Подозрительный плагин xoopit для Firefox

    На прошлой неделе установил плагин Xoopit для Firefox.
    Этот плагин дополняет/изменяет gmail интерфейс. Делает удобную навигация по всем прикрепленным файлам в письмах и так далее.
    После установки он попросил логин и пароль, разумеется я их ввел :(.
    Его производительность сильна хромала и поработав с ним с часик удалил стандартным путем в firefox'e.


    А дальше все бы не чего, но сегодня зайдя на свой гмаил аккаунт, а как многие уже знаю google внизу пишет с какого IP заходили крайний раз, увидел IP адрес, который явно не мой. Проверил с помошью geotool. Им оказалась xoopit.com Таким образом я выяснил кто это через IMAP проверяет мою почту.

    Вопрос прост и лаконичен. Зачем? Зачем проверять мою почту после того как я удалил плагин?

    Вопрос о том как от это вылечится долго не стоял, смена пароль, причем для большей уверенности из другого браузера.

    Забавно, что сегодня шло горячее обсуждение утилиты Gmail Backup в топике "Резервная копия Gmail", где я говорил о высокой вероятности падения локального носителя информации вместе с backup'ом, чем отказ гугла. На что мне хабропользователи вполне справедливо приводили доводы в пользу backup'ов (увели пароль, заблокировали ящик и так далее). И вот сегодня жизнь намекнула на то, что я возможно заблуждаюсь в своим утверждении.

    Update: Благодаря Хабрапользователю mikes был найдет ответ, который лежал перед носом у всех тех кто устанавливал плагин Xoopit, в privacy policy.

    The Xoopit plugin may be used without signing up for the Xoopit Service.

    When signing up for the Xoopit service, you will be asked for your Gmail username and password. Xoopit needs this information in order to find and index the photos, videos and files in your Gmail. Xoopit works like other mail clients connecting to Gmail, such as your desktop mail program or cell phone.

    We are intently focused on protecting your privacy. Xoopit uses industrial-strength encryption and secure connections to Gmail as well as secure data storage to ensure your data remains private.

    Find out more at www.xoopit.com/privacy-and-security


    Так что Хабрапользователи, и те кто ими не является, будем в будущем внимательней. А то получается я написал топик о том «какие не хорошие разработчики и какой подозрительный плагин Xoopit», Хабрапользователи прокомментировали и большенство тоже поддержало меня. Нехорошо получается. Нехорошо получается и то что разработчики не контролируют процесс удаления плагина с браузера (или просто сказать что мол зайдите на наш сайт и удалите аккаунт, это на случай если у вас два или больше браузера с этим плагином) и вместе с тем удаление аккаунта с их сайта (после завтрака :) пойду попробую его удалить, но вчера их сайт меня даже не пускал :(, до публикации топика, поэтому про обиды не может быть и речи :) )

    Большое спасибо всем Хабрапользователям принявшие участие в обсуждении и поднятии кармы :)
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 20

      0
      А и действительно — зачем?
      Вопрос я так понимаю риторический, или есть надежда, что тут тусуются разрабы вышеупомянутого плагина?
        +1
        Изначально оно еще было понятно зачем. Но мне интересно почему они, обращение к разработчикам :), проверяют мою почту после того как я удалил плагин. Я так полагал что программа использует логин и пароль для работы в окне моего браузера, а оказалось нет.
        Этим топиком я хотел сказать и спросить сообщество Хабра о вот таком нюансе этого плагина. Не более того.
          +1
          Дык, я ж не против :)
          Ваш топик можно разделить мысленно на две части — на предупрерждающую-информирующую и спрашивающую. С первой понятно — все отлично и спасибо вам. Вторая — риторическая, так как кроме авторов плагина все равно ответ никто не знает, только догадки. У меня два варианта — с благими намерениями что-то например индексируют и не отслеживают факт удаления плагина из браузера, вторая — злые ребята просто читают вышу почту. Еще может какую-то статистику собирают.

          На вопрос — хорошо они делают или плохо — конечно плохо, но не факт, что специально
          +1
          Ну почему же. Я думаю найдется не мало пользователей, которые спросят это у разработчиков. К примеру я уже отписался на mailto:feedback@xoopit.com.
          Думаю, что если спрошу не только я, они хоть кому то ответят…
          +2
          Полезно. Спасибо.
            +2
            в смысле что юзал данный плагин и после прочтения топика на всякий случай менил пасс и от него отказался — не велика потеря…
            0
            А он разве не может использовать проверку со своих серверов исключительно с целью обеспечить то, чем он занимается, на компьютере конечного пользователя?
              0
              После удаления плагина? Отправлять пароли, выполнять всякие проверки и залезать в почту, с других серверов, как минимум подозрительно.
                0
                А если конечный пользователь давно пришиб в своем браузере их чудо их же программистской мысли?
                  0
                  А если конечный пользователь давно пришиб в своем браузере их чудо их же программистской мысли?
                    0
                    Нда, действительно… Впрочем, и в этом случае может иметь место просто какая-нибудь задержка.
                      0
                      Ага в неделю :)
                  +1
                  Почитайте комментарии пользователей плагина:
                  https://addons.mozilla.org/en-US/firefox/reviews/display/8257
                  Такие комментарии, как:

                  1) A good idea, a bad method.
                  I must give you my gmail adress and my gmail password? are you crazy?
                  Xoopit… go home… come back when you get a better proposal.

                  2) WOEISGUMP = Why On Earth I Should Give U My Password.
                  Though the service is good, but I don't like the way it interacts and uses my information.
                  I don't even know, where those files, photos etc are stored.
                  Really concerned about privacy here.
                  Not sure how TechCrunch & GigaOM are recommending it.
                  Sorry, I won't use it unless the login requirements are changed.
                  Thanks
                  Anurag

                  3) Folks, please read the Terms and Conditions before you add anything on your browsers. The add-ons are great and FREE! but there is always a price to pay. You just have to figure out your own tolerance between functionality and security. Below you can find a part of their Terms and Conditions. Just be aware.
                  «You also acknowledge and agree that we may from time to time, as necessary, take certain actions in the Email Account in order to enable the Services to function.»


                  Тоже наводят на некие мысли… Причем, это последние комментарии в таком духе. Первые были бессмысленно-хвалебные, какие приходили мне спамом в Wordpress-блог.
                    +1
                    Ну вот я значит не один такой наблюдательный :)
                    0
                    То, что плагин с самого начала попросил пароль уже подозрительно и я бы не стал его оставлять, а Вы только сейчас заметили (:
                      0
                      Есть например плаги Simple Mail — в не тоже надо ввести пароль от почты, чтобы он работал по своему назначению — это подозрительно?

                      удобная кстати штука
                        0
                        Это совершенно другое, в Вашем случае — полноценный почтовый клиент
                          0
                          Давайте будем объективными. «полноценный почтовый клиент» — это функциональное описание. Оно ни о чем не говорит, в частности ни капли про чистоплотность авторов этого самого клиента. Если бы после удаления SM из браузера все повторилось бы как в сабжевом топике — что бы вы сказали тогда — что надо было заподозрить неладное в самом начале?

                          Нет ничего принципиально подозрительного в том, что плагин работающий с почтой просит пароль от этой самой почты, по крайней мере для не очень опытного конкретно в этих вопросах человека — точно. То что для SM это нормально — основано на нашем доверии к данному плагину и ни на чем более. Именно поэтому, я, например, никогда не ставлю малоизвестные плагины — я им попросту не доверяю.

                      0
                      ну, скорее всего imap соединение используется для индексации содержимого Вашего почтового ящика, потому нужен логин и пароль, и потому существует соединение.

                      Плагин же в свою очередь берёт данные из БД Xoopit… и добавляет скрипты в веб интерфейс gmail… что позволяет вам получать удобную навигацию по картинкам…

                      собственно такой метод позволяет индексировать содержимое ящика не только тогда, когда ваш браузер запущен и открыть gmail… и не использует дисковое пространиство для индекса и процессорные мощности…

                      у этого плагина есть так же privacy policy

                      The Xoopit plugin may be used without signing up for the Xoopit Service.

                      When signing up for the Xoopit service, you will be asked for your Gmail username and password. Xoopit needs this information in order to find and index the photos, videos and files in your Gmail. Xoopit works like other mail clients connecting to Gmail, such as your desktop mail program or cell phone.

                      We are intently focused on protecting your privacy. Xoopit uses industrial-strength encryption and secure connections to Gmail as well as secure data storage to ensure your data remains private.

                      Find out more at www.xoopit.com/privacy-and-security

                      помоему довольно понятно написано
                        0
                        :) Ох уж privacy policy, кто бы когда его читал :)
                        Большое спасибо, добрый человек!

                      Only users with full accounts can post comments. Log in, please.