מדוע למפתחים קשה לייצר מונטיז את הפרויקטים שלהם וכיצד להימנע מהתקנת הרחבות זדוניות.
Kybersecurity מומחה בריאן Krebs לפרק את השוק של הרחבות עבור הדפדפן ואת שיטות המוני. הוא הגיע למסקנה כי הגדרה אפילו תוספים פופולריים עם מאות אלפי משתמשים יכול להיות מסוכן בשל המודל העסקי שלהם.
בפרסום שלו, קרבס מדבר על חברת סינגפור Infatica עם המייסד הרוסי ולדימיר Fomenko. Infatica מספק שירותי פרוקסי אינטרנט בצורה יוצאת דופן: החברה משא ומתן עם מפתחי הרחבה, כך קוד proxy infatica בפרויקטים משולבים באופן בלתי מורגש.
כתוצאה מכך, נתב התנועה של הלקוח Infatica פועל באמצעות הדפדפן של המשתמש, בתמורה, היזם מקבל תשלום קבוע מ 15 $ ל 45 $ עבור כל אלף משתמשים פעילים.
Infatica הוא רק אחד בענף גדל של חברות צל כי הם מנסים לשתף פעולה עם היזמים של הרחבות פופולריות ולהשתמש בפיתוחם למטרות שלהם. היזמים נאלצים להסכים לפחות איכשהו להחזיר את העלויות של תמיכה הרחבה, Krebs Notes.
איך הכלכלה מסודרת בין הרחבות לבין אינפיטיקה
כמה הרחבות לדפדפני אפל, גוגל, מיקרוסופט ומוזילה אוספות מאות אלפים, ואפילו מיליוני משתמשים פעילים. ככל שהקהל גדל, ייתכן שהמחבר ההרחבה אינו מתמודד עם תמיכת הפרויקט - עדכונים או תשובות לבקשות למשתמש.
במקביל, כדי לקבל פיצוי כספי על עבודותיהם במחברים קצת - מנוי יכול להפחיד, ו - Google הודיעה על סגירת תוספים בתשלום בחנות Chrome.
לכן, לפעמים הרחבה של המחבר הופך גם למכירה מלאה של הרחבה, או אינטגרציה מוסתרת של קוד של מישהו אחר. "הצעה זו היא לעתים קרובות אטרקטיבי מדי לסרב לזה", כותב קרבס.
לדוגמה, זה נעשה על ידי היזם של הרחבת לבדיקת אתרים Modheader Hao Nguyen, אשר משמש יותר מ 400,000 אנשים.
כאשר Nguyen הבין כי הוא מבלה יותר ויותר כסף וזמן לתמוך modheader, הוא ניסה לכלול פרסום בהרחבה, אבל אחרי מחאה גדולה, הוא היה צריך לוותר על זה. יתר על כן, הפרסומת לא הביאה לו הרבה כסף.
"אני אבזבז לפחות 10 שנים כדי ליצור את הדבר הזה, ואני לא הצליחה לייצר את זה," מזהה Nguyen. חלקית הוא מאשים את גוגל לסגירת תוספים בתשלום - לדבריו, הוא רק החמיר את הבעיה של מפתחים מאוכזבים.
Nguyen עצמו לראשונה נטוש מספר הצעות של חברות המציעות לשלם עבור שילוב של הקוד שלהם להרחבה, כפי שהם יקבלו שליטה מלאה על העבודה של הדפדפן והתקני המשתמש בכל עת.
קוד Infatica היה פשוט יותר - הם היו מוגבלים לניתוב של בקשות ללא גישה לסיסמאות משתמש שמורות, קריאת עוגיה או להציג את המסך של המשתמש. בנוסף, העסקה תביא את NGuen לפחות 1500 $ לחודש.
הוא הסכים, אבל בעוד כמה ימים הוא קיבל הרבה ביקורות שליליות שליליות ומחק קוד Infatica. בנוסף, ההתרחבות החלה להשתמש כדי להציג "לא טוב מאוד מקומות, כגון פורנו", הערות על ידי Modheader.
פרק Infatica הבעלים של שירות Ininja VPN VPN עם קהל של 400 אלף משתמשים. הוא גם משתמש באותן מערכות ניתוב תנועה - הרחבה עבור Chrome ואת חוסם פרסום זהה, המכיל infatica.
Infatica דומה לשירות Holavpn - VPN עם הרחבת דפדפן. בשנת 2015, חוקרים Cybersecurity מצאו כי אלה שהקים את הארכת ההולה שימשו כדי להפנות תנועה אנשים אחרים.
צוות שיווק Infatica רק משווה את המודל העסקי שלה עם מודל Holavpn, הערות Krebs.
כמה גדול הוא שוק ההרחבה
הפרויקט השני של NGUEN - השירות של סטטיסטיקה של Chrome-stats.com, המכיל מידע על יותר מ -150 אלף הרחבות, הגירסה המורחבת של השירות מוצע על ידי מנוי.
לדברי כרום סטטיסטיקות, יותר מ -100 אלף תוספים ננטשים על ידי המחברים או לא עודכנו במשך יותר משנתיים. זוהי מאגר משמעותי של מפתחים שעשויים להסכים למכור את הפרויקט שלהם ואת הבסיס המותאם אישית מסכם Krebs.
כמה תוספים להשתמש קוד infatica לא ידוע - Krebs מצאו לפחות שלושה תריסר, כמה מהם היו יותר מ -100 אלף משתמשים. אחד מהם הוא וידאו downloader פלוס, הקהל של אשר היה בשיא של 1.4 מיליון משתמשים פעילים.
איך לא להגיע להרחבה זדונית
ההרשאות של כל הרחבה מאוירות ב"ניפסטו "שלה - התיאור זמין במהלך ההתקנה שלו. לדברי Chrome-Stats, כשליש מכל הרחבות Chrome אינם דורשים היתרים מיוחדים, אבל השאר דורשים ביטחון מלא מהמשתמש.
לדוגמה, כ -30% מהתוספים יכולים להציג נתוני משתמש בכל האתרים או הספציפיים, וכן על כרטיסיות פתוחות אינדקס ופעולות מושלמות בדפי אינטרנט. 68 אלף הרחבות יכולות לבצע קוד שרירותי בדף על ידי שינוי הפונקציונליות או המראה של האתר.
בעת התקנת הרחבות, עליך להיות זהיר מאוד ולבחור את אלה הנתמכים באופן פעיל על ידי המחברים ולהגיב על שאלות משתמש, Krebs סבור.
אם ההארכה מבקשת לשדרג ולפתע בקשות היתרים יותר מבעבר - זו סיבה לחשוב שמשהו לא בסדר איתו. אם הרחבה זו היתה גישה מלאה, Krebs ממליץ לחלוטין להסיר אותו.
כמו כן, אתה יכול גם לטעון ולהגדיר הרחבה, כי האתר כתוב כי יש צורך להציג תוכן כלשהו - זה כמעט תמיד אומר סיכון גדול, הערות מומחה cybersecurity.
ואתה תמיד צריך להישאר את כלל האבטחה ברשת הראשונה: "אם לא חיפשת את זה, אז לא להתקין."
# הרחבות דפדפנים
מקור