Vụ án Button Stealer
(anatolyzenkov.com)- Button Stealer là một tiện ích mở rộng trình duyệt “đánh cắp” từng nút bấm từ các website mà người dùng truy cập để sưu tầm
- Nó giống một công cụ mang tính đùa vui: chỉ cần dùng web như bình thường thì bộ sưu tập nút bấm sẽ tự động tăng lên
- Sản phẩm được giới thiệu là một tiện ích mở rộng vui nhộn, vô dụng và miễn phí
- Các chỉ số công khai hiển thị gồm Chrome Web Store 4.9/5, Product Hunt
#3 Product of the Day,↑492 Featured Product - Tiện ích hoạt động cục bộ và không gửi dữ liệu ra bên ngoài, nên dữ liệu người dùng được giữ riêng tư
Cách thu thập nút bấm trên website
- Button Stealer là một tiện ích mở rộng trình duyệt “đánh cắp” một nút bấm từ các website mà người dùng mở
- Người dùng không cần thao tác riêng; khi hoạt động online như bình thường, bộ sưu tập các nút bấm bị đánh cắp sẽ tăng lên
- Bản thân sản phẩm được giới thiệu là một công cụ vui nhộn, vô dụng và miễn phí
Các huy hiệu và chỉ số được công bố
-
Chrome Web Store
- Điểm đánh giá: 4.9/5
- Hiển thị Featured Badge
-
Product Hunt
#3 Product of the Day↑492 Featured Product
Cách xử lý dữ liệu cá nhân và cài đặt
- Button Stealer hoạt động cục bộ
- Vì không gửi dữ liệu đi bất cứ đâu, dữ liệu người dùng được giữ riêng tư
- Trang có cung cấp nút cài đặt Button Stealer
1 bình luận
Ý kiến trên Hacker News
Vấn đề với tiện ích mở rộng “vô hại” này là nó dùng
host_permissionstrong manifestTrên thực tế, nó có thể làm gần như bất cứ điều gì trên mọi trang web bạn truy cập, và cũng có thể cào dữ liệu
Với tư cách nhà phát triển tiện ích mở rộng, tôi xin từ chối. Việc một tiện ích kiểu này, không có tính thực dụng mà chỉ để vui, lại đòi quyền rộng như vậy là nguy hiểm
Nếu kiểm tra mã trên GitHub rồi cài tiện ích cục bộ, bạn có thể tránh rủi ro sau này có thay đổi độc hại được đưa vào
Nếu tôi cấp quyền truy cập DOM của mọi trang mình truy cập, nhưng không có cách nào đưa dữ liệu ra ngoài, thì có lẽ vẫn ổn
Tôi nghĩ cách tiếp cận đúng là cho phép đặt một hàm được cô lập khỏi phần mã còn lại, rồi trả tiền cho một bên thứ ba đáng tin cậy để rà soát chức năng của hàm đó
Trong trường hợp này, hàm đó chỉ có thể 1) truy cập HTML của website, 2) tìm các nút, và 3) chỉ trả về cấu trúc tạo nên nút
Khi đó phần hướng dẫn về quyền do tổ chức đáng tin cậy viết cũng có thể chính xác kiểu “tiện ích mở rộng này muốn sao chép các nút trên website”
Tôi muốn gọi thứ này là điện toán DEWISOTT: nghĩa là nó hoạt động đúng chính xác như những gì ghi bên ngoài
Miễn là không đụng đến hàm đó, tiện ích mở rộng có được cập nhật 1000 lần mỗi ngày cũng được
Cái này giống email phishing phiên bản ứng dụng
Chỉ vì một thứ để ngắm cho vui mà lại xin quyền truy cập mọi thứ trên mọi website bạn ghé thăm
Tôi thấy lo khi cài những tiện ích mở rộng kiểu này
Vì có thể ai đó đề nghị nhà phát triển một khoản tiền lớn để mua lại rồi dùng nó cho mục đích kém vui hơn
Không biết có cần thêm quyền hay không, nhưng ít nhất hiện tại content script đã chạy với “[https:///\](https://*/\)”
Tôi thắc mắc có lý do đặc biệt nào để dùng API riêng của Chrome thay vì WebExtensions API tiêu chuẩn không
Tôi đang định thử nghiệm web extension, nên muốn biết API tiêu chuẩn thực sự có giới hạn gì so với API theo từng trình duyệt
Firefox tương thích với các lệnh gọi API
chrome.*mà tôi dùng trong tiện ích tự viếtGitHub: https://github.com/anatolyzenkov/button-stealer
Tôi đã xem mã và trông có vẻ vô hại. Chỉ là không biết có cách nào xác minh mã được đưa lên Chrome Extension Store có đúng là cùng mã đó không
Nó làm tôi nhớ đến phần xem quảng cáo đã được nhấp của https://adnauseam.io/ https://adnauseam.io/img/adnauseam_vault.png
Vấn đề hiện đại cần giải pháp hiện đại
Tôi thích ý tưởng này, nhưng quyền truy cập hơi đáng sợ
Lý tưởng thì có lẽ có thể làm lại dưới dạng bookmarklet. Tuy nhiên vì cần lưu mảnh HTML của nút vào tệp, chắc phải dùng một cách lách liên quan đến Blob để tải xuống được
Trước đây tôi từng làm một công cụ có mục đích tương tự
Nhưng nó không đánh cắp nút mà đánh cắp CSS/SCSS, và không phải tiện ích mở rộng mà là công cụ CLI. Có thể tìm trên GitHub với
coalio/rfscssTôi thắc mắc nó lưu HTML/CSS để dễ tái sử dụng nút, hay lưu thành hình ảnh
Nếu là cái trước thì khá hữu ích, còn nếu là cái sau thì vui nhưng kém hữu ích hơn. Nếu là hình ảnh thì tôi cũng tò mò việc trích xuất từ một trang hiển thị tất cả các nút khó đến mức nào
Nghe như một cách rất hay để tìm cảm hứng thiết kế UI/UX