Comments 64
Удивляет количество вредоносных расширений для хрома. Вебстор такая же помойка со скамом как и андройд маркет.
Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
Не, сервис ставится только при установке с вебсайта, там расширения для всех браузеров разом. Удаленное выполнение кода возможно только в случае, если установлен exe с сайта.
Собственно, Google Play помойка еще хуже, чем Chrome Web Store.
Собственно, Google Play помойка еще хуже, чем Chrome Web Store.
Потому что компромиса между свободой и зависимостью от чьего-то решения не существует.
«Создайте систему, которой сможет безопасно пользоваться даже дурак, и только дурак захочет ею пользоваться» (чья-то цитата)
«Создайте систему, которой сможет безопасно пользоваться даже дурак, и только дурак захочет ею пользоваться» (чья-то цитата)
Они выборочно проходят, кстати. То же расширение Холы периодически флагалось, и потом висело сутки на проверке (видимо, той самой ручной модерации, ведь иначе почему так долго).
Ручную модерацию проходят расширения, использующие NPAPI. При этом в списке прав доступа появляется строчка «Полный доступ к компьютеру», и это не преувеличение, никакой песочницы для таких расширений нет и их установка сравнима с запуском.ехе, скачанного из интернетов. Ну или если расширение было удалено за нарушение каких-либо правил, то следующее размещение так же будет в ручном режиме.
Во-первых, NPAPI уже почти нет. По-дефолту, его заблокировали начиная с 42-й версии (мы ведь говорим про Хром?).
Во-вторых, а что там можно проверить вручную? Блоб — он и в Африке блоб. Только пристальный взгляд дизассемблера поможет понять всю скорбь или отсутствие онной.
P.S.: Сейчас в авангарде у Хрома pepper и NaCl, вместо NPAPI
Во-вторых, а что там можно проверить вручную? Блоб — он и в Африке блоб. Только пристальный взгляд дизассемблера поможет понять всю скорбь или отсутствие онной.
P.S.: Сейчас в авангарде у Хрома pepper и NaCl, вместо NPAPI
Действительно, у плагина, который использует NPAPI теперь в каталоге на месте кнопки «Установить» красуется «Не поддерживается» с комментарием «Это приложение не поддерживается на данном компьютере. Причины указаны ниже.
Для работы приложения необходим плагин NPAPI.». Забавно что гугл не удосужился прислать уведомление о том, что расширение, размещённое в каталоге больше не поддерживается у большинства пользователей магазина. Честно говоря не знаю даже, что они там проверяют, но в моём случае приложение перехватывало весь сетевой трафик и грепало из него нужные данные.
Для работы приложения необходим плагин NPAPI.». Забавно что гугл не удосужился прислать уведомление о том, что расширение, размещённое в каталоге больше не поддерживается у большинства пользователей магазина. Честно говоря не знаю даже, что они там проверяют, но в моём случае приложение перехватывало весь сетевой трафик и грепало из него нужные данные.
UFO just landed and posted this here
Если вы в этом разобрались. не напишите ли статью про то, как выбрать истинно верный Adblock?
Единственный кому я доверяю, это AdBlock Plus
Почему аддоны с такими огромными правами не проходит ручную модерацию и так просто устанавливаются?
Потому что для гугловцев вспышки эпидемий преходящи, а доля рынка — постоянна. А описанные вами меры могут поколебать её уверенный рост. Sad but true.
В общем-то когда я вижу рекламу сервиса а-ля friGate, всегда возникает вопрос «за чей счет банкет»
А про мое говно что скажете? Банкет за мой счет, материально совершенно не обременяет. Правда, и пользователей 50000, а не 9 миллионов.
Твое говно — правильное говно, ибо прозрачно за счет PAC
А простовпн тоже соло-проект?
Почему-то 118 ошибка выскакивает.
О, так это ваше? Я пользуюсь, правда осторожничаю — парсю список IP из PAC-файла и формирую свой PAC, указывающий на приватный прокси.
Жаль только некоторые сайты периодически выпадают из списка заблокированных (блокировка на моем провайдере никогда не меняется). Может, конечно, CloudFlare виноват.
Жаль только некоторые сайты периодически выпадают из списка заблокированных (блокировка на моем провайдере никогда не меняется). Может, конечно, CloudFlare виноват.
Инициатива похвальная, но что Вы будете делать, когда юзеров станет в 10 раз больше? А если ваш сервис начнут ддосить? Сколько вы готовы будете вкладывать, чтобы анонимус мог в том числе беспрепятственно смотреть порно с запрещенных сайтов?
Буду наращивать серверы. Ддосить-то кому нужно? Порно меня немного беспокоит своим трафиком, но, думаю, это поправимо.
От ддоса есть решения (не буду показывать пальцем), долларов от 100 в месяц. Да, не бесплатно, но посильно, особенно, есть сайт предназначен для получения прибыли. Иногда эту защиту обеспечивает и сам хостер.
Решения есть почти от всего. Речь только шла о том, что ValdikSS делает это, похоже, на голом энтузиазме, вкладывая свои деньги и не получая никакого профита. Но пока это 50000 пользователей — это одно. Другое дело, когда в 10 раз больше. Стоимость масштабирования системы не линейна.
Спасибо огромное за ваш сервис и за простоту его использования! Кстати вас ещё не подвергли остракизму за него?
Вы «фанат»-одиночка (без обид, в хорошем смысле), явно имеющий другой источник дохода.
А это — коммерческая компания. Цель компании — заработать денег и выдать людям зарплату. Иначе они не могли бы уделять этому 8 часов в день и т.п.
А это — коммерческая компания. Цель компании — заработать денег и выдать людям зарплату. Иначе они не могли бы уделять этому 8 часов в день и т.п.
Надо сказать, что frigate хотя бы честно пишет, что отсылает историю браузера на свои сервера.
Но с другой стороны, сколько пользователей это прочитали перед установкой?
«We may collect results of your browsing preferences and habits, we collect information regarding your use of Our addon including URLs and Statistical Information of extensions you may be browsing while Our addon is installed. Our addon continuously and automatically transfers such information to our systems and is being collected in an aggregated manner.
While we would never collect any personal Information submitted to such extensions, note that we may save aggregated Browsing History.»
Но с другой стороны, сколько пользователей это прочитали перед установкой?
«We may collect results of your browsing preferences and habits, we collect information regarding your use of Our addon including URLs and Statistical Information of extensions you may be browsing while Our addon is installed. Our addon continuously and automatically transfers such information to our systems and is being collected in an aggregated manner.
While we would never collect any personal Information submitted to such extensions, note that we may save aggregated Browsing History.»
Кстати, Hola описывала принципы работы еще летом 2014, но только здесь, на хабре. Ясно написано, что используются каналы пользователей, как обходится NAT, и что можно задавать конкретную группу пиров через какой-то дебаг-метод.
habrahabr.ru/company/hola/blog/227189
habrahabr.ru/company/hola/blog/227189
То то я не мог понять чего Hola в последнее время так долго стартует, думал она при каждом запуске один биткойн считает.
Секунду, все действительно полагали, что Frigate/Hola/etc. не будут рано или поздно монетизироваться через пользовательский трафик? Откуда удивление у IT-сектора?
Frigate монетизируется советником — что лично я часто нахожу очень даже полезным (выбираю товар — а мне советник тут же говорит где нашел такой же товар дешевле). А метод описанный в статье вызывает скорее негодование, чем удивление. И если вам кажется такое нормальным (чему удивляться) — то многим так не кажется…
Поделюсь своим негативным опытом с сабжем.
Мне, как крымчанину, иметь VPN прописано доктором.
Изучал, выбирал, поставил на андроид в том числе и холу.
И как-то поначалу внимания не обращал, а потом несколько раз столкнулся с тем что мой Note 3, полностью заряженный ночью, во второй половине дня разряжался в ноль. Хотя обычно 2 дня держит уверенно.
Грешил поначалу на шагомер, еще какие-то сервисы, но потом вспомнил что есть статистика в настройках по использованию батареи.
В уверенном топе была Hola, причем жрала батарею как хорошая игра.
Сносить эту сволочь из процессов не помогало, стартовала снова, и не брезговала даже трафиком с 3g/edge.
Удалил её к херам и больше таких проблем ни разу не было.
Мне, как крымчанину, иметь VPN прописано доктором.
Изучал, выбирал, поставил на андроид в том числе и холу.
И как-то поначалу внимания не обращал, а потом несколько раз столкнулся с тем что мой Note 3, полностью заряженный ночью, во второй половине дня разряжался в ноль. Хотя обычно 2 дня держит уверенно.
Грешил поначалу на шагомер, еще какие-то сервисы, но потом вспомнил что есть статистика в настройках по использованию батареи.
В уверенном топе была Hola, причем жрала батарею как хорошая игра.
Сносить эту сволочь из процессов не помогало, стартовала снова, и не брезговала даже трафиком с 3g/edge.
Удалил её к херам и больше таких проблем ни разу не было.
Пользователи расширения, сами того не зная, отдавали свои интернет-каналыСправедливости ради, пользователям это самое расширение настойчиво предлагает оплатить премиум-аккаунт и не отдавать никому свои интернет-каналы. Цена вопроса несколько долларов.
Вот уязвимости это жопа.
Единственное, что делает Hola, если его устанавливать только как расширение к браузеру (что делает большинство) — использует канал пользователя. Что было известно давно, разве нет? Сервер на loopback он поднимает, если юзер скачал с сайта исполняемый файл.
То есть — уязвимости в расширениях для браузера — нет, кроме той, что by design.
Можно по аналогии сделать сайт «Adios, tor!», красным цветом на весь экран выводить, что вы можете использоваться, как exit-node, весь«vulnerable» и писать «You are vulnerable. You should uninstall Tor right now!».
То есть — уязвимости в расширениях для браузера — нет, кроме той, что by design.
Можно по аналогии сделать сайт «Adios, tor!», красным цветом на весь экран выводить, что вы можете использоваться, как exit-node, весь«vulnerable» и писать «You are vulnerable. You should uninstall Tor right now!».
А про ZenMate ничего такого не известно, кстати?
Если все подобные расширения ждёт такая же судьба, то скоро на Chrome OS будет нечем воспользоваться.
Если все подобные расширения ждёт такая же судьба, то скоро на Chrome OS будет нечем воспользоваться.
Знакомые не парились, но моя здоровая паранойя заставила поднять приватный анонимный HTTP-проксик на своем сервере (хотел SOCKS, но хром не поддерживает авторизацию для него). В хроме использую расширение Proxy SwitchyOmega для автоматического включения прокси только на указанных сайтах.
В общем если вы получаете что-то за бесплатно, значит товар вы.
С бесплатными продуктами еще как-то можно мириться если вы понимаете как именно поставщик получает деньги (Гугл, FireFox, etc)
Но если не понятно лучше ну его нафиг.
С бесплатными продуктами еще как-то можно мириться если вы понимаете как именно поставщик получает деньги (Гугл, FireFox, etc)
Но если не понятно лучше ну его нафиг.
К слову, а как Firefox зарабатывает? Насколько я знаю, он продаёт «дефолтные» места для поисковиков и т.п. А со стороны пользователей что-то берётся (данные/статистика/траффик/что-то ещё)?
Безусловно, но с одним важным уточнением: даже если вы платите, это ещё не гарантирует что вы перестаёте быть продуктом — компании, которые практикуют и платные и бесплатные аккаунты зачастую платным пользователям просто дают дополнительные фичи но не перестают использовать их самих так же, как и бесплатных.
Справедливости ради, на этом «адьёс» сайте, как минимум частично, враньё.
Подтверждаю.
В феврале-марте 2015 года я столкнулся с тем, что мой лимитированный трафик на работе стал очень быстро утекать. В логах посещаемых веб-сайтов среди обычных известных мне обнаружил странную запись 127.0.0.1:1723 (порт может быть неточным, пишу по памяти), которая и съедала весь трафик. Остальные сайты в статистике внешние, а единственно этот — локальный IP! Загуглив по порту, узнал что он числится за Hola.
Снёс нахрен это дополнение из Firefox, всё прекратилось.
И что характерно, Hola работал даже в отключённом (переключатель в самом аддоне) состоянии.
В феврале-марте 2015 года я столкнулся с тем, что мой лимитированный трафик на работе стал очень быстро утекать. В логах посещаемых веб-сайтов среди обычных известных мне обнаружил странную запись 127.0.0.1:1723 (порт может быть неточным, пишу по памяти), которая и съедала весь трафик. Остальные сайты в статистике внешние, а единственно этот — локальный IP! Загуглив по порту, узнал что он числится за Hola.
Снёс нахрен это дополнение из Firefox, всё прекратилось.
И что характерно, Hola работал даже в отключённом (переключатель в самом аддоне) состоянии.
Доска /beast/ просто отсутствует в списке на главной — я только что пробовал, если зайти на любую одну, и заменить имя доски на beast, то она великолепно грузится.
Официальный ответ Холы на всё это, можно добавить в пост: hola.org/blog/the-recent-events-on-the-hola-network
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
Честно говоря, я не очень понимаю суть претензий к Холе, учитывая, что это p2p-сервис.
Собственно, ответ и есть для не-специалистов, чтобы объяснить положение вещей, т.к. IT-специалисты и так понимают, что p2p предполагает использование траффика для других юзеров.
Собственно, ответ и есть для не-специалистов, чтобы объяснить положение вещей, т.к. IT-специалисты и так понимают, что p2p предполагает использование траффика для других юзеров.
Ну, вы правы в какой-то степени, т.к. в EULA у них было обозначено, наверное, с самого создания компании, что через компьютер пользователя могут прогонять трафик, но об этом не было упоминания в FAQ, не было пометки, что дает Hola Premium, и не было написано, что трафик продается даже в том случае, если расширение просто отключено, а не удалено.
Ну, теперь FAQ обновили, добавили огромные плашки на главную страничку + на страничку, на которую попадает юзер после установки, главные уязвимости пофиксили.
Вообще, обычно, когда находят уязвимости, сначала пишут разработчикам, а уж если они не реагируют — публикуют. А тут эти ребята сразу такую шумиху подняли, аж напрашиваются всякие теории заговора :)
Вообще, обычно, когда находят уязвимости, сначала пишут разработчикам, а уж если они не реагируют — публикуют. А тут эти ребята сразу такую шумиху подняли, аж напрашиваются всякие теории заговора :)
UFO just landed and posted this here
UFO just landed and posted this here
Подозреваю, что и у спотифай рыльце в пушку. У меня сабжа нет и никогда не было (но годик пользовался спотифай), а подобные проблемы с гуглом были. IP, как и у вас, реальный и наружу. А я еще удивлялся, что за хрень такая.
Если Hola делает из компа exit-ноду, то можно ли чужой трафик перехватывать или он зашифрован?
Hola активизируется на отдельные сайты, а не на весь браузер. То есть, если вы используете Холу для доступа к Spotify, то на Гугл вы будете заходить со своего ip, без всяких прокси.
upd: понял, что мой коммент не противоречит вашему, так что проехали. :)
upd: понял, что мой коммент не противоречит вашему, так что проехали. :)
Sign up to leave a comment.
VPN-расширение Hola продает пользовательский трафик и содержит уязвимости удаленного выполнения кода