Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело
Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT
SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ
Topic: [ru] Браузерное расширение BPIP - page 3. (Read 1365 times)
1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard
Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard
Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?
и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Вот вот вот. Я тут с пелосой согласен.и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Пока нет факта сбора данных то как можно разработчика наказывать трастом?
А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данныеВ какой строке какого файла это смотреть?
И если поставить скачанный из https://github.com/3s3s/bpip тоже будет тянуть обновления? Откуда? В какой строчке это поправить.
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?
и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Вот вот вот. Я тут с пелосой согласен.и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Пока нет факта сбора данных то как можно разработчика наказывать трастом?
А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные После прочтения данного пункта отпадает всякое желание добавлять такие левые расширения к этому форуму.
Променять вероятность, что кто-то потом будет копаться в твоих ЛС на красивые значки (которые тут как бы и так должны были быть, уже сколько просили за них)-это сомнительное удовольствие.
Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.
еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?Quote
Расширение может технически считывать любые данные с вашей сессии BitcoinTalk, включая ваши ЛС, но оно этого не делает.
Променять вероятность, что кто-то потом будет копаться в твоих ЛС на красивые значки (которые тут как бы и так должны были быть, уже сколько просили за них)-это сомнительное удовольствие.
Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.
и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?
Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.
Короче минус в траст сачмуну за троянское расширение. К маднесу и его переводу - претензии нет
Вердикт: данное расширение является эксплойтом эксплуатирующее уязвимость к социальной инженерии методом внушения полезности расширения при помощи мнимого авторитета сачмуна
минус в траст сачмуну
Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.
О чем и речьНу и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.
Даже Ратимов не доверяет сачмуну. Вердикт: данное расширение является эксплойтом эксплуатирующее уязвимость к социальной инженерии методом внушения полезности расширения при помощи мнимого авторитета сачмуна
минус в траст сачмуну
Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.
Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.
Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.
Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.
Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.
Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.
Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.
Разве применение скриптов в браузере не ограничено средой самого браузера?
Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.
Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.
А вот и сачмун проговорился намекнув что в будущем встроит в свое расширение следящие компоненты
Тут видно что KZV заодно с сачмуном
И странно еще что reddish11 поставил этому калу мерит. Все это странно очень
Also keep in mind that it would still need access to BPIP APIs, which are not documented and subject to change.
Тут видно что KZV заодно с сачмуном
Hi suchmoon!
I have downloaded, unpacked and published on github your extension https://github.com/3s3s/bpip
I have downloaded, unpacked and published on github your extension https://github.com/3s3s/bpip
И странно еще что reddish11 поставил этому калу мерит. Все это странно очень
Разве применение скриптов в браузере не ограничено средой самого браузера?
Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?
Ну как видно - не вызывает подозрений. Откуда расширение из сабжа берет информацию о пользователях? Оно обращается за этой информацией на сайт BPIP ! А в строке обращения можно послать все что угодно. 
Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?
Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Разве применение скриптов в браузере не ограничено средой самого браузера?
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.
Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?
Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?
Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.
А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?
А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет. Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.
А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?
Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html
Это не про расширения, а приложения. Разные вещи. Расширений изменения никак не коснутся:Quote
This change does not impact support for Chrome Extensions. Google will continue to support and invest in Chrome Extensions on all existing platforms.
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.
Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html
Стоит оно 5$ но иметь своё личное расширение для хрома которое будет актуально до 2022 думаю нужно каждому
кто доверяет браузеруС другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?
"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.
Аддон, загруженный с сайта хрома или лисы, будет автоматически обновляться на новые версии. Это не очень хорошо для безопасности приватных данных конечно.
Но можно собрать расширение и распространять его через сторонний сайт или облако, тогда обновлять/не обновлять можно будет только вручную.
Но можно собрать расширение и распространять его через сторонний сайт или облако, тогда обновлять/не обновлять можно будет только вручную.
Jump to: