Comments 48
Сказать честно, затрудняюсь даже вспомнить, когда последний раз качал какое-то категорично новое расширение; Пользуюсь от силы пятью привычными, в больших нужды больше нет. Если какой-то из них выкатит обновление, откровенно говоря, обновлю даже не смотря.
Поверхностная проверка проходит без особого фанатизма: рейтинг + несколько последних комментариев.
Поверхностная проверка проходит без особого фанатизма: рейтинг + несколько последних комментариев.
UFO just landed and posted this here
Расширения обновляются без уведомления если новой версии не требуется новых прав доступа. Поэтому под раздачу и попали в первую очередь всякие «Add to...», требующие «Access your data on all websites». Но эти расширения и без перепродажи были в группе риска.
Другое дело, что очень много полезностей в Chrome можно сделать исключительно имея вышеуказанный permission. У меня так вообще почти у всех установленных расширений он есть. И это — большая недоработка API расширений, с моей т.з.
Другое дело, что очень много полезностей в Chrome можно сделать исключительно имея вышеуказанный permission. У меня так вообще почти у всех установленных расширений он есть. И это — большая недоработка API расширений, с моей т.з.
А какими, если не секрет?
У меня было всего 3 расширения, одно из готорых Google Docs, двумя другими уже давно пользовалась. А таки в одном из них оказался рекламный вирус (может и не вирус) — Smooth Gestures, ниже уже о нем упоминалось. Хорошо, что их встраиваемый джаваскрипт был кривой и выдавал ошибку в консоли. А так — сидела бы и не знала что происходит.
Так что малое количество расширений еще ничего не гарантирует.
Так что малое количество расширений еще ничего не гарантирует.
Да, об этом вчера писала Ars Technica: arstechnica.com/security/2014/01/malware-vendors-buy-chrome-extensions-to-send-adware-filled-updates/
Пользуюсь ESR-веткой Firefox, установлено много (около двадцати) дополнений, использую Sync, но дополнения обычно не обновляю. Проблем не испытывал.
Кажется, что такая тактика действительно избавляет от множества проблем ;)
P. S. А, ну если и ставлю какой-нить юзерскрипт, то стараюсь его вычитывать.
Кажется, что такая тактика действительно избавляет от множества проблем ;)
P. S. А, ну если и ставлю какой-нить юзерскрипт, то стараюсь его вычитывать.
Интересный факт: на каждой странице каждого дополнения для Firefox есть маленькая ссылочка на обзор исходников (блок «Информация о версии», по умолчанию свёрнут).
В админке каждого дополнения есть галочка «Показывать исходники».
По умолчанию включена, но можно отключить.
По умолчанию включена, но можно отключить.
Кстати, это ещё один плюс центра аддонов фаерфокса — можно найти старую версию современного дополнения, которая работает со старыми фоксами (если брать ESR, то он может отставать на много версий, тем более репид-цикл разработки...). Не уверен, что такое есть в хроме, и не придётся пользоваться ради этого каким-нить аналогом oldapps.com.
Альтернативный ответ. В случае проблем — начинаю проверять. Недавно поиск с гугла стал проходить через левый домен. Оказалось "[какой-то] Resizer" — расширение для изменения размеров окна браузера стало так монетизироваться.
Нарвался на этот же "… Resizer", при чем у меня стояло расширение, убивающее некоторые механизмы реферальных ссылок (или adblock со злыми фильтрами, не суть). Из-за интерференции этих двоих, ссылки с выдачи Гугла открывали пустую белую страницу. Долго недоумевал, чистил куки, грешил на то, что Гугл прикрутил себе в рекламу кривые объявления.
Помню, несколько месяцев назад заметил подозрительную рекламу в браузере, стал искать. Отрубал все расширения, на Neat Bookmarks вышло. Посмотрел код — а там скрипт грузится с рекламой или т.п.
Помню, в прошлом, в годах так 2000, были программы. которые искали в кеше браузера рекламные скрипты (так называемые ad). Видимо, их время опять пришло — в этот раз нужно постоянно натравливать эти программы на код установленных расширений…
Помню, в прошлом, в годах так 2000, были программы. которые искали в кеше браузера рекламные скрипты (так называемые ad). Видимо, их время опять пришло — в этот раз нужно постоянно натравливать эти программы на код установленных расширений…
Было аналогичное со Smooth Gestures.
Около двух лет все было нормально, потом добавили отключаемую рекламу в абсолютно не этичном тоне — выключатель был озвучен в стиле «Если вам плевать на то, что мы умрем с голоду, можете отключить рекламу вот здесь».
Через месяц я начал видеть какую-то абсолютно левую рекламу на страницах, потом мне стали предлагать какие-то левые товары в интернет-магазинах, стал искать в чем дело — оказалось, что этот аддон принудительно переключает флажок «Показывать рекламу» при каждом запуске хрома, и отключить можно только за деньги.
Удалил к чертовой матери.
Около двух лет все было нормально, потом добавили отключаемую рекламу в абсолютно не этичном тоне — выключатель был озвучен в стиле «Если вам плевать на то, что мы умрем с голоду, можете отключить рекламу вот здесь».
Через месяц я начал видеть какую-то абсолютно левую рекламу на страницах, потом мне стали предлагать какие-то левые товары в интернет-магазинах, стал искать в чем дело — оказалось, что этот аддон принудительно переключает флажок «Показывать рекламу» при каждом запуске хрома, и отключить можно только за деньги.
Удалил к чертовой матери.
Видимо, это как-то связано с тем, что это расширение уже не нужно, т.к. есть chrome://flags/#enable-smooth-scrolling
Smooth Gestures добавляло в хром поддержку жестов мыши на манер старой Оперы. Было очень удобно, что во всех браузерах работали привычные движения мышью. В своё время при дебаге сайта увидел левые запросы на левые домены, оказалось виновато это расширение. Полез в стор – там уже набор комментариев с единицей, я добавил свой.
Сейчас, пока писал комментарий, глянул – появилась ad-free версия, надо попробовать поставить в новую оперу плагин для хрома, чтобы было как в старой опере.
Сейчас, пока писал комментарий, глянул – появилась ad-free версия, надо попробовать поставить в новую оперу плагин для хрома, чтобы было как в старой опере.
А у меня как-то неожиданно ноут начал говорить какую-то одну и ту же фразу(забыл какую). Даже не просто реклама, а стремление увести куда-то, вроде бы.
Проверил. Это был один из плагинов для жестов. Причём, там в отзывах уже давным-давно писали про это, но, видимо, nobody cares.
Fuck you, Google.
Проверил. Это был один из плагинов для жестов. Причём, там в отзывах уже давным-давно писали про это, но, видимо, nobody cares.
Fuck you, Google.
У меня такое было с одним из расширений для ютуба. Сначала не понял, с чего ютуб вдруг такую стрёмную рекламу начал показывать. но потом нашёл и отключил.
Добавьте в голосование «До этого доверял».
Вот да.
У меня тоже случился кризис доверия прямо сейчас.
Блин, я не настолько знаю JavaScript, чтобы читать код самостоятельно. То есть читать-то я его могу — могу даже вслух и нараспев — но вредоносный паттерн не распознаю.
И вот сейчас я слегка в офигении — делать-то что? Отслеживать отзывы и надеяться на то, что сообщество предупредит? Издержки постоянного отслеживания очень высоки. Не пользоваться плагинами вообще? Я редко их ставлю, и те, что остаются — не случайны. Надеяться, что минует меня чаша сия? Не выход.
Блин, вот бы кто-нибудь, заслуживающий доверия, написал плагин для отслеживания нехорошего поведения других плагинов :).
У меня тоже случился кризис доверия прямо сейчас.
Блин, я не настолько знаю JavaScript, чтобы читать код самостоятельно. То есть читать-то я его могу — могу даже вслух и нараспев — но вредоносный паттерн не распознаю.
И вот сейчас я слегка в офигении — делать-то что? Отслеживать отзывы и надеяться на то, что сообщество предупредит? Издержки постоянного отслеживания очень высоки. Не пользоваться плагинами вообще? Я редко их ставлю, и те, что остаются — не случайны. Надеяться, что минует меня чаша сия? Не выход.
Блин, вот бы кто-нибудь, заслуживающий доверия, написал плагин для отслеживания нехорошего поведения других плагинов :).
Я думал над этим — impossible. Магазин Google не имеет стороннего API и не выдаёт полного списка расширений, только поиск. Он не будет оповещать об обновлениях сторонние проги. Фактически о новой версии расширения можно узнать максимум за несколько часов до того, как она распространится по всему миру, это ничтожно мало для ручной проверки. Ставить расширения с других сайтов в Chrome запрещено. Опять же, до установки вы даже не можете удостовериться, что вот этот код на Github действительно используется в конкретном расширении — это всего лишь обещание от автора.
Короче, это задача исключительно Google. Если они не смогут защитить своих пользователей от подлой рекламы, они потеряют пользователей.
Короче, это задача исключительно Google. Если они не смогут защитить своих пользователей от подлой рекламы, они потеряют пользователей.
а если в расширении вставлен Google Analytics это слежение за пользователями? а если на сайте вставлен Google Analytics это слежение за пользователями?
Гуглоаналитика следит через куки, расширение может следить напрямую, за конкретным гуглоаккаунтом.
Это слежение с целью сбора статистики. GA записывает всё о вашем поведении на сайтах, через cookie. Многие расширения используют GA, хотя не все признаются в этом.
Большую опасность представляет откровенная слежка, когда расширение чётко шлёт какой-нибудь уникальный ID, имя аккаунта Google, всю вашу историю посещений и списывает пароли из тегов . Это уже откровенный зловред, и такие надо однозначно жечь. Но смысл в том, что если расширение начинает отправлять информацию на какой-то «левый» домен, вас обычно не предупреждают и тем более не спрашивают об этом. Тем более вы не можете знать, как будет использована информация о вас. Что именно считает статистика, для кого и зачем — неизвестно.
Сбор статистики — это нормально в интернете, фактически каждый сайт следит за посетителями. Но в случае расширений хорошим тоном считается хотя бы уведомлять пользователя. Для примера, расширение Ghostery имеет функцию GhostRank — сбор анонимной статистики. Об этом написано на странице в Маркете перед установкой, об этом написано на специальной странице, которая открывается после установки. Галочка по умолчанию отключена, и расширение просит включить её добровольно — указывая, что это сбор статистики. Да, пользователь не знает, что именно записывается — но он знает, кем, где и зачем. По-моему, это честно.
Большую опасность представляет откровенная слежка, когда расширение чётко шлёт какой-нибудь уникальный ID, имя аккаунта Google, всю вашу историю посещений и списывает пароли из тегов . Это уже откровенный зловред, и такие надо однозначно жечь. Но смысл в том, что если расширение начинает отправлять информацию на какой-то «левый» домен, вас обычно не предупреждают и тем более не спрашивают об этом. Тем более вы не можете знать, как будет использована информация о вас. Что именно считает статистика, для кого и зачем — неизвестно.
Сбор статистики — это нормально в интернете, фактически каждый сайт следит за посетителями. Но в случае расширений хорошим тоном считается хотя бы уведомлять пользователя. Для примера, расширение Ghostery имеет функцию GhostRank — сбор анонимной статистики. Об этом написано на странице в Маркете перед установкой, об этом написано на специальной странице, которая открывается после установки. Галочка по умолчанию отключена, и расширение просит включить её добровольно — указывая, что это сбор статистики. Да, пользователь не знает, что именно записывается — но он знает, кем, где и зачем. По-моему, это честно.
ну во-первых не только через куки. Отправляется все что можно получить через js. И в расширении все также как на сайте. А что бы получать что-то болшее надо получить высокие разрешения для дополнения Chrome, на которые вы соглашаетесь при установке.
во-вторых да, многие расширения используют GA (ну и почему только GA — любой подобный сервис по сбору статистики), сам гугл советует это делать — а что такого, сайты же собирают статистику почему расширение не может собирать. Автор должен знать сколько пользователей пользуются, из каких стран и т.п. И потом гугл использует эту инфу для контекстной рекламы например. Так что расширение ничем особо не отличается от обычного сайта и ненадо сгущать краски.
во-вторых да, многие расширения используют GA (ну и почему только GA — любой подобный сервис по сбору статистики), сам гугл советует это делать — а что такого, сайты же собирают статистику почему расширение не может собирать. Автор должен знать сколько пользователей пользуются, из каких стран и т.п. И потом гугл использует эту инфу для контекстной рекламы например. Так что расширение ничем особо не отличается от обычного сайта и ненадо сгущать краски.
Есть расширение для отключения передачи данных в Google Analytics. Другой вопрос, насколько оно действенное.
От персонализации рекламы по cookie есть такое расширение.
От персонализации рекламы по cookie есть такое расширение.
> Автор должен знать сколько пользователей пользуются, из каких стран и т.п.
А не пойти ли ему? Пусть установки считает через маркет, например.
> И потом гугл использует эту инфу для контекстной рекламы например.
А не пойти ли и гуглу со слежкой за мной?
> Так что расширение ничем особо не отличается от обычного сайта
Расширение имеет доступ ко *всем* сайтам. Нормально так, да?
А не пойти ли ему? Пусть установки считает через маркет, например.
> И потом гугл использует эту инфу для контекстной рекламы например.
А не пойти ли и гуглу со слежкой за мной?
> Так что расширение ничем особо не отличается от обычного сайта
Расширение имеет доступ ко *всем* сайтам. Нормально так, да?
ну а куда деваться — жизнь несправедлива. кто против слежки знает как от нее избавиться. Хотя почему несправедлива, все справедливо — вы бесплатно пользуетесь например гуглом, а гугл собирает статистику, там у них соглашении так и написано. А если не нравиться — ну не пользуйтесь.
> Расширение имеет доступ ко *всем* сайтам.
ну если учесть что GA стоит на всех сайтах, то статистика собирается по всем сайтам и всем пользователям.
> Расширение имеет доступ ко *всем* сайтам.
ну если учесть что GA стоит на всех сайтах, то статистика собирается по всем сайтам и всем пользователям.
> ну если учесть что GA стоит на всех сайтах
Не на всех.
> то статистика собирается по всем сайтам и всем пользователям.
Блокируется элементарно.
Не на всех.
> то статистика собирается по всем сайтам и всем пользователям.
Блокируется элементарно.
1. думаю на 99% сайтов стоит какая либо статистика.
2. ну так если сбор статистики элементарно блокируется на сайте — в расширении тоже элементарно. Че тогда говорить. Проблемы то нет значи. я же сказал выше: кто не хочет что бы за ним следили — блокирует (или думает что блокирует), а кому пофиг — тому пофиг. Я не понимаю почему сайтам можно ставить сбор статистики а расширению нельзя…
2. ну так если сбор статистики элементарно блокируется на сайте — в расширении тоже элементарно. Че тогда говорить. Проблемы то нет значи. я же сказал выше: кто не хочет что бы за ним следили — блокирует (или думает что блокирует), а кому пофиг — тому пофиг. Я не понимаю почему сайтам можно ставить сбор статистики а расширению нельзя…
Дело не в том, что можно сайтам а запрещено расширениям. Дело даже не в том, что многие расширения не предупреждают об использовании систем аналитики — сайты тоже не предупреждают, это не обязательно за пределами США.
Предположим, что вы обнаружили что одно из ваших расширений отправляет пакеты на какой-то левый домен. Без предупреждения и возможности отключить в настройках. Это может быть неизвестная вам система статистики (в том числе частная установка Piwik), а может быть что угодно. Доступ ко всем сайтам — это доступ именно ко всем сайтам, даже защищённым https. Что, если расширение «спалит» баланс у вас на банковском счету? Обычный пользователь не может заблокировать по щелчку мышки связь с неизвестным доменом, это надо знать магию файла hosts как минимум.
Ещё раз: сбор статистики — это пример правомерного использования. Статистика собирает данные о вашем поведении, а не пароли и псевдонимы. Проблема именно в том, что политика Google позволяет распространять не только adware, но и malware.
Предположим, что вы обнаружили что одно из ваших расширений отправляет пакеты на какой-то левый домен. Без предупреждения и возможности отключить в настройках. Это может быть неизвестная вам система статистики (в том числе частная установка Piwik), а может быть что угодно. Доступ ко всем сайтам — это доступ именно ко всем сайтам, даже защищённым https. Что, если расширение «спалит» баланс у вас на банковском счету? Обычный пользователь не может заблокировать по щелчку мышки связь с неизвестным доменом, это надо знать магию файла hosts как минимум.
Ещё раз: сбор статистики — это пример правомерного использования. Статистика собирает данные о вашем поведении, а не пароли и псевдонимы. Проблема именно в том, что политика Google позволяет распространять не только adware, но и malware.
ну в статье говориться что если расширение собирает статистику оно уже вредоносное. Пароли и банковские балансы это не статистика. Я призываю не смешивать понятия. Сбор статистки это одно, а зловредный код это другое. И за зловредный код гугл сразу удалит расширение из магазина и, кстати, благодаря свой системе обновлений расширений, оно исчезнет и у всех пользователей
Понятия идут вместе, потому что это — специально скрытый от пользователя код связи с третьими доменами. Как вы сами заметили, считать можно всё, что доступно через JS. В том числе на закрытых страницах, даже через https, потому что код расширений внедряется на стороне клиента.
Есть и другое соображение. Любой анонимный набор статистики сервер собирающей стороны получает в комплекте с IP юзера. Это заложено в протоколе HTTP, никакой суд не может заставить убрать IP-адрес из отправляемых данных. И тут остаётся только один вопрос: доверяете ли вы людям, которые втайне от вас записывают ваше поведение? Для того, чтобы не являться шпионской программой, принимающая сторона должна стирать записи IP-адресов — но пользователи не могут это проверить. В том числе это касается пользователей, которые сидят в «режиме инкогнито» и не предполагают, что кнопка добавления в закладки может сопоставить их через IP с основным аккаунтом.
Есть и другое соображение. Любой анонимный набор статистики сервер собирающей стороны получает в комплекте с IP юзера. Это заложено в протоколе HTTP, никакой суд не может заставить убрать IP-адрес из отправляемых данных. И тут остаётся только один вопрос: доверяете ли вы людям, которые втайне от вас записывают ваше поведение? Для того, чтобы не являться шпионской программой, принимающая сторона должна стирать записи IP-адресов — но пользователи не могут это проверить. В том числе это касается пользователей, которые сидят в «режиме инкогнито» и не предполагают, что кнопка добавления в закладки может сопоставить их через IP с основным аккаунтом.
Ad Muncher нас спасет, по крайней мере от рекламных баннеров, а на слежку начхать.
UFO just landed and posted this here
chrome.google.com/webstore/detail/chrome-extension-source-v/jifpbeccnghkjeaalbbjmodiffmgedin
Довольно полезное дополнение, для просмотра исходников расширений в Chrome Web Store.
Довольно полезное дополнение, для просмотра исходников расширений в Chrome Web Store.
Ставлю минимум расширений-обычно 1 или 2 но не более. Обычно это Adblock и еще что-то. Так что если у меня появляется реклама на страницах-значит что-то 100% не так…
Судя по своему личному опыту могу сказать следующее:
Бывает, что разрешения аппрувят спустя час после загрузки на проверку, подозрительно быстро. Видимо все же зависит от человека который проверяет.
Раньше, я минифицировал js код в аддонах и они проходили ревью стабильно. Всего лишь один раз, они попросили не минифицировать код и то это было скорее даже пожелание. Так что требования показывать исходники не совсем обязательное.
Насколько я знаю (ибо не использую NaCl), если ваше расширение использует NaCl, оно то как раз будет проверяться вручную, поправьте если я ошибаюсь.
Mozilla Extensions каждое обновление проходит ручную проверку модераторов
Бывает, что разрешения аппрувят спустя час после загрузки на проверку, подозрительно быстро. Видимо все же зависит от человека который проверяет.
К тому же, правила Mozilla требуют предоставлять на проверку исходники расширений
Раньше, я минифицировал js код в аддонах и они проходили ревью стабильно. Всего лишь один раз, они попросили не минифицировать код и то это было скорее даже пожелание. Так что требования показывать исходники не совсем обязательное.
Кроме того, расширения на Chrome уже могут включать скомпилированный код Native Client.
Насколько я знаю (ибо не использую NaCl), если ваше расширение использует NaCl, оно то как раз будет проверяться вручную, поправьте если я ошибаюсь.
Использую Оперу, там весь набор необходимого мне функционала идет в коробке. Жаль что в последних версиях там много чего порезали:(
Не доверяю расширениям, а также тому, что без моего ведома пытается что-то делать.
По этой причине не использую расширений в браузерах, а из браузеров только опера 12.16 и фаерфокс как альтернатива. Только эти 2 браузера по своей функциональности устраивают из коробки.
По этой причине не использую расширений в браузерах, а из браузеров только опера 12.16 и фаерфокс как альтернатива. Только эти 2 браузера по своей функциональности устраивают из коробки.
Видимо, не зря я использую Файерфокс, а не Хром.
Использую только Google Mail Checker, но, если не ошибаюсь, оно от самого гугла.
Поэтому «сплю спокойно».
Поэтому «сплю спокойно».
Кстати, появился аналог Add to Feedly. Как утверждается в описании ADWARE FREE.
chrome.google.com/webstore/detail/add-to-feedly/ghaljlgnomaiedigplceadckbkkdkfem/details
chrome.google.com/webstore/detail/add-to-feedly/ghaljlgnomaiedigplceadckbkkdkfem/details
Нарвался на то, что одно из расширений начало тихо и спокойно френдить пользователей в твиттере.
Обнаружил, когда их было около 1000 (при нормальной цифре <100). Естественно, сначала отключил авторизацию всех приложений. Не помогло. Выключил расширения, кроме минимального набора — перестали добавляться.
Не разбирался, какое из приложений это делало: запускать расширения, зная, что одно из них скомпрометировано, нет никакого желания.
Обнаружил, когда их было около 1000 (при нормальной цифре <100). Естественно, сначала отключил авторизацию всех приложений. Не помогло. Выключил расширения, кроме минимального набора — перестали добавляться.
Не разбирался, какое из приложений это делало: запускать расширения, зная, что одно из них скомпрометировано, нет никакого желания.
Ну не все отзывы, конечно, читаю — в опросе вы погорячились))
Sign up to leave a comment.
Сюрприз от неизвестного: доверие к расширениям Chrome