Hãy phát hiện việc thay đổi chủ sở hữu của các tiện ích mở rộng Chrome đã cài đặt

 (github.com/classvsoftware)
2 điểm bởi GN⁺ 2024-03-07 | 1 bình luận | Chia sẻ qua WhatsApp

Dưới sự quản lý mới

  • Một tiện ích mở rộng có khả năng kiểm tra xem thông tin nhà phát triển được liệt kê trên Chrome Web Store có thay đổi hay không.
  • Kiểm tra không định kỳ việc thay đổi quyền sở hữu của các tiện ích mở rộng đã cài đặt.
  • Nếu có thay đổi, huy hiệu màu đỏ sẽ xuất hiện trên biểu tượng tiện ích để thông báo cho người dùng.
  • Được tạo bởi Matt Frisbie.
  • Được thảo luận trong cuộc thảo luận trên Hacker News.

Tại sao điều này cần thiết?

  • Các nhà phát triển tiện ích mở rộng liên tục nhận được đề nghị mua lại tiện ích của họ.
  • Trong phần lớn trường hợp, những người mua này cố lừa người dùng hiện tại.
  • Người dùng không biết rằng tiện ích đã bị thay đổi và giờ đây có thể đã bị xâm phạm.
  • Dưới sự quản lý mới cung cấp thông báo cho người dùng về việc thay đổi quyền sở hữu, để họ có thể đưa ra quyết định sáng suốt về phần mềm mình đang dùng.

Cách cài đặt

  • Cài đặt tại đây: (đang chờ Chrome Web Store phê duyệt)
  • Hoặc tải bản phát hành dựng sẵn, giải nén tệp .zip và nạp thư mục dist vào Chrome.

Xây dựng từ mã nguồn

  • Dưới sự quản lý mới sử dụng Parcel, React, Typescript, TailwindCSS.
  • Cài đặt phụ thuộc bằng yarn install.
  • Chạy cục bộ bằng yarn start.
  • Tạo bản phát hành bằng yarn build.

Tại sao cần máy chủ bên ngoài?

  • Trình duyệt có các quy tắc đặc biệt đối với việc sửa đổi miền của chợ tiện ích mở rộng.
  • Ví dụ, không thể đặt quy tắc declarative_net_request cho chromewebstore.google.com.
  • Vì vậy, tiện ích này ủy quyền việc kiểm tra thông tin nhà phát triển cho máy chủ API ExBoost.

Ý kiến của GN⁺

  • Tiện ích này là một công cụ quan trọng giúp người dùng bảo vệ quyền riêng tư và dữ liệu của mình. Bằng cách thông báo cho người dùng khi quyền sở hữu tiện ích thay đổi, nó giúp họ ứng phó với các rủi ro bảo mật tiềm ẩn do việc đổi chủ gây ra.
  • Việc thay đổi quyền sở hữu tiện ích nên được công khai minh bạch với người dùng, và các công cụ phát hiện những thay đổi như vậy đóng vai trò quan trọng trong việc duy trì niềm tin của người dùng.
  • Những dự án mã nguồn mở khác cung cấp công nghệ này hoặc tính năng tương tự bao gồm Privacy Badger của EFF và Privacy Essentials của DuckDuckGo. Chúng tập trung vào việc bảo vệ quyền riêng tư trực tuyến của người dùng.
  • Những điểm cần cân nhắc khi áp dụng tiện ích này gồm việc nó có thực sự phát hiện chính xác thay đổi quyền sở hữu hay không, và liệu việc phát hiện đó có ảnh hưởng tiêu cực đến trải nghiệm duyệt web của người dùng hay không.
  • Vì việc thay đổi quyền sở hữu có thể tạo ra rủi ro bảo mật thực tế cho người dùng, loại tiện ích này rất hữu ích và cần thiết. Tuy nhiên, người dùng vẫn nên thận trọng, vì tiện ích có thể không phát hiện hoàn hảo mọi thay đổi quyền sở hữu, và thay đổi được phát hiện không phải lúc nào cũng đồng nghĩa với kết quả tiêu cực.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-03-07
Ý kiến Hacker News
  • Vài tháng trước, tác giả đã tạo một tiện ích mở rộng miễn phí, mã nguồn mở giúp tăng tốc quảng cáo YouTube và chia sẻ nó lên Hacker News, nơi nó đã lên trang chủ. Một tuần sau, một người dùng đã sao chép nó, quảng bá phiên bản của mình trên Reddit, và nó trở nên lan truyền, thu hút hơn 300.000 người dùng. Tác giả đặt câu hỏi vì sao lại sao chép một tiện ích mở rộng miễn phí, mã nguồn mở như vậy, đồng thời cho biết người dùng đó sau này đã cố bán nó trên nhiều trang web với mức giá 5 chữ số. Tác giả cũng nói rằng đã phát hiện nhà phát triển được đăng ký trên Chrome Store đã thay đổi.
    • ID của tiện ích mở rộng được suy ra từ khóa riêng mà nhà phát triển cung cấp khi tải ứng dụng lên cửa hàng lần đầu, và nếu các lần tải lên sau chứa key.pem khác thì ID sẽ thay đổi. Nếu ID đã thay đổi thì có thể chủ sở hữu đã đổi, nhưng cũng có thể chủ sở hữu ban đầu đã chuyển khóa riêng cho chủ mới. Google không yêu cầu khóa riêng cho mỗi lần tải lên, nên chủ mới vẫn có thể tải thay đổi lên mà không cần truy cập khóa đó.
    • Một người dùng cho biết hệ sinh thái tiện ích mở rộng rất thú vị và họ đang phát triển công cụ cho lĩnh vực này. Họ muốn tạo một kho GitHub nhắm vào các tiện ích mở rộng cụ thể để theo dõi cập nhật, đẩy từng bản cập nhật vào kho dưới dạng thay đổi, rồi chạy trình phân tích tĩnh trên mã và thử nghiệm phân tích ô nhiễm runtime.
    • Chủ sở hữu của một tiện ích mở rộng Chrome mã nguồn mở phổ biến cho biết số tiền quyên góp nhận được trong nhiều năm còn không đủ trả tiền ngồi quán cà phê trong một tháng. Tuy nhiên, họ đã nhiều lần nhận được đề nghị mua lại tiện ích mở rộng cho mục đích xấu và đều từ chối. Họ lập luận rằng đạo đức của nhà phát triển ban đầu không nên là khuôn khổ duy nhất cho bảo mật và quyền riêng tư.
    • Như một người bình luận khác đã đề cập, tiện ích mở rộng này hữu ích nhưng đáng ra nên là tính năng được tích hợp sẵn trong trình duyệt. Có câu hỏi liệu nó có tự động thông báo khi quyền sở hữu thay đổi hay người dùng phải chạy lệnh "kiểm tra" theo cách thủ công. Cũng có ý kiến cho rằng cần thay đổi chính sách để việc đổi quyền sở hữu tiện ích mở rộng phải cần sự chấp thuận của người dùng.
    • Với tiện ích mở rộng Firefox, Mozilla vận hành "chương trình tiện ích mở rộng được đề xuất", trong đó các tiện ích phải trải qua quy trình đánh giá kỹ thuật nghiêm ngặt bởi chuyên gia bảo mật. Tuy nhiên, chưa rõ liệu mọi bản cập nhật có đều được xem xét trước khi phát hành hay không. Nếu tất cả bản cập nhật đều được rà soát, điều đó có thể giải quyết vấn đề này đối với các tiện ích mở rộng phổ biến.
    • Nếu tiện ích mở rộng bị sang tay cho mục đích xấu, nhiều trường hợp thường là do thông tin xác thực của tài khoản nhà phát triển Google bị bán đi, nên có thể sẽ không phát hiện được các trường hợp như vậy.
    • Một người dùng cho biết họ đã cài adblock từ lâu, và khi cài lại trên máy tính mới thì đã kiểm tra quyền hạn. Để chặn quảng cáo, tiện ích phải có khả năng xem những gì người dùng đang xem, nhưng họ chưa từng nghĩ kỹ về việc nó đòi hỏi nhiều quyền đến mức nào. Giờ đây họ dùng pihole và hoàn toàn không dùng tiện ích mở rộng nữa.
    • Có người đặt câu hỏi liệu những kẻ mua tiện ích mở rộng với mục đích xấu có thể giữ nguyên tên nhà phát triển để né vấn đề này hay không, và liệu Chrome Web Store có quản lý tên nhà phát triển một cách nghiêm ngặt hay không.
    • Có ý kiến cho rằng họ đồng ý với mục tiêu của tiện ích mở rộng này, nhưng việc gửi danh sách toàn bộ tiện ích mở rộng đến một mạng quảng cáo tập trung vào tiện ích là điều đáng ngờ. Giải thích được đưa ra là cần máy chủ bên ngoài vì trình duyệt có các quy tắc đặc biệt để sửa đổi các tên miền marketplace của tiện ích mở rộng.
    • Có ý kiến cho rằng đây là tính năng nên được tích hợp sẵn trong mọi trình duyệt, và nếu chủ sở hữu thay đổi thì bản cập nhật nên tự động bị vô hiệu hóa.