Varför utvecklare är svåra att tjäna pengar på sina projekt och hur man undviker installationen av skadliga förlängningar.
Kybersecurity Specialist Brian Krebs demonterade marknaden för förlängningar för webbläsaren och metoderna för deras monetisering. Han kom till slutsatsen att inställningen även populära tillägg med hundratusentals användare kan vara farliga på grund av sin affärsmodell.
I hans publikation talar Krebs om Singapore-företaget Infatica med den ryska grundaren Vladimir Fomenko. Infatica tillhandahåller webbproxy-tjänster på ett ovanligt sätt: Företaget förhandlar med expansionsutvecklarna, så att Infatica-proxy-koden i sina projekt är omärkligt integrerad.
Som ett resultat kör Infatica Client Traffic Router genom användarens webbläsare, i gengäld, utvecklaren får en fast betalning från $ 15 till $ 45 för varje tusen aktiva användare.
Infatica är bara en i den växande industrin av skuggföretag som försöker samarbeta med utvecklarna av populära tillägg och använda sin utveckling för sina egna ändamål. Utvecklarna är tvungna att komma överens om att åtminstone på något sätt återhämta kostnaderna för förlängningssupport, Krebs noterar.
Hur ekonomin är ordnad mellan förlängningar och infatica
Några tillägg för Apples webbläsare, Google, Microsoft och Mozilla samlar hundratusentals, och till och med miljontals aktiva användare. När publiken växer kan expansionsförfattaren inte klara av projektstödet - dess uppdateringar eller svar på användarförfrågningar.
Samtidigt kan man få ekonomisk ersättning för sina verk i författare lite - en prenumeration skrämma bort, och Google tillkännagav stängningen av betalda tillägg i Chrome-butiken.
Därför blir förlängningen för författaren antingen en fullständig försäljning av expansion, eller dold integration av någon annans kod. "Detta erbjudande är ofta för attraktivt för att vägra det," skriver Krebs.
Till exempel gjordes detta av utvecklaren av expansion för att testa Modheader-webbplatser Hao Nguyen, som används av mer än 400 tusen människor.
När Nguyen insåg att han spenderar mer och mer pengar och tid för att stödja Modheader, försökte han inkludera reklam i förlängning, men efter en stor protest var han tvungen att ge upp det här. Dessutom tog annonsen inte mycket pengar.
"Jag kommer att spendera minst 10 år för att skapa den här saken, och jag misslyckades med att betona det," erkänns Nguyen. Delvis skyller han på Google för att stänga betalda tillägg - enligt honom, förstörde det bara problemet med besvikna utvecklare.
Nguyen själv övergav ursprungligen flera erbjudanden om företag som erbjuder att betala för integrationen av sin kod i expansion, eftersom de skulle få fullständig kontroll över webbläsarens och användarenheternas arbete när som helst.
Infatica-kod var enklare - de var begränsade till routningen av förfrågningar utan tillgång till sparade användarlösenord, läser sin cookie eller tittar på användarens skärm. Dessutom skulle transaktionen ta med NGUEN minst $ 1500 per månad.
Han kom överens, men om några dagar fick han många negativa användarrecensioner och raderade Infatica-koden. Dessutom började expansionen användas för att visa "inte mycket bra ställen, till exempel porr", anteckningar av modheader.
Infatica-kapitlet äger Ininja VPN VPN-tjänsten med en publik på 400 tusen användare. Det använder också samma system för att rosta trafik - en förlängning för krom och samma namngivna annonsblockerare, som innehåller Inficat.
Infatica liknar Holavpn - VPN-tjänst med en webbläsarförlängning. År 2015 fann forskare cybersecurity att de som hade etablerat HOLA-förlängningen användes för att omdirigera trafik andra människor.
Infatica Marketing Team jämför bara sin affärsmodell med Holavpn-modellen, noterar Krebs.
Hur stor är förlängningsmarknaden
Det andra projektet av Nguen - Service av Statistik för ChromeSstats.com, som innehåller information om mer än 150 tusen tillägg, den utökade versionen av tjänsten erbjuds av prenumerationen.
Enligt Chrome-statistik överges mer än 100 tusen förlängningar av författarna eller har inte uppdaterats i mer än två år. Detta är en betydande reservoar av utvecklare som kan komma överens om att sälja sitt projekt och den anpassade basen avslutar Krebs.
Hur många tillägg använder Infatica-koden okänd - Krebs hittade minst tre dussin, flera av dem hade mer än 100 tusen användare. En av dem är Video Downloader Plus, vars publik var på toppen av 1,4 miljoner aktiva användare.
Hur man inte kommer till skadlig expansion
Tillståndet för varje expansion stavas ut i sitt "manifest" - beskrivningen är tillgänglig under installationen. Enligt Chrome-statistik kräver ungefär en tredjedel av alla Chrome Extensions inte speciella tillstånd, men resten kräver fullständigt förtroende från användaren.
Till exempel kan cirka 30% av tillägget visa användardata på alla eller specifika platser, såväl som index öppna flikar och perfekta åtgärder på webbsidor. 68 tusen förlängningar kan utföra godtycklig kod på sidan genom att ändra webbplatsens funktionalitet eller utseende.
När du installerar tillägg måste du vara extremt försiktig och väljer de som aktivt stöds av författarna och svarar på användarfrågor, tror Krebs.
Om förlängningen ber om att uppgradera och plötsligt begär mer tillstånd än tidigare - det är en anledning att tro att något är fel med honom. Om denna expansion hade full tillgång, rekommenderar Krebs helt borttagning.
Du kan också ladda och ställa in en förlängning, eftersom webbplatsen är skriven att det är nödvändigt att se något innehåll - det betyder nästan alltid en stor risk, noterar en cybersäkerhetspecialist.
Och du behöver alltid hålla fast vid den första nätverkssäkerhetsregeln: "Om du inte letade efter det, installera inte."
# Browsers Extensions
En källa