Чому розробникам складно монетизувати свої проекти і як уникнути установки шкідливих розширень.
Спеціаліст з кібербезпеки Брайан Кребс розібрав ринок розширень для браузера і способів їх монетизації. Він прийшов до висновку, що установка навіть популярних розширень з сотнями тисяч користувачів може бути небезпечною через їх бізнес-моделі.
У своїй публікації Кребс розповідає про сінгапурської компанії Infatica з російським засновником Володимиром Фоменко. Infatica надає послуги веб-проксі незвичайним способом: компанія домовляється з розробниками розширень, щоб ті непомітно інтегрували код проксі-сервісу Infatica в свої проекти.
В результаті через браузер користувача розширення йде маршрутизація трафіку клієнтів Infatica, натомість розробник отримує фіксовану оплату від $ 15 до $ 45 за кожну тисячу активних користувачів.
Інфографіка Infatica для власників розширеньInfatica - лише одна в зростаючої індустрії тіньових фірм, які намагаються співпрацювати з розробниками популярних розширень і використовувати їх розробки в своїх цілях. Розробники ж змушені погодитися, щоб хоч якось окупити витрати на підтримку розширення, зазначає Кребс.
Як влаштована економіка між розширеннями і Infatica
Деякі розширення для браузерів Apple, Google, Microsoft і Mozilla збирають сотні тисяч, а то і мільйони активних користувачів. У міру зростання аудиторії автор розширення може не справлятися з підтримкою проекту - його оновленнями або відповідями на запити користувачів.
При цьому отримати фінансову компенсацію за свою працю у авторів мало - підписка може відлякати, а Google оголосила про закриття платних розширень в магазині Chrome.
Тому часом виходом для автора стає або повний продаж розширення, або прихована інтеграція чужого коду. «Ця пропозиція часто дуже привабливо, щоб від нього відмовлятися», - пише Кребс.
Наприклад, так вчинив розробник розширення для тестування сайтів ModHeader Хао Нгуєн, сервісом якого користується понад 400 тисяч осіб.
Коли Нгуєн зрозумів, що витрачає все більше грошей і часу на підтримку ModHeader, він спробував включити рекламу в розширенні, але після великої протесту користувачів йому довелося відмовитися від цього. Більш того, реклама не приносила йому багато грошей.
«Я витратить як мінімум 10 років на створення цієї штуки, і мені не вдалося її монетизувати», - зізнається Нгуєн. Частково він звинувачує Google за закриття платних розширень - за його словами, це лише посилює проблему розчарованих розробників.
Сам Нгуєн спочатку відмовився від декількох пропозицій компаній, що пропонують заплатити за інтеграцію їх коду в розширення, так як вони отримали б повний контроль над роботою браузера і пристроями користувачів в будь-який час.
У Infatica код був простішим - вони обмежилися маршрутизацією запитів без отримання доступу до збережених паролів користувачів, читання їх cookie або перегляду екрану користувача. До того ж, угода принесла б Нгуєн не менше $ 1500 в місяць.
Він погодився, але за кілька днів отримав безліч негативних відгуків користувачів і видалив код Infatica. До того ж розширення стали використовувати для перегляду «не дуже хороших місць, таких як порносайти», зазначає автор ModHeader.
Також глава Infatica володіє VPN-сервісом iNinja VPN з аудиторією 400 тисяч користувачів. Він теж використовує ті ж системи для маршрутизації трафіку - розширення для Chrome і однойменний блокувальник реклами, код якого містить Infatica.
Робота Infatica схожа на HolaVPN - VPN-сервіс з розширенням для браузера. У 2015 році дослідники кібербезпеки виявили, що встановили розширення Hola використовували для перенаправлення трафіку інших людей.
Маркетингова команда Infatica якраз порівнює свою бізнес-модель з моделлю HolaVPN, зауважує Кребс.
Скріншот з комерційної пропозиції Infatica, відправленого розробнику розширення SponsorBlockНаскільки великий ринок розширень
Другий проект Нгуєна - сервіс статистики Chrome-stats.com, на якому зібрана інформація про понад 150 тисяч розширень, розширена версія сервісу пропонується за передплатою.
За даними Chrome-stats понад 100 тисяч розширень занедбані авторами або не оновлюється більше двох років. Це істотний пласт розробників, які цілком можуть погодитися на продаж свого проекту і його користувальницької бази, укладає Кребс.
Скільки розширень використовують код Infatica невідомо - Кребс знайшов як мінімум три десятка, у кількох з них було понад 100 тисяч користувачів. Одне з них - Video Downloader Plus, аудиторія якого становила в піку 1,4 млн активних користувачів.
Як не потрапити на шкідливе розширення
Права доступу кожного розширення прописані в його «маніфесті» - опис є під час його установки. За даними Chrome-stats, близько третини всіх розширень Chrome не вимагають особливих дозволів, але інші вимагають повної довіри з боку користувача.
Наприклад, близько 30% розширень можуть переглядати дані користувача на всіх або певних сайтах, а також індексувати відкриті вкладки і вчинені дії на веб-сторінках. 68 тисяч розширень можуть виконувати довільний код на сторінці, змінюючи функціональність або зовнішній вигляд сайту.
При установці розширень потрібно бути гранично обережним і вибирати ті, що активно підтримуються авторами і відповідають на запитання користувачів, вважає Кребс.
Якщо розширення просить оновитися і раптово запитує більше дозволів, ніж раніше - це привід задуматися, що з ним щось не так. Якщо у цього розширення був повний доступ, Кребс рекомендує повністю видалити його.
Також не можна завантажувати і встановлювати розширення, тому що на сайті написано, що воно потрібне для перегляду якогось контенту - це практично завжди означає великий ризик, зауважує фахівець з кібербезпеки.
І завжди варто дотримуватися першого правила мережевої безпеки: «Якщо ви це не шукали, то і не встановлюйте».
# Браузери # розширення
джерело