LINUX.ORG.RU

Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя

 similarweb, , ,


1

1

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish, но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Исследователь заметил, что дополнение постоянно связывается с сервером и передаёт массивы данных в бинарном виде. Применяется двойное кодирование по алгоритму base64, чтобы скрыть факт передачи данных от поверхностного взгляда.

Передаваемые данные содержали не только полную историю просмотра браузера, но и уникальный идентификатор. Если пользователь, вдобавок, хоть раз создавал учётную запись на userstyles.org (например, чтобы поделиться стилями), то связать идентификатор с учётной записью не составляет для сервера ни малейшего труда.

Это не позволяет говорить об обезличенности. Уже даже само посещение адреса наподобие https://www.linkedin.com/in/robertjheaton/edit однозначно свидетельствует о личности конкретного пользователя. Кроме того, в адресе может содержаться секретный токен (для сброса пароля / активации учётной записи) или учётные данные. Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации, но «живут» лишь ограниченное время.

В настройках Stylish можно отключить передачу данных, но по умолчанию она включена.

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей (если, конечно, пользователь не отключил в настройках обновление чёрного списка вредоносных и проблемных дополнений). Рекомендуется перейти на Stylus — форк Stylish, созданный ещё до внедрения телеметрии.

Google тоже удалила дополнение из Chrome Web Store.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)

Ответ на: комментарий от oriko32

Ну про телеметрию знали давно, но все что она отсылала еще и в зашифрованном виде было

в зашифрованном виде
двойное кодирование по алгоритму base64

Это юмор такой?

h578b1bde ★☆
()
Ответ на: комментарий от Xant1k

И как ты управляешь всеми стилями, т. е. быстро находишь нужный? Закладку в обычном текстовом файле нельзя на строку повесить.

Вроде как для таких случаев в CSS есть /* комментарии */, а в текстовых редакторах поиск по содержимому.

h578b1bde ★☆
()
Ответ на: комментарий от Xant1k

Кто слоупок? Я наоборот советую эту парашу удалить и юзать нормальное Greasmonkey/Violetmonkey.

спор о том чья обезьяна круче

anonymous
()
Ответ на: комментарий от anonymous

Черный фон ночью, за это убивать. Не видно же клавиатуру.

А зачем нужно её видеть?

Но я конечно могу печатать и вслепую, но промахиваюсь иногда.

ССЗБ.

h578b1bde ★☆
()
Ответ на: комментарий от pihter

А у врагов нынче модно так

Враг моего врага — мой друг.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

А зачем нужно её видеть?

А зачем ночью клавиатура? Вместо бабы штоле? Хотя, если у юзверя полярная ночь, тогда ладно.

bread
()
Ответ на: комментарий от anonymous

Еще кстати смартфоны нехило так сажают из-за своей мелкоты.

Точно. Хочу выкинуть смартфон и завести вместо него планшет. А звонить со старой кнопочной нокии.

anonymous
()

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей

Учитывая, что мозилла сама существует, в основном, за счёт рекламы, вспоминается старая поговорка «вор у вора шапку украл».

anonymous
()
Ответ на: комментарий от h578b1bde

Wireshark не котируется?

Fiddler добавляет свой сертификат в браузер и работает как прокси сервер. Можно посмотреть зашифрованные данные, также поддерживается распаковка gzip, base64 на лету. То есть можно посмотреть не только куда прога лезет, но и что отправляет. Не знаю насчет линуксовой версии (требует Mono, поддерживается только TLS 1.0), виндовая версия на .Net и умеет TLS 1.2.

anonymous
()
Ответ на: комментарий от anonymous

Нет, ну конечно, если прога вздумает лезть мимо прокси сервера, можно перехватить и принудительно отправить на прокси в Proxifier. Остается правда UDP.

anonymous
()
Ответ на: комментарий от MrClon

Удали свой говношрифт, который у тебя вместо Arial. Или таки пропиши в системе ему соответствие другое. Проблема на твоей стороне.

anonymous
()
Ответ на: комментарий от rotfront

Пиплитарная параша, сливающая данные.

А есть пруфец? И почему Mozilla не удаляет это дополнение как сделали это со Stylish?

anonymous
()
Ответ на: комментарий от anonymous

Mozilla не удаляет это дополнение как сделали это со Stylish?

Потому что, как и со Stylish (на протяжении полутора лет), эти заявления о сливах делаются в комментариях на сторонних форумах, без предоставления пруфов.

Кроме того, Stylish выпилили не за факт передачи статистики, а за несоответствие заявленного объёма данных реальным (вдобавок, эти реальные данные были настолько чувствительными, что их сбор не может быть одобрен вообще).

Если TamperMonkey действительно ограничивается указанным здесь перечнем, то нет причин его выпиливать. Как только будет доказано, что оно сливает историю браузера - попросят на выход.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 8)
Ответ на: комментарий от Xant1k

Я наоборот советую эту парашу удалить и юзать нормальное Greasmonkey/Violetmonkey.

В Greasmonkey/Violentmonkey не работает, например, этот скрипт (скрипт заменяет «N days ago» в коммитах на GitHub на точные дату/время). Какой толк от «нормальных», если в них не работает необходимое?

В старом Greasemonkey (который был до WebExt) - работал. В Tampermonkey тоже работает.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 6)
Ответ на: комментарий от MozillaFirefox

Из-за одного скрипта не юзать ширку? Насмешил.

Может не работает из-за этого? https://www.greasespot.net/2017/09/greasemonkey-4-for-script-authors.html https://www.greasespot.net/2017/09/greasemonkey-4-for-users.html правда не читал что там пишут, но видел из-за нерабочих скриптов отсылку к какой-то из этих статей.

У меня всё работает: https://vgy.me/VIlL1X.png

Какой смысл юзать уг если оно встраивает рекламу и имеет обфусцированный код?

Xant1k ★★
()
Ответ на: комментарий от MozillaFirefox

Потому что, как и со Stylish (на протяжении полутора лет), эти заявления о сливах делаются в комментариях на сторонних форумах, без предоставления пруфов.

Т.е. вместо того чтобы самим разгрести свою заширусованную помойку, в которую напихали всего подряд, мозилловцы ждут когда пользователи походят по минному полю и выложат пруфы? А ведь за распространение вредоносного ПО и несанкционированные действия с информацией, доступ к которой ограничен, во многих странах предусмотрена статья в УК.

h578b1bde ★☆
()
Ответ на: комментарий от Xant1k

Какой смысл юзать уг если оно встраивает рекламу и имеет обфусцированный код?

Это сейчас про файрфокс было?

anonymous
()
Ответ на: комментарий от Xant1k

Из-за одного скрипта не юзать ширку?

Может и больше. Я просто пошёл по списку своих скриптов и на втором по счёту уже облом.

Может не работает из-за этого?

Может, но, как-то странно, что автор обоссанного тобой Tampermonkey смог решить проблему, а вот аналоги предпочитают переложить эту заботу на плечи авторов скриптов. И хорошо. если скрипт поддерживается, а если заброшен? Я, увы, в JS дальше простеньких хелловордов не могу.

Какой смысл юзать уг если оно встраивает рекламу

Ни разу её не видел. Либо её нет, либо мюблок её режет. Смысл - он работает так, как работал Greasemonkey, который стал работать хуже. При прочих равных открытый код - это, несомненно, преимущество, я не задумываясь выбираю свободное и открытое ПО, если оно удовлетворяет мои потребности. В данном случае, увы, не удовлетворяет.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 3)
Ответ на: комментарий от h578b1bde

вместо того чтобы самим разгрести свою заширусованную помойку, в которую напихали всего подряд

Mozilla - не Apple, где каждое приложение проверяется неделями вручную. Передавать статистику дополнениям не запрещено. Если обнаруживается, что дополнение нарушает условия AMO - оно вылетает на мороз.

Я не знаю, пытаются ли автоматические анализаторы обнаружить в коде такие трюки типа кодирования передаваемых дополнением данных, но опыт, например, антивирусов показывает, что на любой автоматический анализ найдётся способ изощрённо замаскироваться.

А нанимать аналитиков, чтобы каждую версию каждого дополнения аппрувить, вероятно, либо дорого, либо такая бюрократия отпугнёт разработчиков, которые с Хрома портируют свои дополнения в Firefox по просьбе пользователей. Ещё раз, это Apple себе может себе позволить, на iOS разрабы будут и по две недели в очереди стоять, чтобы в стор попасть.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 5)
Ответ на: комментарий от MozillaFirefox

нанимать аналитиков, чтобы каждую версию каждого дополнения аппрувить

А я не говорил о том чтобы аппрувить каждое дополнение, однако наиболее популярные, по которым уже есть звоночки, проверить никто не мешает. Или и дальше будем надеяться на независимых сапёров, пока миллионы пользователей подрываются на минах?

дорого

Я так понял что сокращение расходов на бесполезных маркетолухов и отказ от очередного перепиливания интерфейса можно не предлагать.

h578b1bde ★☆
()
Ответ на: комментарий от MozillaFirefox

аналоги предпочитают переложить эту заботу на плечи авторов скриптов. И хорошо. если скрипт поддерживается, а если заброшен? Я, увы, в JS дальше простеньких хелловордов не могу.

Какие аналоги? Из упоминаемых мной только GM, который например тут https://old.reddit.com/r/GreaseMonkey/comments/8v4eaz/highlight_new_reddit_co... назвали гавённым=) Там же и решение(?) по совместимости.

Xant1k ★★
()

Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации

Может-таки аутентификации? Вроде IT-ресурс, а не Медуза...

anonymous
()
Ответ на: комментарий от MozillaFirefox

это Apple себе может себе позволить, на iOS разрабы будут и по две недели в очереди стоять, чтобы в стор попасть.

Дело не в времени. Две недели плюс/минус не большое дело в выкладывании расширения.

Дело само собой в деньгах. Если собирать по сто долларов в год с каждого разработчика, то само собой можно делать нормальные проверки.

А так в 2014 каталог расширений от Apple для Safari был жуткой помойкой. Но и выкладывать туда можно было бесплатно. Там прям ссылки вели либо на давно уже сдохшие ресурсы, либо чуть не XXX шок контент. Намного хуже были дела чем у хрома или фурифокса.

А теперь платно, и такого безобразия нет.

бюрократия отпугнёт разработчиков

Я писал расширения для всех браузеров, кроме фурифокса. Отпугнул наркоманский XUL. А подождать даже две недели без всяких дополнительных усилий – это не проблема. Это и не бюрократия, бюрократия – это когда тебе надо по десяткам кабинетов бегать, и кучу бумаг заполнять.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)

Технари. Тёмные души, совершившие второе грехопадение. Вы отказались от Природы и продали себя машинам.

Что ж, пожинайте плоды своей компьютеризованной цивилизации. Это — только цветочки и проба пера. Скоро копаться будут напрямую в ваших мозгах. Но это ничего. Многие с радостью позволят делать и такое. Интроекция необходимых идей получаемых через невинно-безобидные sci-fi мотивы в массовой культуре проходит успешно. Потребители технологического чуда — «гики», «трансгуманисты (дегуманисты)», интернетчики — уже сейчас готовы отбросить любые соображения ради толики виртуального (и именно виртуального) могущества. Десятилетия нагнетания «вау» перед гирляндами калькуляторов — пищащих примитивные мелодии, горящих примитивными картинками — не прошли даром. Выращена идеальная зомби-армия нового мира, уже не замечающая, откуда получает указания, чему радоваться и что поддерживать. «Мы за прогресс», «Мы за развитие», «Машины знают лучше нас», «Мы просто жалкие куски мяса» — скандируют заблудшие.

Иначе и не могло бы вести себя это существо, рожденное в чересчур хорошо устроенном мире, где оно привыкло видеть одни блага, а не опасности. Его избаловало окружение, домашнее тепло цивилизации — и «маменькина сынка» вовсе не тянет покидать родное гнездо своих прихотей, слушаться старших и уж тем более — входить в неумолимое русло своей судьбы.

А как иронично, что очередное коллективное помрачение развернулось под флагом «поддержки науки и научного метода»!
О, на авторитете науки действительно можно развернуться, излюбленная тактика любых шарлатанов. А что вы думали. Бабульки покупвют «средство от рака», а внучки уже достают кошельки чтобы приобрести «таблетки от смерти». Бабульки читают «ежемесячник уфологии», а внучки с серьёзными мордами обсуждают «методы общения и обнаружения внеземных цивилизаций» и какие там двигатели.

Я всё жду когда вас опишут. И быть такими станет стыдным примером для всех.

anonymous
()
Ответ на: комментарий от anonymous

Красиво написано. Это паста или ориджинал контент? Где ещё можно почитать такого качественного?

anonymous
()
Ответ на: комментарий от anonymous

Вы отказались от Природы и продали себя машинам.

Любое слепое поклонение, будь то поклонение «Природе», поклонение «Технологиям», поклонение «Богу», поклонение «Науке», ведёт к деградации. Во все времена большинство всегда следовало за мейнстримом, не утруждая себя остановиться и задуматься, куда этот мейнстим ведёт и кому от него есть реальная польза.

Иначе и не могло бы вести себя это существо, рожденное в чересчур хорошо устроенном мире, где оно привыкло видеть одни блага, а не опасности. Его избаловало окружение, домашнее тепло цивилизации

И да, чтобы это самое большинство начало задумываться самостоятельно, конечно нужно поместить его в очень неблагоприятные условия, где отсутствуют готовые ответы. Многие сдохнут, конечно. Но кто выживет — станет сильнее.

Собственно, это в обсуждаемой тут «природе» человека и других животных и заложено — если вокруг тепло, светло и кормят, то зачем рыпаться. Чтобы этого не было, надо выходить за пределы этой самой «природы» — о чём и говорят (всегда говорили) и лучшие трансгуманисты, и лучшие проповедники, и лучшие философы. Только вот их куда легче понять превратно, чем действительно услышать и начинать что-то делать.

anonymous
()

Как кичились, а оказалось, что насовали себе в зад зондов. Вся суть.

anonymous
()
Ответ на: комментарий от anonymous

Ты опять выходишь на связь?

anonymous
()
Ответ на: комментарий от bread

Есть же православный links, интересно ЛОР там заведется?

Завелся, все отлично. Отстраняю зондофокс от тырнетов. А еще в линксе из коробки нормальная темная тема, сабж ненужен (как и носкрипт), хаха.

bread
()
Ответ на: комментарий от bread

Завелся, все отлично.

Этот коммент из линкса написан?

Жаль, анонимусам так нельзя. С некоторых пор гуглокапча без жабоскрипта не работает.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.