Kial programistoj malfacilas profiti siajn projektojn kaj kiel eviti la instaladon de malicaj etendaĵoj.
Kybersecurity specialisto Brian Krebs malmuntis la merkaton de etendaĵoj por la retumilo kaj la metodoj de ilia monetigo. Li venis al la konkludo, ke fiksante eĉ popularaj etendaĵoj kun centmiloj da uzantoj povas esti danĝeraj pro sia komerca modelo.
En lia publikigado, Krebs raportas al la kompanio Singapore incatica kun la rusa fondinto Vladimir Fumenko. La enmiksiĝo provizas interretajn servojn en nekutima maniero: la kompanio negocas kun la ellaborantoj de ekspansio, tiel ke la enmika prokura kodo en iliaj projektoj nepercepteble integritaj.
Rezulte, la entombiga trafikulo pri Klienta Trafiko kuras tra la retumilo de la uzanto, la programisto ricevas fiksan pagon de $ 15 al $ 45 por ĉiu mil aktivaj uzantoj.
La fama estas nur unu en la kreskanta industrio de ombraj firmaoj, kiuj provas kunlabori kun la programistoj de popularaj etendaĵoj kaj uzi sian evoluon por siaj propraj celoj. La programistoj estas devigitaj konsenti almenaŭ iel reakiri la kostojn de etendaĵa subteno, KREBS-notoj.
Kiel la ekonomio estas aranĝita inter etendaĵoj kaj en danĝeroj
Iuj etendaĵoj por la retumiloj de Apple, Google, Mikrosofto kaj Mozilla kolektas centojn da miloj, kaj eĉ milionoj da aktivaj uzantoj. Ĉar la spektantaro kreskas, la ekspansia aŭtoro eble ne eltenas la projektan subtenon - ĝiajn ĝisdatigojn aŭ respondojn al uzanto-petoj.
Samtempe, por akiri financan kompenson por siaj verkoj en aŭtoroj iom - abono povas timigi, kaj Google anoncis la fermon de pagitaj etendaĵoj en la Chrome-vendejo.
Sekve, foje la etendaĵo por la aŭtoro fariĝas aŭ kompleta vendo de ekspansio, aŭ kaŝita integriĝo de iu alia kodo. "Ĉi tiu oferto ofte estas tro alloga por rifuzi ĝin," Krebs skribas.
Ekzemple, ĉi tio estis farita de la ellaboranto de ekspansio por testi modheader-lokojn, kiuj estas uzataj de pli ol 400 mil homoj.
Kiam Nguyen ekkonsciis, ke li pasigas pli kaj pli da mono kaj tempo por subteni Mod ModHader, li provis inkluzivi reklamadon en etendaĵo, sed post granda protesto, li devis rezigni ĉi tion. Cetere, la reklamo ne alportis al li multan monon.
"Mi pasigos almenaŭ 10 jarojn por krei ĉi tiun aferon, kaj mi malsukcesis profiti ĝin," la Nguyen rekonas. Parte li kulpigas Google por fermi pagitajn etendaĵojn - laŭ li, ĝi nur pligravigis la problemon de seniluziigitaj programistoj.
Nguyen mem komence forlasis plurajn proponojn de kompanioj proponantaj pagi la integriĝon de ilia kodo en ekspansio, ĉar ili ricevos kompletan kontrolon pri la laboro de la retumilo kaj uzanto-aparatoj iam ajn.
La fama kodo estis pli simpla - ili estis limigitaj al la vojigo de petoj sen aliro al konservitaj pasvortoj de uzanto, legante sian kuketon aŭ vidas la ekranon de la uzanto. Krome, la transakcio alportus Nguen almenaŭ 1500 USD monate.
Li konsentis, sed post kelkaj tagoj li ricevis multajn negativajn uzantajn recenzojn kaj forigis endanĝan kodon. Krome, la ekspansio komencis uzi por vidi "ne tre bonajn lokojn, kiel porno," notoj de Mod ModHader.
La kamioneta ĉapitro posedas la servon Ininja VPN VPN kun spektantaro de 400 mil uzantoj. I ankaŭ uzas la samajn sistemojn por enrutigado de trafiko - etendaĵo por Chrome kaj la sama-nomata reklam-blokanto, kiu enhavas ennajn.
Damaca estas simila al Holavpn - VPN-servo kun retumila etendo. En 2015, esploristoj de cibersekureco trovis, ke tiuj, kiuj establis la HILA-etendaĵon, estis uzitaj por redirekti trafik-homojn.
Kampada merkata teamo simple komparas sian komercan modelon kun la modelo Holavpn, Notoj Krebs.
Kiom granda estas la etenda merkato
La dua projekto de Nguen - la servo de statistikoj de Chrome-stats.com, kiu enhavas informojn pri pli ol 150 mil etendaĵoj, la etendita versio de la servo estas ofertata per abono.
Laŭ Chrome-Stats, pli ol 100 mil etendaĵoj estas forlasitaj de la aŭtoroj aŭ ne estis ĝisdatigitaj dum pli ol du jaroj. Ĉi tio estas grava rezervujo de programistoj, kiuj eble bone konsentas vendi sian projekton kaj ĝia kutimo-bazo finas KREBS.
Kiom da etendaĵoj uzas la nekonatan kodon - KREBS trovis almenaŭ tri dekduojn, pluraj el ili havis pli ol 100 mil uzantojn. Unu el ili estas Video Downloader Plus, kies spektantaro estis ĉe la pinto de 1,4 milionoj da aktivaj uzantoj.
Kiel ne atingi malican ekspansion
La permesoj de ĉiu ekspansio estas literumitaj en ĝia "Manifesto" - la priskribo estas havebla dum ĝia instalado. Laŭ Chrome-Stats, ĉirkaŭ triono de ĉiuj kromaj etendoj ne postulas specialajn permesilojn, sed la resto bezonas kompletan konfidon de la uzanto.
Ekzemple, ĉirkaŭ 30% de etendoj povas vidi uzanto-datumojn pri ĉiuj aŭ specifaj retejoj, kaj ankaŭ indekso malfermitaj langetoj kaj perfektaj agoj en retpaĝoj. 68 mil etendaĵoj povas plenumi arbitran kodon sur la paĝo ŝanĝante la funkcion aŭ aspekton de la retejo.
Kiam vi instalas etendaĵojn, vi devas esti ekstreme zorga kaj elekti tiujn, kiuj estas aktive subtenataj de la aŭtoroj kaj respondi al uzanto-demandoj, Krebs kredas.
Se la etendaĵo petas ĝisdatigi kaj subite petas pli da permesiloj ol antaŭe - ĉi tio estas kialo pensi, ke io misas pri li. Se ĉi tiu ekspansio havis plenan aliron, Krebs rekomendas tute forigi ĝin.
Ankaŭ, vi ankaŭ povas ŝarĝi kaj agordi etendon, ĉar la retejo estas skribita, ke necesas vidi iom da enhavo - ĝi preskaŭ ĉiam signifas grandan riskon, notas specialan cibersecurity.
Kaj vi ĉiam bezonas resti ĉe la unua rega ret-sekureca regulo: "Se vi ne serĉis ĝin, tiam ne instalu."
# Browsers-etendoj
Fonto