Pages:
Author

Topic: [ru] Браузерное расширение BPIP - page 3. (Read 1449 times)

member
Activity: 140
Merit: 33
Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело

Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT

SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.
sr. member
Activity: 1932
Merit: 349
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Вот вот вот. Я тут с пелосой согласен.

Пока нет факта сбора данных то как можно разработчика наказывать трастом?
А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.

Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные

В какой строке какого файла это смотреть?
И если поставить скачанный из  https://github.com/3s3s/bpip тоже будет тянуть обновления? Откуда? В какой строчке это поправить.

member
Activity: 140
Merit: 33
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Вот вот вот. Я тут с пелосой согласен.

Пока нет факта сбора данных то как можно разработчика наказывать трастом?
А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.

Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные
legendary
Activity: 1309
Merit: 1016
После прочтения данного пункта отпадает всякое желание добавлять такие левые расширения к этому форуму.

Quote
Расширение может технически считывать любые данные с вашей сессии BitcoinTalk, включая ваши ЛС, но оно этого не делает.

Променять вероятность, что кто-то потом будет копаться в твоих ЛС на красивые значки (которые тут как бы и так должны были быть, уже сколько просили за них)-это сомнительное удовольствие.

Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Пока нет факта сбора данных то как можно разработчика наказывать трастом?
Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
member
Activity: 140
Merit: 33
Короче минус в траст сачмуну за троянское расширение. К маднесу и его переводу - претензии нет

Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.
О чем и речь

Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.
Даже Ратимов не доверяет сачмуну.

Вердикт: данное расширение является эксплойтом эксплуатирующее уязвимость к социальной инженерии методом внушения полезности расширения при помощи мнимого авторитета сачмуна

минус в траст сачмуну
legendary
Activity: 3108
Merit: 1359
Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.
Не оффтоп. В расширениях Firefox можно вызывать функции нативных библиотек из Javascript. Никаких проблем с этим и сейчас нет, если надо. Там своя реализация FFI, похожая на питоновскую, называется js-ctypes. Пиши обертки для любой библиотеки и вызывай.  Её вроде бы собрались удалять, но пока работает по-моему.

Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.
sr. member
Activity: 1316
Merit: 420
KTO EC/\U HUKTO?
Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.
member
Activity: 140
Merit: 33
А вот и сачмун проговорился намекнув что в будущем встроит в свое расширение следящие компоненты
Also keep in mind that it would still need access to BPIP APIs, which are not documented and subject to change.

Тут видно что KZV заодно с сачмуном
Hi suchmoon!
I have downloaded, unpacked and published on github your extension https://github.com/3s3s/bpip

И странно еще что reddish11 поставил этому калу мерит. Все это странно очень
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange

Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?
Ну как видно - не вызывает подозрений. Откуда расширение из сабжа берет информацию о пользователях? Оно обращается за этой информацией на сайт BPIP ! А в строке обращения можно послать все что угодно.
hero member
Activity: 1232
Merit: 858
Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.

Разве применение скриптов в браузере не ограничено средой самого браузера?

Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.

Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.
hero member
Activity: 1232
Merit: 858
А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.

Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?
legendary
Activity: 3108
Merit: 1359
А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.
hero member
Activity: 1232
Merit: 858
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.

Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.

А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
legendary
Activity: 3108
Merit: 1359
Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html
Это не про расширения, а приложения. Разные вещи. Расширений изменения никак не коснутся:

Quote
This change does not impact support for Chrome Extensions. Google will continue to support and invest in Chrome Extensions on all existing platforms.
sr. member
Activity: 1932
Merit: 349
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.

Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.

Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html
Стоит оно 5$ но иметь своё личное расширение для хрома которое будет актуально до 2022 думаю нужно каждому  Cool кто доверяет браузеру
legendary
Activity: 3108
Merit: 1359
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.

Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Аддон, загруженный с сайта хрома или лисы, будет автоматически обновляться на новые версии. Это не очень хорошо для безопасности приватных данных конечно.
Но можно собрать расширение и распространять его через сторонний сайт или облако, тогда обновлять/не обновлять можно будет только вручную.
Pages:
Jump to: