LINUX.ORG.RU

Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя

 similarweb, , ,


1

1

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish, но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Исследователь заметил, что дополнение постоянно связывается с сервером и передаёт массивы данных в бинарном виде. Применяется двойное кодирование по алгоритму base64, чтобы скрыть факт передачи данных от поверхностного взгляда.

Передаваемые данные содержали не только полную историю просмотра браузера, но и уникальный идентификатор. Если пользователь, вдобавок, хоть раз создавал учётную запись на userstyles.org (например, чтобы поделиться стилями), то связать идентификатор с учётной записью не составляет для сервера ни малейшего труда.

Это не позволяет говорить об обезличенности. Уже даже само посещение адреса наподобие https://www.linkedin.com/in/robertjheaton/edit однозначно свидетельствует о личности конкретного пользователя. Кроме того, в адресе может содержаться секретный токен (для сброса пароля / активации учётной записи) или учётные данные. Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации, но «живут» лишь ограниченное время.

В настройках Stylish можно отключить передачу данных, но по умолчанию она включена.

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей (если, конечно, пользователь не отключил в настройках обновление чёрного списка вредоносных и проблемных дополнений). Рекомендуется перейти на Stylus — форк Stylish, созданный ещё до внедрения телеметрии.

Google тоже удалила дополнение из Chrome Web Store.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)

Совсем охрнели, скоро в туалете телеметрию устанавливать будут. И на стол правительству, ага посрал много, значит поел много, надо уменьшить доходы населения. Я только не понял одного, зачем стилям знать мои порнушные сайты.

zotkindm
()
Ответ на: комментарий от zotkindm

основной бизнес SimilarWeb - продажа аналитики по сайтам, для этого им нужно знать аудиторию сайтов, какие сайты люди посещают совместно.

vasaka ★★★
()

Расширения зло.

anonymous
()

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей

Оперативно работают! Красавчики!

anonymous
()

Пользовался им до продажи. Было довольно удобно. Потом как советовали перешел на Stylus, а после и вовсе стили в userContent.css стал заносить.

Shein
()
Ответ на: комментарий от IK_RUS

Ну норм тогда, а то с этим webext никакой автоматики не стало.

Radjah ★★★★★
()

Обычная война за бабло рабов. Лицемеры.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Оперативно работают!

Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish

grem ★★★★★
()

Просто помешательство на бигдате какое-то. «Давайте насобираем статистики, а че с ней делать потом придумаем». Таргетировать рекламу на пользователей дополнений — по-моему самая глупая мысль которая только может придти в менеджерскую голову. Есть ли в этом мире хоть один человек, который пользуется браузером со сталишем но без адблоков?

morse ★★★★★
()
Последнее исправление: morse (всего исправлений: 2)
Ответ на: комментарий от grem

Самая быстрая рука на диком западе? Ты хоть дочитай до конца.

но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Его твит 3 июля написан. Вот и считай.

anonymous
()
Ответ на: комментарий от morse

со сталишем но без адблоков?

Дизайнеры, тестеры.

pacify ★★★★★
()
Ответ на: комментарий от anonymous

Для полировки косяков. Мне, например, совершенно не нравится новая стартовая с мелкими превьюшками. юзерстилями можно немного прикрыть срам

wxw ★★★★★
()

А ещё говорят, что firefox 60 говно. Как бы не так: на нём stylish не работал, пришлось сразу на stylus перейти.

А новость кажется совсем даже не новость, не? Давно ещё эта инфа пробегала.

dimgel ★★★★★
()

Здорово их прижучили. Вся годами наработанная популярность и аудитория обнулились в один момент. Так и надо.

anonymous
()
Ответ на: комментарий от liss21

Здорово их прижучили. Вся годами наработанная популярность и аудитория обнулились в один момент. Так и надо.

+1, тоже повеселило.

Да еще и свою репутацию на ноль поделили.

Умножили. Всероссийский слёт математиков на марше. :)

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Пробегала, но так, в комментариях на некоторых ресурсах и без пруфов.

MozillaFirefox ★★★★★
() автор топика

Кстати, это давно известно.

Skullnet ★★★★★
()
Ответ на: комментарий от anonymous

Какая репутация, кого прижучили? Оригинальные разработчики умыли руки ещё в 2017-м. Это самый обычный угон расширения, такая фигня чуть ли не каждый месяц происходит.

Формула отлажена ещё многие годы назад, к оригинальным разработчикам популярного, но плохо монетизированного проекта, приходят какие-нибудь хитрожопые ребята и выкупают проект за какие-то копейки, а потом встраивают туда рекламу или малварь.

Gary ★★★★★
()

Это еще один инцидент, к тому чтобы задуматься об аудите исходного кода устанавливаемых расширений.

anonymous
()
Ответ на: комментарий от dimgel

Я в 9 классе сдал итоговую контрольную на 2 :(

liss21 ★★★
()
Ответ на: комментарий от anonymous

дочитал:

внимание это привлекло несколько дней назад

проблема старая, но никого не привлекала настолько, чтобы озаботиться её исследованием

grem ★★★★★
()
Ответ на: комментарий от Bruce_Lee

можно. по новому закону о персональных данных, принятому в ЕС, вполне. штрафы, насколько я помню, там от 500 тыс. евро.

anonymous
()

перешёл на Stylus

anonymous
()
Ответ на: комментарий от Shein

И как ты управляешь всеми стилями, т. е. быстро находишь нужный? Закладку в обычном текстовом файле нельзя на строку повесить. В таких случаях как раз на помощь приходят менеджеры стилей.

Xant1k ★★
()
Ответ на: комментарий от anonymous

У меня на ЛОРе из коробки ArialШГ, при чём какой-то особо страшный, использую юзерстили для замены его на локальный OpenSans

MrClon ★★★★★
()

Ещё осталось тампон (tampermonkey) удалить. Клоуны конечно будут до конца дефать, но вот реклама которую он встраивает и обфусцированный код должны дать понять, что нафиг такое не надо.

Xant1k ★★
()
Ответ на: комментарий от MrClon

На убунте норм шрифты, без допила. Только в браузерах везде выставил min 13px, потому что на линуксе в них шрифты обычно мельче, чем в винде. Иногда это вылазит боком, бывает текст накладывается.

Стили еще могут быть нужны, чтобы фон менять и visited links форсить.

anonymous
()
Ответ на: комментарий от dimgel

Ну а что, автор-разработчик Stylish не понимал, кому он дополнение продаёт, и что они будут с ним делать? Он ведь не код продал, а доверие пользователей.

i-rinat ★★★★★
()
Ответ на: комментарий от Xant1k

реклама которую он встраивает

Ни разу не видел.

Ещё осталось тампон (tampermonkey) удалить.

Проблема в том, что только на нём у меня завелись все скрипты в те времена, когда только-только вышел Firefox 57. На Greasemonkey не работала половина, а на оф.сайте было что-то вроде «скрипты надо переписать». На Violentmonkey, помню, что-то тоже не заработало (буквально 1-2 скрипта, но без них-то некомфортно). Может, конечно, сейчас ситуация уже изменилась...

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 4)
Ответ на: комментарий от StReLoK

1) Это затрагивает все сайты, а мне надо точечно. Не вижу смысла афектить весь браузер, или всю систему, если проблема только на одном сайте
2) ЛОР (тема Tango), для основного текста во всяком случае, не использует загружаемые шрифты. Мои глаза заставляет вытекать б-анальный body {font-family: "Arial", sans-serif;}

Юзерстили это простое и гибкое решение, то что отдельно взятую реализацию юзерстилей обмазали сначала облаками, а потом и телеметрией, не проблема юзерстилей. Альтернативы им конечно есть, но они менее универсальные

MrClon ★★★★★
()
Ответ на: комментарий от Xant1k

И как ты управляешь всеми стилями, т. е. быстро находишь нужный?

Вручную. У меня нет «полных» стилей, есть куски, которые поправляют внешний вид для меня. Все прокомментировано и быстро находится для редактирования. Я предпочитаю видеть сайт, как это задумал его создатель, но без рекламы и моими небольшими правками(если они требуются).

Shein
()
Ответ на: комментарий от Shein

Ну вот и у меня прокомментировано, но когда у тебя таких стилей штук 50 крайне нереально что-то нужное найти.

Xant1k ★★
()
Ответ на: комментарий от anonymous

принятому в ЕС

но мы ведь с тобой пока не в ЕС, братюнь

// а черти передавали твои и мои секретные данные не пойми кому.

Bruce_Lee ★★
()
Последнее исправление: Bruce_Lee (всего исправлений: 1)
Ответ на: комментарий от Xant1k

Почему нереально? Поиск по url, домену сайта. Например:

@-moz-document domain(www.youtube.com) {}
Это уникальная строка. Стили для ютуба будут только здесь. И так для нужных сайтов. Так что все находится.

Shein
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.