.
Плагин для отслеживания сетевой активности других плагинов один. Его можно верифицировать и прочитав исходный код глазами. Это проще чем верифицировать этим же способом тысячи остальных плагинов.
Сомневаюсь, что верификация плагина чтением исходного кода в моих силах ) И из семи миллионов таких как я процентов 99.
Достаточно лишь одного человека, который при обнаружении недобросовестного кода обнародует сей факт.
А если не было такого факта обнародовано это значит что плагин чист или что просто никто пока ничего не накопал?
Думаю на любое достаточно популярное расширение с открытым исходным кодом найдётся не один параноик(в хорошем смысле слова), просмотревший этот самый код. Ну а там дело за малым, то есть если есть угроза — то это быстро в сеть утечёт.
Очевидно, он сам. Уж такой то плагин можно один раз проинспектировать вручную!
Можно чтобы он сам себя мониторил так же как и другие плагины, а его код, как отметили ранее, можно проверить — не даёт ли он сам себе привелегий перед собвственным монитором.
вообще было бы неплохо если бы эту роль на себя взял сам браузер
Трафика анализатор, может быть.
в принципе ребята из огнелиса могли бы написать свой официальный плагин для мониторинга активности других плагинов, и тот кому интересно что происходит за кулисами может скачать и посмотреть, конечно людей которые реально поймут что делают будет мало из общего числа пользователей, но скажем выявление недобросовестных дополнений было бы более простым
Судя по приведенному реквесту в статье, он отсылает посещенную страницу. Кроме этого он делал еще что-то? Перехватывал данные переданные на этот сайт?
Блин, надо будет повнимательнее относиться к плагинам без open-source, по возможности не устанавливать их вообще
Не хотите работать в ant.com?
www.work.ua/jobs/716952/ :)
www.work.ua/jobs/716952/ :)
Я его тоже ставил. Он качал .flv видео с любого сайта.
Вот не зря меня мучает паранойя, когда я ставлю даже проверенные плагины…
Вот не зря меня мучает паранойя, когда я ставлю даже проверенные плагины…
Прискорбно, а я думал код перед аппрувом проверяется.
Выходит что исходный код может и даёт возможность изучить его досконально, но на практике это всё выглядит несколько иначе.
Выходит что исходный код может и даёт возможность изучить его досконально, но на практике это всё выглядит несколько иначе.
Думаю, комьюнити Мозиллы стоит задуматься о том, чтобы начать проверять плагины на возможность шпионажа. Конечно, easier said than done, но и комьюнити-то давно не маленькое.
На проверенные ставится спец статус «Проверено»
addons.mozilla.org/en-US/firefox/addon/video-downloader-player/
>Experimental add-ons have been checked by our editors to make sure they don't have security problems, but they may still have bugs or not work properly.
Всё таки его проверяли на предмет безопасности использования.
>Experimental add-ons have been checked by our editors to make sure they don't have security problems, but they may still have bugs or not work properly.
Всё таки его проверяли на предмет безопасности использования.
ИМХО, начинает смахивать на борьбу с ветряными мельницами.
Хотим мы этого или нет, нас будут шпионить.
Альтернатива: «Чемодан, вокзал, деревня без электричества» :-)
Хотим мы этого или нет, нас будут шпионить.
Альтернатива: «Чемодан, вокзал, деревня без электричества» :-)
Есть отличное средство Disconnect
addons.mozilla.org/ru/firefox/addon/disconnect/
А у него пока всего 1 303 загрузок
и для Хрома
chrome.google.com/webstore/detail/jeoacafpbcihiomhlakheieifhpjdfeo
addons.mozilla.org/ru/firefox/addon/disconnect/
А у него пока всего 1 303 загрузок
и для Хрома
chrome.google.com/webstore/detail/jeoacafpbcihiomhlakheieifhpjdfeo
А почему все наезды только на лису?
Потому что версия для Firefox распространяется через его официальный каталог расширений, в отличие от версии для IE.
да и к тому же за лису больше обидно, на ie уж простите все положили давно и относятся к нему примерно так «ещё 50% наших криворуких посетителей на нем, придется допиливать и вставлять костыли»
Не «плагин», а «расширение» или «дополнение». Пожалуйста, поправьте.
Я думаю он не один такой.
А Chrome, Firefox, Safari и IE не будем добавлять в шпионские программы? Передаваемая информация очень похожа. :)
А вот это разве не он? В каталоге.
Cookie: __utma=1.1249745586.1303010447.1305056403.1305056954.3; __utmz=1.1303010447.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=1.4.10.1305056954</blockquote
и эти люди переживают, что за ними шпионит аддон. ;)
Оно для того и существует, чтобы время от времени вразумлять неумных — не качай всякую гадость!
Чем его поведение отличается от Alexa toolbar, Liveinternet Toolbar, Google Toolbar и Yandex.Toolbar?
Похоже абсолютно ничем.
Похоже абсолютно ничем.
Sign up to leave a comment.
Плагин под Firefox, который скачали около 7 миллионов раз, шпионил за пользователями