LINUX.ORG.RU

Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя

 similarweb, , ,


1

1

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish, но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Исследователь заметил, что дополнение постоянно связывается с сервером и передаёт массивы данных в бинарном виде. Применяется двойное кодирование по алгоритму base64, чтобы скрыть факт передачи данных от поверхностного взгляда.

Передаваемые данные содержали не только полную историю просмотра браузера, но и уникальный идентификатор. Если пользователь, вдобавок, хоть раз создавал учётную запись на userstyles.org (например, чтобы поделиться стилями), то связать идентификатор с учётной записью не составляет для сервера ни малейшего труда.

Это не позволяет говорить об обезличенности. Уже даже само посещение адреса наподобие https://www.linkedin.com/in/robertjheaton/edit однозначно свидетельствует о личности конкретного пользователя. Кроме того, в адресе может содержаться секретный токен (для сброса пароля / активации учётной записи) или учётные данные. Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации, но «живут» лишь ограниченное время.

В настройках Stylish можно отключить передачу данных, но по умолчанию она включена.

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей (если, конечно, пользователь не отключил в настройках обновление чёрного списка вредоносных и проблемных дополнений). Рекомендуется перейти на Stylus — форк Stylish, созданный ещё до внедрения телеметрии.

Google тоже удалила дополнение из Chrome Web Store.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)

Ответ на: комментарий от MrClon

Нет. Я вообще в этот файл ничего не вношу. Но предполагается что туда вносятся множественные стили к сайтам. Или ты хочешь сказать что нельзя в один файл ко многим сайтам добавлять стили?

Xant1k ★★
()
Ответ на: комментарий от Xant1k

Смотри выше: Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя (комментарий)
Стили сгруппированы (или хоты бы промаркированы) по доменам к которым они относятся. Немудрящим поиском по файлу можно найти все стили для нужного домена. Ну и комментарии к стилям можно писать, если там что-то нетривиальное.
Конечно развести бардак всё-равно можно, ну так никакой техническое средство не запретит развести бардак

MrClon ★★★★★
()
Ответ на: комментарий от Xant1k

Но ведь после каждой правки лису надо перезапускать.

anonymous
()
Ответ на: комментарий от MrClon

Всё, понял картину=) Энивей как по мне - удобнее пользоваться менеджером. Можно сразу отключать/включать и видеть результат. Плюс свои фишки у них есть.

Xant1k ★★
()
Ответ на: комментарий от zotkindm

А зачем магазинам знать твою дату рождения, полное имя, адрес и номер телефона для выдачи скидочной карты? К карте эта инфа все равно не привязывается.

Deleted
()
Последнее исправление: rj45 (всего исправлений: 1)
Ответ на: комментарий от Xant1k

У сабжевого менеджера такой наркоманский редактор для css что только из-за этого подумывал о его замене. Вообще когда вебовыми средствами пытаются сделать удобный редактор кода обычно получается хуже чем простой textaria

MrClon ★★★★★
()

Хомячки должны страдать. А вы как щитаете?

anonymous
()
Ответ на: комментарий от anonymous

Тот .bin файл который выдаёт stylish на самом деле — json

MrClon ★★★★★
()
Ответ на: комментарий от dimgel

Причём я там не переписывал ихние стили целиком, а правил точечно. Поэтому мой css крошечный.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Только ради этого? Ну и хрееееень. Или там можно не грузить тяжеловесные долбанутые css ютуба или еще какого сайта, а заменить своей обычной белой?

anonymous
()
Ответ на: комментарий от anonymous

Или там можно не грузить тяжеловесные долбанутые css ютуба или еще какого сайта

Старый стиль ютуба можно вернуть через консоль браузера. Так к слову.

Shein
()
Ответ на: комментарий от anonymous

Там можно написать свой CSS-стиль для сайта и этот аддон его присоединит к сайту. Нажми по ссылке на кнопку «Show CSS» — это мой стиль, который делает баш тёмным. Вот вся и суть.

dimgel ★★★★★
()

Расширение для вконтакте VkOpt помимо скачивания музыки, запрашивает доступ к личным сообщениям в любое время. Ни в одной оффициальной функции они не используются.

fehhner ★★★★★
()
Последнее исправление: fehhner (всего исправлений: 1)

А DarkReader никто не проверял? (для тёмной темы везде)
И вообще, в стор без проверки что ли всё попадает?

fehhner ★★★★★
()
Последнее исправление: fehhner (всего исправлений: 1)
Ответ на: комментарий от anonymous

а что непонятного? если ты этого не делаешь, то у меня для тебя плохие новости: твоё зрение уже посажено и будет падать дальше

anonymous
()

Никогда не доверял такого рода дополнениям. А ведь тут полно лоровцев, юзающих это шерето и создающих темы...в топку.

Odalist ★★★★★
()
Ответ на: комментарий от dimgel

А дополнение Midnight Lizard не пробовали? В апреле автор портировал его из Chrome (благодаря WebExtensions это не очень сложно).

Оно, кстати, с дефолтными настройками делает на ЛОРе гораздо лучшую чёрную тему, чем чёрная тема («black») самого ЛОРа.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: комментарий от MozillaFirefox

Я уже старенький всё подряд пробовать. Сломается stylus - буду гуглить замену. Пока работает - и хрен с ним. Фактически кроме баша он у меня сейчас нигде уже и не используется, да и на баш захожу редко.

dimgel ★★★★★
()
Ответ на: комментарий от anonymous

Они и днём от такого прожектора вытекают, даже на минимальной яркости при которой цвета в конец не деградируют. Но это даже хорошо: у меня IDE все тёмные, а говносайты в массе своей белые. Очевиден выбор в пользу работы.

dimgel ★★★★★
()
Ответ на: комментарий от anonymous

в ublock

Зачем вы рекламируете свои анальные зонды?

Odalist ★★★★★
()

Если кому интересно, как я налошил - «savefrom.net helper» для скачивания фильмов с видеохостингов тоже по умолчанию сливает и встраивает ещё рандомно в страницы, сегодня выяснилось. В настройках вроде отключается, называется Advisor, но я снёс.

fehhner ★★★★★
()
Ответ на: комментарий от anonymous

А про «даже себе» я ничего и не говорил :)

yars068 ★★★★
()
Ответ на: комментарий от anonymous

Себе верить тоже нельзя. Взгляды могут меняться в течении жизни кардинально.

anonymous
()

А дополнение опенсорсное? Сырцы есть?

pihter ★★★★★
()
Ответ на: комментарий от fehhner

Черный фон ночью, за это убивать. Не видно же клавиатуру. Но я конечно могу печатать и вслепую, но промахиваюсь иногда. Как же меня бесит, что в браузерах приватные окна темные. Раньше они такими не были. В Chrome 49 точно еще светло было. Только не надо советовать включить настольную лампу.

anonymous
()
Ответ на: комментарий от anonymous

Здорово их прижучили. Вся годами наработанная популярность и аудитория обнулились в один момент. Так и надо.

А у врагов нынче модно так: вон старину Вайнштейна с говном за две менуты смешали, хотя глыба был, казалось непотопляемый. Всего лишь за то что шлюз кукурузил, которые в очередь к нему стояли сами. И ведь все все понимают.

А по сабжу, я правильно понял что исходников плагина нет? А че вы хотели?

pihter ★★★★★
()
Ответ на: комментарий от Xant1k

Закладку в обычном текстовом файле нельзя на строку повесить

Какие нежные все стали. Комментарий и ctrl+f спасут отца русской демократии

pihter ★★★★★
()
Ответ на: комментарий от anonymous

Черный фон ночью, за это убивать. Не видно же клавиатуру. Но я конечно могу печатать и вслепую, но промахиваюсь иногда. Как же меня бесит, что в браузерах приватные окна темные. Раньше они такими не были. В Chrome 49 точно еще светло было. Только не надо советовать включить настольную лампу.

Тоже иногда промахиваюсь, бесило. Но счас мне больше в этом плане повезло - подсветка на клаве и встроенной и юсб, и в тусклое освещение умеет. Поэтому наоборот ставлю тёмную тему и подсветку на экране в минимум. Проверено, глаза устают в разы меньше.

fehhner ★★★★★
()
Ответ на: комментарий от anonymous

Если за ярким светлым монитором без подсветки клавы в темноте работаешь - видел чел на ютубе на ардуине делал аналог эмбилайт из лед ленты, тогда хотя бы уж что-то типо этого за монитор, чтобы глаза пожалеть и свет не ярким пятном в одном месте был, а рассеянный.

fehhner ★★★★★
()
Последнее исправление: fehhner (всего исправлений: 2)
Ответ на: комментарий от Xant1k

И как ты управляешь всеми стилями, т. е. быстро находишь нужный?

Я не он, но у меня userContent.css выглядит примерно так:

@import url(c2-wiki.css);
@import url(ddg-html.css);
@import url(gentoowiki.css);
@import url(github-solarized-dark.css);
@import url(habr.css);
@import url(hackernews-fonts.css);
@import url(hackernews-solarized-dark.css);
@import url(lor.css);

Это позволяет редактировать стили любыми редакторами, легко их импортировать/экспортировать, обрабатывать любыми стандартными текстовыми утилитами, и т.д. Короче, намного удобнее, чем этот ваш stylish.

anonymous
()
Ответ на: комментарий от anonymous

Черный фон ночью, за это убивать. Не видно же клавиатуру.

Если у тебя ночью выключен весь свет, то в светяшийся монитор, вообще говоря, смотреть для глаз совсем не полезно. А если там ещё и белый фон, то начинай прощаться со своими глазами, слепота не за горами.

anonymous
()
Ответ на: комментарий от anonymous

А я то думаю, что у меня зрение падает. Еще кстати смартфоны нехило так сажают из-за своей мелкоты.

anonymous
()

Хорошо что я слоупочил на древней версии. Вообще пора все аддоны удалять (вместе с фурифоксом). Есть же православный links, интересно ЛОР там заведется?

bread
()

Кто-то ещё всерьёз верит любителям сливать телеметрию?

h578b1bde ★☆
()

Алсо обновления дополнений ненужны.

h578b1bde ★☆
()

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики
Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей
немедленно

Слоузилла.

h578b1bde ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.