Защо разработчиците са трудни за усвояване на техните проекти и как да се избегне инсталирането на злонамерени разширения.
Специалистът на Kybersecurity Brian Krebs разглобява пазара на разширения за браузъра и методите на тяхната монетизация. Той стигна до заключението, че поставянето на равномерни разширения със стотици хиляди потребители могат да бъдат опасни поради техния бизнес модел.
В своята публикация Кребс говори за компанията Сингапур Инфатика с руския основател Владимир Фоменко. INFITATA осигурява уеб прокси сървъри по необичаен начин: компанията преговаря с разработчиците на разширяване, така че достъпният код на Inforata в техните проекти незабележимо интегрирани.
В резултат на това маршрутизаторът на клиентския трафик INFITATA работи чрез браузъра на потребителя, в замяна на разработчика получава фиксирано плащане от $ 15 до $ 45 за всяка хиляда активни потребители.
Infitica е само един в нарастващата индустрия на фирмите в сянка, които се опитват да си сътрудничат с разработчиците на популярни разширения и да използват тяхното развитие за собствените си цели. Разработчиците са принудени да се съгласят поне да възстановят разходите за подкрепа на разширенията, отбелязва Кребс.
Как е разположена икономиката между разширенията и инфатиката
Някои разширения за браузърите на Apple, Google, Microsoft и Mozilla събират стотици хиляди и дори милиони активни потребители. Тъй като аудиторията расте, авторът на разширяването не може да се справи с подкрепата на проекта - нейните актуализации или отговори на потребителски заявки.
В същото време, за да получат финансова компенсация за своите произведения в авторите малко - абонаментът може да плаши, а Google обяви закриването на платени разширения в магазина на Chrome.
Ето защо, понякога удължаването на автора става или пълна продажба на експанзия, или скрита интеграция на някой друг код. "Тази оферта често е твърде привлекателна, за да я откаже", пише Кребс.
Например, това е направено от разработчика на разширяването за тестване на сайтове за модхеза Hao Nguyen, който се използва от повече от 400 хиляди души.
Когато Нгуен осъзна, че прекарва все повече пари и време, за да подкрепи Modheader, той се опита да включи реклама в разширение, но след голям протест трябваше да се откаже от това. Освен това рекламата не му донесе много пари.
"Ще прекарам поне 10 години, за да създам това нещо и не успях да го монтирам", признава Нгуен. Частично той обвинява Google за затваряне на платени разширения - според него, той само влошава проблема с разочаролите разработчици.
Самият Нгуен първоначално изостави няколко оферти на компаниите, които предлагат да плащат за интегрирането на кода си в разширяването, тъй като те ще получат пълен контрол над работата на браузъра и потребителските устройства по всяко време.
INFITATA кодът беше по-прост - те бяха ограничени до маршрутизиране на заявки без достъп до запазени потребителски пароли, четене на бисквитката или вижте екрана на потребителя. В допълнение, сделката ще доведе до nguen най-малко $ 1500 на месец.
Той се съгласи, но след няколко дни получи много негативни потребителски ревюта и изтрива INFITAPA код. В допълнение, разширяването започна да използва, за да види "не много добри места, като порно", бележки от modheader.
Главата "Инфатика" притежава услугата Ininja VPN VPN с аудитория от 400 хиляди потребители. Той също така използва същите системи за маршрутизиране на трафика - удължаване на хром и едноименния рекламен блокер, който съдържа инфатика.
Infica е подобен на услугата Holavpn - VPN с разширение на браузъра. През 2015 г. изследователите на киберсигурността установиха, че тези, които са създали Hola разширение, са били използвани за пренасочване на други хора.
Информационният маркетинг екип просто сравнява своя бизнес модел с модела Holavpn, отбелязва Кребс.
Колко голям е пазарът на разширение
Вторият проект на NGUEN - услугата на статистиката на Chrome-stats.com, която съдържа информация за повече от 150 хиляди разширения, разширената версия на услугата се предлага чрез абонамент.
Според хром-статистиката повече от 100 хиляди разширения са изоставени от авторите или не са били актуализирани повече от две години. Това е значителен резервоар на разработчици, които могат да се съгласят да продадат своя проект и обичайната му база заключава Кребс.
Колко разширения използват неизвестния INFITATA код - Krebs откри най-малко три дузини, няколко от тях са имали повече от 100 хиляди потребители. Един от тях е видео изтегляне плюс, чиято аудитория е на върха от 1,4 милиона активни потребители.
Как да не стигнем до злонамерено разширяване
Разрешенията на всяко разширяване са написани в неговия "манифест" - описанието е достъпно по време на инсталацията му. Според хром-статистиката около една трета от всички хромирани разширения не изискват специални разрешителни, но останалите изискват пълна увереност от потребителя.
Например, около 30% от разширенията могат да преглеждат потребителските данни на всички или конкретни сайтове, както и индекс на отворени раздели и перфектни действия на уеб страници. 68 000 разширения могат да извършват произволен код на страницата чрез промяна на функционалността или външния вид на сайта.
Когато инсталирате разширения, трябва да сте изключително внимателни и да изберете тези, които активно се поддържат от авторите и отговарят на потребителските въпроси, смята Кребс.
Ако разширението поиска да надстрои и изведнъж поиска повече разрешителни, отколкото преди - това е причина да мислите, че нещо не е наред с него. Ако тази експанзия имаше пълен достъп, Krebs препоръчва напълно да го премахне.
Също така можете да заредите и задайте разширение, защото сайтът е написан, че е необходимо да се види някакво съдържание - почти винаги означава голям риск, отбелязва специалист по киберсигурност.
И винаги трябва да се придържате към правилото за първата мрежова сигурност: "Ако не сте го потърсили, не го инсталирайте."
# Удължаване на браузърите
Източник