Чаму распрацоўнікам складана манетызаваць свае праекты і як пазбегнуць усталявання шкоднасных пашырэньні.
Спецыяліст па кібербяспецы Браян Крэбс разабраў рынак пашырэнняў для браўзэра і спосабаў іх манетызацыі. Ён прыйшоў да высновы, што ўстаноўка нават папулярных пашырэнняў з сотнямі тысяч карыстальнікаў можа быць небяспечнай з-за іх бізнэс-мадэлі.
У сваёй публікацыі Крэбс распавядае пра сінгапурскай кампаніі Infatica з беларускай заснавальнікам Уладзімірам Фаменка. Infatica прадастаўляе паслугі вэб-проксі незвычайным спосабам: кампанія дамаўляецца з распрацоўшчыкамі пашырэньні, каб тыя непрыкметна інтэгравалі код проксі-сэрвісу Infatica ў свае праекты.
У выніку праз браўзэр карыстальніка пашырэння ідзе маршрутызацыя трафіку кліентаў Infatica, наўзамен распрацоўшчык атрымлівае фіксаваную аплату ад $ 15 да $ 45 за кожную тысячу актыўных карыстальнікаў.
Infatica - толькі адна ў расце індустрыі ценявых фірмаў, якія спрабуюць супрацоўнічаць з распрацоўшчыкамі папулярных пашырэнняў і выкарыстоўваць іх распрацоўкі ў сваіх мэтах. Распрацоўшчыкі ж змушаны пагадзіцца, каб хоць неяк акупіць выдаткі на падтрымку пашырэння, адзначае Крэбс.
Як уладкованая эканоміка паміж пашырэннямі і Infatica
Некаторыя пашырэння для браўзэраў Apple, Google, Microsoft і Mozilla збіраюць сотні тысяч, а то і мільёны актыўных карыстальнікаў. Па меры росту аўдыторыі аўтар пашырэння можа не спраўляцца з падтрымкай праекта - яго абнаўленнямі або адказамі на запыты карыстальнікаў.
Пры гэтым атрымаць фінансавую кампенсацыю за свае працы ў аўтараў мала - падпіска можа адпудзіць, а Google абвясціла аб зачыненні платных пашырэньні ў краме Chrome.
Таму парой выхадам для аўтара становіцца альбо поўная продаж пашырэння, альбо прыхаваная інтэграцыя чужога кода. «Гэта прапанова часта занадта прывабна, каб ад яго адмаўляцца», - піша Крэбс.
Напрыклад, так зрабіў распрацоўшчык пашырэння для тэставання сайтаў ModHeader Хао Нгуен, сэрвісам якога карыстаецца больш за 400 тысяч чалавек.
Калі Нгуен зразумеў, што марнуе ўсё больш грошай і часу на падтрымку ModHeader, ён паспрабаваў уключыць рэкламу ў пашырэнні, але пасля вялікага пратэсту карыстальнікаў яму давялося адмовіцца ад гэтага. Больш за тое, рэклама не прыносіла яму шмат грошай.
«Я выдаткуе як мінімум 10 гадоў на стварэнне гэтай штукі, і мне не ўдалося яе манетызаваць», - прызнаецца Нгуен. Часткова ён вінаваціць Google за закрыццё платных пашырэньні - па яго словах, гэта толькі пагоршыла праблему расчараваных распрацоўшчыкаў.
Сам Нгуен спачатку адмовіўся ад некалькіх прапаноў кампаній, якія прапануюць заплаціць за інтэграцыю іх кода ў пашырэнне, бо яны атрымалі б поўны кантроль над працай браўзэра і прыладамі карыстальнікаў у любы час.
У Infatica код быў больш простым - яны абмежаваліся маршрутызацыяй запытаў без атрымання доступу да захаваных паролям карыстальнікаў, чытання іх cookie або прагляду экрана карыстальніка. Да таго ж, здзелка была б карысная Нгуен не менш як $ 1500 у месяц.
Ён пагадзіўся, але за некалькі дзён атрымаў мноства негатыўных водгукаў карыстальнікаў і выдаліў код Infatica. Да таго ж пашырэнне сталі выкарыстоўваць для прагляду «не вельмі добрых месцаў, такіх як порнасайты», адзначае аўтар ModHeader.
Таксама кіраўнік Infatica валодае VPN-сэрвісам iNinja VPN з аўдыторыяй 400 тысяч карыстальнікаў. Ён таксама выкарыстоўвае тыя ж сістэмы для маршрутызацыі трафіку - пашырэнне для Chrome і аднайменны блакавальнік рэкламы, код якога змяшчае Infatica.
Праца Infatica падобная на HolaVPN - VPN-сэрвіс з пашырэннем для браўзэра. У 2015 годзе даследчыкі кібербяспекі выявілі, што тых, хто ўстанавіў пашырэнне Hola выкарыстоўвалі для перанакіравання трафіку іншых людзей.
Маркетынгавая каманда Infatica як раз параўноўвае сваю бізнэс-мадэль з мадэллю HolaVPN, заўважае Крэбс.
Наколькі вялікі рынак пашырэньні
Другі праект Нгуена - сэрвіс статыстыкі Chrome-stats.com, на якім сабрана інфармацыя аб больш за 150 тысяч пашырэньні, пашыраная версія сэрвісу прапануецца па падпісцы.
Па дадзеных Chrome-stats больш за 100 тысяч пашырэньні закінутыя аўтарамі ці не абнаўляліся больш за два гады. Гэта істотны пласт распрацоўшчыкаў, якія цалкам могуць пагадзіцца на продаж свайго праекта і яго карыстацкай базы, заключае Крэбс.
Колькі пашырэньні выкарыстоўваюць код Infatica невядома - Крэбс знайшоў як мінімум тры дзесяткі, у некалькіх з іх было больш за 100 тысяч карыстальнікаў. Адно з іх - Video Downloader Plus, аўдыторыя якога складала ў піку за 1,4 млн актыўных карыстальнікаў.
Як не трапіць на шкоднаснае пашырэнне
Правы доступу кожнага пашырэння прапісаны ў яго «маніфесце» - апісанне даступна падчас яго ўстаноўкі. Па дадзеных Chrome-stats, каля траціны ўсіх пашырэньні Chrome не патрабуюць асаблівых дазволаў, але астатнія патрабуюць поўнага даверу з боку карыстальніка.
Напрыклад, каля 30% пашырэньні могуць праглядаць дадзеныя карыстальніка на ўсіх або пэўных сайтах, а таксама індэксаваць адкрытыя ўкладкі і дасканалыя дзеянні на вэб-старонках. 68 тысяч пашырэньні могуць выконваць адвольны код на старонцы, змяняючы функцыянальнасць або знешні выгляд сайта.
Пры ўсталёўцы пашырэньні трэба быць вельмі асцярожным і выбіраць тыя, што актыўна падтрымліваюцца аўтарамі і адказваюць на пытанні карыстальнікаў, лічыць Крэбс.
Калі пашырэнне просіць абнавіцца і раптам запытвае больш дазволаў, чым раней - гэта падстава задумацца, што з ім штосьці не так. Калі ў гэтага пашырэння быў поўны доступ, Крэбс рэкамендуе цалкам выдаліць яго.
Таксама нельга загружаць і ўсталёўваць пашырэнне, таму што на сайце напісана, што яно трэба для прагляду нейкага кантэнту - гэта практычна заўсёды азначае вялікая рызыка, заўважае спецыяліст па кібербяспецы.
І заўсёды варта прытрымлівацца першага правілы сеткавай бяспекі: «Калі вы гэта не шукалі, то і не ўстанаўлівайце».
# Браўзэры # пашырэння
крыніца