Zašto su programeri teško unovčiti svoje projekte i kako izbjeći ugradnju zlonamjernih proširenja.
Specijalist o Kybersigurnosti Brian Krebs rastavljao je tržište proširenja za pretraživač i metode njihove unoge. Došao je do zaključka da postavljanje čak i popularnih proširenja sa stotinama hiljada korisnika može biti opasno zbog svog poslovnog modela.
Krebs u svojoj publikaciji govori o Singapurskoj kompaniji Infadica sa ruskim osnivačem Vladimirom Fomenkom. Infadica pruža web proxy usluge na neobičan način: kompanija pregovara sa proširivim programerima, tako da infaktički proxy kodeks u njihovim projektima neprimjetno integrira.
Kao rezultat toga, Infacijski klijentski ruter vodi putem korisničkog pretraživača, zauzvrat, programer dobija fiksno plaćanje od 15 do 45 dolara za svaka hiljadu aktivnih korisnika.
Infadica je samo jedna u rastućoj industriji sjena za sjenke koje pokušavaju sarađivati sa programerima popularnih proširenja i iskoristiti svoj razvoj u vlastitim svrhu. Programeri su prisiljeni da pristanu na barem nekako nadoknaditi troškove podrške za proširenje, Krebs Bilješke.
Kako se ekonomija uređuje između proširenja i infaktike
Neke proširenja za Appleove pretraživače, Google, Microsoft i Mozilla sakupljaju stotine hiljada, pa čak i milion aktivnih korisnika. Kako publika raste, autor širenja možda se ne može nositi sa podrškom projekta - njegove ažuriranja ili odgovore na zahtjeve korisnika.
Istovremeno, da bi se dobila financijska naknada za svoje radove u autorima - pretplata može se uplašiti, a Google je najavio zatvaranje plaćenih proširenja u kromiranju.
Stoga, ponekad proširenje autora postaje ili kompletna prodaja širenja ili skrivene integracije tuđeg koda. "Ova ponuda je često previše atraktivna da bi ga odbila", piše Krebs.
Na primjer, to je učinio programer širenja za testiranje modheadher web lokacija Hao Nguyen, koji koristi više od 400 hiljada ljudi.
Kad je Nguyen shvatio da troši sve više i više novca i vrijeme za podršku modsera, pokušao je uključiti oglašavanje u proširenje, ali nakon velikog protesta morao je odustati od toga. Štaviše, reklama mu nije donijela mnogo novca.
"Provest ću najmanje 10 godina da stvorim ovu stvar, a nisam ga unovčio", priznaje Nguyen. Djelomično okrivljuje Google za zatvaranje plaćenih proširenja - prema njemu, samo je pogoršao problem razočaranih programera.
Sam Nguyen u početku je napustio nekoliko ponuda kompanija koje pružaju plaćanje za integraciju svog kodeksa u širenje, jer bi u bilo kojem trenutku dobile potpunu kontrolu nad radom pregledača i korisnika u bilo kojem trenutku.
Infacijski kod bio je jednostavniji - bili su ograničeni na usmjeravanje zahtjeva bez pristupa spremljenim korisničkim lozinkama, čitanjem njihovog kolačića ili pregledati korisnik. Pored toga, transakcija bi dovela Nguena najmanje 1500 dolara mesečno.
Dogovorio se, ali za nekoliko dana dobio je mnogo negativnih korisničkih pregleda i izbrisao Infacijski kod. Pored toga, ekspanzija je počela koristiti za pregled "ne baš dobra mesta, poput pornografije", beleške po modrosu.
Infacijski poglavlje posjeduje Ininju VPN VPN uslugu sa publikom od 400 hiljada korisnika. Takođe koristi iste sisteme za usmjeravanje prometa - produžetak za hromiranje i istoimeni blokator za oglašavanje, koji sadrži infacatiju.
Infadica je slična HOLAVPN - VPN usluzi s produžetkom pregledača. U 2015. godini istraživači za cybersekumelnosti otkrili su da su oni koji su uspostavili proširenje hola korišteni za preusmjeravanje prometa drugih ljudi.
Infacijski marketing tim samo uspoređuje svoj poslovni model sa Holavpn modelom, bilješki Krebs.
Koliki je tržište proširenja
Drugi projekat Nguena - Služba statistika Chrome-stats.com, koja sadrži informacije o više od 150 hiljada proširenja, proširena verzija usluge nudi se pretplatom.
Prema Chrome-statistici, autori se napuštaju više od 100 hiljada ekstenzija ili nisu ažurirane više od dvije godine. Ovo je značajan rezervoar programera koji se mogu složiti da prodaju svoj projekat i njegova prilagođena baza zaključuje Krebs.
Koliko proširenja koristi infacijski kod nepoznat - Krebs je pronašao najmanje tri desetak, nekoliko njih je imalo više od 100 hiljada korisnika. Jedan od njih je Video Downloader Plus, od kojih je publika bila na vrhuncu od 1,4 miliona aktivnih korisnika.
Kako ne doći do zlonamjernog širenja
Dozvole svake ekspanzije nalaze se u svom "manifest" - opis je dostupan tokom svoje instalacije. Prema Chrome-statistici, otprilike trećina svih kromiranih ekstenzija ne zahtijevaju posebne dozvole, ali ostalo zahtijeva potpuno povjerenje korisnika.
Na primjer, oko 30% ekstenzija može pregledati korisničke podatke na svim ili specifičnim web lokacijama, kao i indeks otvorenih kartica i savršene radnje na web stranicama. 68 tisuće proširenja može izvršiti proizvoljni kod na stranici promjenom funkcionalnosti ili izgleda web mjesta.
Prilikom instaliranja proširenja morate biti izuzetno oprezni i birati one koji autori aktivno podržavaju i odgovaraju na pitanja korisnika, vjeruje Krebs.
Ako proširenje traži nadogradnju i iznenada zatraži više dozvola nego prije - to je razlog za razmišljanje da nešto nije u redu s njim. Ako je ta širina imala puni pristup, Krebs preporučuje potpuno uklanjanje.
Također, možete i učitati i postaviti produžetak, jer je web mjesto napisano da je potrebno vidjeti neki sadržaj - gotovo uvijek znači veliki rizik, bilježi stručnjak za cyber-sigurnosnost.
I uvijek se morate držati prvog pravila sigurnosti mreže: "Ako ga niste potražili, onda se ne instalirajte."
# Preglednike proširenja
Izvor