1 điểm bởi GN⁺ 2024-07-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Button Stealer là một tiện ích mở rộng trình duyệt “đánh cắp” từng nút bấm từ các website mà người dùng truy cập để sưu tầm
  • Nó giống một công cụ mang tính đùa vui: chỉ cần dùng web như bình thường thì bộ sưu tập nút bấm sẽ tự động tăng lên
  • Sản phẩm được giới thiệu là một tiện ích mở rộng vui nhộn, vô dụng và miễn phí
  • Các chỉ số công khai hiển thị gồm Chrome Web Store 4.9/5, Product Hunt #3 Product of the Day, ↑492 Featured Product
  • Tiện ích hoạt động cục bộ và không gửi dữ liệu ra bên ngoài, nên dữ liệu người dùng được giữ riêng tư

Cách thu thập nút bấm trên website

  • Button Stealer là một tiện ích mở rộng trình duyệt “đánh cắp” một nút bấm từ các website mà người dùng mở
  • Người dùng không cần thao tác riêng; khi hoạt động online như bình thường, bộ sưu tập các nút bấm bị đánh cắp sẽ tăng lên
  • Bản thân sản phẩm được giới thiệu là một công cụ vui nhộn, vô dụng và miễn phí

Các huy hiệu và chỉ số được công bố

  • Chrome Web Store

    • Điểm đánh giá: 4.9/5
    • Hiển thị Featured Badge
  • Product Hunt

    • #3 Product of the Day
    • ↑492 Featured Product

Cách xử lý dữ liệu cá nhân và cài đặt

  • Button Stealer hoạt động cục bộ
  • Vì không gửi dữ liệu đi bất cứ đâu, dữ liệu người dùng được giữ riêng tư
  • Trang có cung cấp nút cài đặt Button Stealer

1 bình luận

 
GN⁺ 2024-07-25
Ý kiến trên Hacker News
  • Vấn đề với tiện ích mở rộng “vô hại” này là nó dùng host_permissions trong manifest
    Trên thực tế, nó có thể làm gần như bất cứ điều gì trên mọi trang web bạn truy cập, và cũng có thể cào dữ liệu
    Với tư cách nhà phát triển tiện ích mở rộng, tôi xin từ chối. Việc một tiện ích kiểu này, không có tính thực dụng mà chỉ để vui, lại đòi quyền rộng như vậy là nguy hiểm

    • Có vẻ không có cách nào triển khai mà không cần các quyền đó
      Nếu kiểm tra mã trên GitHub rồi cài tiện ích cục bộ, bạn có thể tránh rủi ro sau này có thay đổi độc hại được đưa vào
    • Thật lạ là tiện ích mở rộng không có quyền gửi yêu cầu mạng riêng
      Nếu tôi cấp quyền truy cập DOM của mọi trang mình truy cập, nhưng không có cách nào đưa dữ liệu ra ngoài, thì có lẽ vẫn ổn
      1. Chờ đến khi tiện ích mở rộng trở nên phổ biến
      2. Bán cho một công ty độc hại
      3. Trình duyệt bị nhét quảng cáo/phần mềm gián điệp/mã độc
    • Quyền hạn cần được chia nhỏ hơn bằng cách nào đó
      Tôi nghĩ cách tiếp cận đúng là cho phép đặt một hàm được cô lập khỏi phần mã còn lại, rồi trả tiền cho một bên thứ ba đáng tin cậy để rà soát chức năng của hàm đó
      Trong trường hợp này, hàm đó chỉ có thể 1) truy cập HTML của website, 2) tìm các nút, và 3) chỉ trả về cấu trúc tạo nên nút
      Khi đó phần hướng dẫn về quyền do tổ chức đáng tin cậy viết cũng có thể chính xác kiểu “tiện ích mở rộng này muốn sao chép các nút trên website”
      Tôi muốn gọi thứ này là điện toán DEWISOTT: nghĩa là nó hoạt động đúng chính xác như những gì ghi bên ngoài
      Miễn là không đụng đến hàm đó, tiện ích mở rộng có được cập nhật 1000 lần mỗi ngày cũng được
    • Không dùng cách này thì tác giả bài gốc có thể tạo tiện ích mở rộng bằng cách nào được?
  • Cái này giống email phishing phiên bản ứng dụng
    Chỉ vì một thứ để ngắm cho vui mà lại xin quyền truy cập mọi thứ trên mọi website bạn ghé thăm

    • Cảm giác như Bonzi Buddy
  • Tôi thấy lo khi cài những tiện ích mở rộng kiểu này
    Vì có thể ai đó đề nghị nhà phát triển một khoản tiền lớn để mua lại rồi dùng nó cho mục đích kém vui hơn
    Không biết có cần thêm quyền hay không, nhưng ít nhất hiện tại content script đã chạy với “[https:///\](https://*/\)

  • Tôi thắc mắc có lý do đặc biệt nào để dùng API riêng của Chrome thay vì WebExtensions API tiêu chuẩn không
    Tôi đang định thử nghiệm web extension, nên muốn biết API tiêu chuẩn thực sự có giới hạn gì so với API theo từng trình duyệt

    • Có khác biệt, nhưng nhiều chức năng cơ bản trùng nhau
      Firefox tương thích với các lệnh gọi API chrome.* mà tôi dùng trong tiện ích tự viết
    • Chrome không hỗ trợ WebExtensions API
  • GitHub: https://github.com/anatolyzenkov/button-stealer

    • Giờ nếu thêm cả bảng xếp hạng những người sưu tầm được nhiều nhất thì hay
      Tôi đã xem mã và trông có vẻ vô hại. Chỉ là không biết có cách nào xác minh mã được đưa lên Chrome Extension Store có đúng là cùng mã đó không
  • Nó làm tôi nhớ đến phần xem quảng cáo đã được nhấp của https://adnauseam.io/ https://adnauseam.io/img/adnauseam_vault.png

    • Nhìn trên màn hình của mình cũng hay, mà nhìn chi phí tích lũy cho nhà quảng cáo cũng hay
      Vấn đề hiện đại cần giải pháp hiện đại
  • Tôi thích ý tưởng này, nhưng quyền truy cập hơi đáng sợ
    Lý tưởng thì có lẽ có thể làm lại dưới dạng bookmarklet. Tuy nhiên vì cần lưu mảnh HTML của nút vào tệp, chắc phải dùng một cách lách liên quan đến Blob để tải xuống được

  • Trước đây tôi từng làm một công cụ có mục đích tương tự
    Nhưng nó không đánh cắp nút mà đánh cắp CSS/SCSS, và không phải tiện ích mở rộng mà là công cụ CLI. Có thể tìm trên GitHub với coalio/rfscss

  • Tôi thắc mắc nó lưu HTML/CSS để dễ tái sử dụng nút, hay lưu thành hình ảnh
    Nếu là cái trước thì khá hữu ích, còn nếu là cái sau thì vui nhưng kém hữu ích hơn. Nếu là hình ảnh thì tôi cũng tò mò việc trích xuất từ một trang hiển thị tất cả các nút khó đến mức nào

  • Nghe như một cách rất hay để tìm cảm hứng thiết kế UI/UX