Topic: [ru] Браузерное расширение BPIP (Read 1365 times)

Практически ни один продукт не даст гарантированную безопасность из "коробки", вариант только один - для начала определить для себя, от чего есть желание защищаться, а после этого уже выстраивать защиту.  К примеру, для одного человека важно, чтобы Гугл не собирал информацию про него, а для второго важно то же самое, но только вместо Гугла - Яндекс.

Тебе напомнить, как ты Java от JavaScript не отличаешь? 
Давно таких импозантных клоунов не видел.

Да ещё и с меню пуск головного мозга. 

Точно, а кокосы для негров. Причем тут негры? Да ни при чем, как и все остальные твои высеры.

Нахожу, но результат в обоих случаях одинаковый - пользователь становится всего лишь батарейкой для корпораций. Если отбросить теории заговора, то Гуглу давно не требуется собирать внутреннюю информацию ПК, потому что пользователи сами отправляют её в облако Гугла.


Странно винить браузер, передавая личную информацию третьим лицам. Предположим кто-то напишет свой чистый браузер, под свою самописную ОС, на разработанном им же железе, которое работает на его же самописных прошивках. Как это всё поможет ему защитить свою информацию, которую он сам же и отправит на удалённую неподконтрольную машину (сервер)?

Интересно, как сильно разнятся мнения относительно безопасности браузеров. Делаю для себя вывод, что используя любой браузер можно не рассчитывать на полную сохранность личной информации.

ну то, что может нашпионить поисковик Гугла, и то, что нашпионивает сам браузер Хром немного разного полета птицы, не находишь? Начиная с того, что Хром может просто собирать внутреннюю информацию ПК, в отличии от поисковика который максимум может собирать куда ты ходишь и что ты смотришь. Так что немного такое себе сравнение.

При этом, ты конечно правильно заметил. А то у многих есть какие то древние представления, мол Линуксы, Фаерфоксы и прочие работают на Божьей Благодати, а разработчики какают радугой.

Это ложь.
https://techcrunch.com/2017/11/14/mozilla-terminates-its-deal-with-yahoo-and-makes-google-the-default-in-firefox-again/


Уметь вертеться не равно быть соперником. Мозилла пока что только своих пользователей вертит. Я разве предлагал не интегрировать поиск? Интеграция поиска не обязывает обеспечивать слежку за своими пользователями.


Менеджменту не пришло в голову, потому что в Гугле не дебилы работают и понимают что иллюзия конкуренции выгоднее настоящей конкуренции. Дешевле раз в год заплатить пару сотен миллионов долларов Мозилле, чем бороться с реальными конкурентами, которые не согласятся на партнёрство, а то и вовсе начнут другой поисковик систематически продвигать.

Уверен он.

Пользуйся Tor Browser и тогда можешь быть уверен. А в остальном даже Линус Торвальдс не уверен

Я уверен что любой браузер собирает инфу о вас и выбирать какой из них делает это больше или меньше - это не самое лучшее занятие. Конечно же можно попытаться снизить риски и увеличить свою анонимность. Лису в свое время я выбирал не потому что она была лучше хрома (его даже тогда еще не было) и опера тогда была еще крутой и IE массово использовался, особенно в коммерческом сегменте.

Как это батарейка садится на час раньше? Ты же яблочник. Пользуйся кошерным Safari, он специально оптимизирован для твоего железа. Вот что случается когда ламер еще и потерплядь

У тебя походу шарики заролики в голове шуршат? До сих пор пользуешся устаревшими лэптопами с шумными вентиляторами? Ну ты и слоупок. Все уже давно на ARM планшеты перешли под Win10. Не то что твои Mac лэптопы с архитектурой под x86 - x64. Планшеты с iOS не считаются - там меню пуск нету - там даже в Ворде не поработаешь нормально

Запомните
Хром для планшетов
Сафари для Маков
Опера для Винды
Мозилла для Линукса

Меня в защитники хрома не записывайте. Я один из тех эникейщиков, который с лисой начиная с версии 0.10 и до сих пор. Но если что-то вдруг не работает на каком-то сайте, то открываю хром и о чудо! В хроме работает всегда. Прямо как раньше в ишаке проверял, сейчас хром является эталоном: если не работает в хроме, значит с сайтом точно что-то не так.
Ну и хромиум уже де-факто превращается в стандарт для разработки сторонних браузеров и кроссплатформенных веб-приложений. Просто мозилла так часто размораживала свои замороженные интерфейсы, что к ее движку уже никто серьезно не относится.

С хромом батарейка садится на час раньше и вентиляторы постоянно шуршат. Сами пользуйтесь этим "намного лучшим" говном.

Хром, наверное, самый тормознутый сейчас и больше всех памяти жрёт. Так что в топку его.

Все еще прозаичней.
Ишак пытался в себя запихнуть больше, чем были в состоянии пережевать его программисты. В итоге ишак стал настолько неповоротлив и сложен в настройках, что с появлением легкой и понятной лисы, на нее перешли сначала все эникейщики, а за ними, по понятным причинам, на лису перешли клиенты эникейщиков.
Хром по началу был в качестве догоняющего и ему пришлось не хило так вложиться в маркетинг а-ля "самый быстрый трололо". В результате на хром перепрыгнули сначала жены эникейщиков, потом эникейщики, потом... ну вы понели 
Сейчас положение дел такое, что хром реально имеет намного лучший код и лучших программистов чем мозилла. Так что если кого-то и хоронить, то боюсь дело пахнет скорее лисьими потрохами.

Ну так то гугл и его рекламная платформа. С момента выхода Chrome, у мозиллы с гуглом больше романов нет.

В общем, да. Не хочешь банкротства - умей вертеться. Да и не имеет смысла не делать то, что все равно придется делать... Ибо нельзя не интегрировать поиск, когда все конкуренты это сделали, ведь тогда казуальному хомяку твой продукт будет не нужен.

Всё немного прозаичнее. Когдаты монополист, ты можешь писать в стандартах что хочешь и соглашаться с чем угодно, тебе все равно необязательно это реализовывать. Именно этим майкрософт и занималась со своим IE. Было все замечательно в стандартах, которые сама же майкрософт и одобряла, а потом нихрена из этого в IE не реализовывалось. Даже и трети из одобренных самим же майкрософт предложений. В итоге, разработчики конкурирующих движков реализовывали поддержку стандартов, как идиоты, заранее зная что тем же xhtml пользоваться никто и никогда не будет, "потому что IE". Пока что хромиум не стал IE, но только потому что никому пока в менеджменте не пришло в голову, что можно " оптимизировать затраты", как это делал майкрософт. Вот тогда и начнётся веселье.

Существует множество бесплатных способов связать устройства. Корпорациям незачем выкупать у Мозиллы непосредственно пользовательские данные.


Что значит имеет шансы? Он им уже давно стал. Спецификации HTML и DOM с прошлого года официально в руках корпораций, а W3C только записывает за ними.
https://www.opennet.ru/opennews/art.shtml?num=50764
Кого-то возможно радует что Mozilla одна из этих корпораций, но я этот оптимизм не разделяю. Остальным корпорациям в лице Microsoft, Google и Apple, необязательно прислушиваться к Мозилле и она никак не помешает им вертеть веб под себя.
1998-1999 годы это не все 90-е. До этого синонимом браузера был Netscape Navigator. Финальный релиз IE 5.5 вышел 8 июля 2000, бета вышла 25 декабря 1999. Даже финальный релиз 5.0 вышел только под конец 90-х 18 марта 1999, а за день до этого завершилась сделка по поглощению Netscape Communications Corporation AOL'ом. Доля Nescape Navigator на тот момент была выше 40%.



Продажа происходит опосредованно. Мозилла подсовывает своим пользователям "правильные" поисковики и получает за это деньги, а шпионят за пользователями сами поисковики. Выручка Мозиллы за 2018 год составила $429 миллионов и бОльшая часть этой выручки получена от поисковиков. Мозилла продаёт пользователей на убой мясокомбинатам во имя борьбы с этими мясокомбинатами?
https://arstechnica.com/gadgets/2020/01/mozilla-lays-off-70-people-as-non-search-revenue-fails-to-materialize/

Если в Гугле что-то поискать, то Гугл потом выдаёт рекламу по теме поиска. Закономерность есть, только к Мозилле она отношения не имеет.

Так выглядят те, кто помнит как "IE 5.5" было синонимом для "браузер". Хромиум имеет все шансы стать новым IE, то есть унылым монопольным говном.
Если хочется в нью-девяностые, то пользуйтесь хромом на здоровье.

Вот когда они покажут пруф в коде и объяснят, как продажа происходит, тогда это "бытующее" мнение и будет что-то значить.
А до тех пор оно может бытовать, сколько влезет.

Всё довольно просто:

https://www.youtube.com/watch?v=4xkmQET2zbo

Человек животное слишком мнительное, а потому склонно видеть закономерности даже там, где их нет.

Так вот как выглядят донатеры Лисы))

Бытует мнение что они и пользовательскими данными приторговывают. Я на всех своих машинах пользуюсь мозиллой и давно заметил что для контекстной рекламы даже аккаунты не нужно объединять, достаточно где-то поискать новые шины на патрол и вуаля - теперь тебе пихают шины и шиномонтажки везде, где ты бы не засветился. Видать не хватает "лисам" твоих $300, они икорку тоже кушать хотят)

Раз тема зашла про копилки, наверное некоторые слышали о таком сервисе как фейкдетектор. Сервис обнаруживает было ли вмешательство пользователя в настройки браузера,и тем самым показывает самые важные моменты, которые следует изменить.

http://www.f.vision/
информация с форумов см поиск

 

Не такой уж и секрет. К примеру, у меня настроена подписка, каждый месяц снимается $300 с карточки в пользу Mozilla Foundation.
Не весть какая большая сумма, но такие пожертвования делает много кто, в том числе и разного рода организации.

Ну если говорить честно, то Мозилла тоже не святошами разрабатывается из швейцарских храмов. Здесь стоит задаться вопросов как они получают бабки на житье бытье и разработку.

По поводу ВПН - спасибо за вот эту ссылку https://browserleaks.com/

Я помню через Фаерфокс подключался через один ВПН, и там он сразу меняет язык браузера и так далее на тот, к стране которого ты подключился. Иначе по тем же java скриптам можно и время твоего компьютера посмотреть, и язык, и тайм зону и догадаться что странно, айпи японский а время то белгородское 

Да, у меня есть кака-никакая репутация, что явно никогда не помешает, так это всегда проверять мои слова, о всем, Линуксе, Монеро, приватности и пр.

По Питону пока нет времени (дошел до классов и написания тестов), приятно что следишь.

Ратимов, не Ратимов, мне пох кому 20 меритов отдать за перевод материала.

З.Ы. А вот ссылок ты упорно не видишь и не комментишь!  

Если вы видите эти ссылки, значит вы не xenon131:

• https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/
• https://spyware.neocities.org/articles/brave.html
• https://github.com/brave/browser-laptop/issues/1877

---

А вот есть норм чувак, open source-щик, который красиво разобрал Brave по полочкам, и который явно больше ресёрча слелал чем xenon131:

https://www.youtube.com/watch?v=8qeG5vJhCMs

Но все равно, он этого не увидит, и спрыгнет на Ратимова, мерит, Мозиллу, Иисуса, Элвиса, только не по теме.

Вот тут можно все посмотреть о чем пишет TheFuzzStone

https://www.youtube.com/watch?v=trkUyrYObVQ
https://www.youtube.com/watch?v=8gXXQhKAFN0

Ты даун, или слепой? Пройдись по пунктам от 1 до 4 и почитай о любимом Brave.

Не, ну точно даун. Мне как будто нечего делать, а генерить контент для форума.
Предложил заработать Мерита за честный труд, чтобы другие знали, что такое Brave, а ты подумал что мне этот перевод надо... (рука-лицо)
А по поводу "авторитетнейший", так что, тебе подгорает, или как?

Это вот эта ссылка: https://news.ycombinator.com/item?id=18734999

А вот инфу по другим ссылкам, ты как то не комментишь, как будто слепнешь и не видишь. Давай еще раз, вот чем является твой любимый говно-Brave:

• https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/
• https://spyware.neocities.org/articles/brave.html
• https://github.com/brave/browser-laptop/issues/1877

Оуу, вот и приехали! Я заказной, от Firefox, на Brave гоню. Талант, вы, сэр.

Переводи. Я видел пару твоих переводов, норм.

Он, вроде бы, просто попросил сделать тему с переводом, нет? С чего ты взял, что не понимает?
Телепатия, наверно, не иначе.

Я там копался лично, ручками своими любимыми, при этом, гуглил инфу об каждой непонятной мне включаемой/отключаемой опции:

• https://github.com/ghacksuserjs/ghacks-user.js/blob/master/user.js

И ты хочешь сказать, что то, что ты тыкнул 5 галочок (а может и меньше) через UI-йку в говно-Brave, сделало тебя приватным?
Да, теперь я тебе верю -- в токен ты не вложился, ты просто наивный.


А раз ты наивный (плюс не умеешь пользоваться Гуглом), дарю инфу, без регистрации и смс:

1. Во-первых, погугли об их автоматических говно-Brave обновлениях, и куда они стучаться (пссс, это серваки Амазона, только никому не говори, это приватностЪ), и что эти обновления ты НЕ отключишь через настройки браузера, вот здесь народ за житуху трёт, там же и ответ одного из разрабов:

"Мы не планируем добавлять в UI возможность отключать обновления..." -- ну и да, как всегда, пугают "риском", под который попадут все пользователи, которые хотят это отключить. А они пиздатые, за вас все уже продумали. Ну, в общем, как ты сказал выше -- "все открыто", верно?

Когда ты сказал о "правильной настройке", без сарказма, я подумал что ты запустил WireShark, посмотрел куда этот блядский Brave стучится и добавил правила для своего фаерволла, чтобы эта мразь "сидела локально и молчала". Но я чуть не угадаль.

2. Прошлогодний проёб со стороны Brave: https://www.bleepingcomputer.com/news/security/facebook-twitter-trackers-whitelisted-by-brave-browser/. Пиздуны они. Откуда знаю? Потому что у меня все известные трекеры блочатся уже годами, включая трекеры от ФБ, Твиттера и той хуйни, что в их списке. И, о мистика! -- У меня все работает как надо.

3. Еще здесь кое что есть: https://spyware.neocities.org/articles/brave.html

4. Тут тоже кое что интересное: https://news.ycombinator.com/item?id=18734999

Кстати, я не говорю что все идеально в Firefox сразу после установки, но, имхо, лучше чем в говно-Brave. Я когда им пользовался, тестил, ну хуле, форк Хромиум с говно-токеном, не более.

Тому, кто качественно переведет с инглиша эту инфу о Brave, и красиво оформит отдельной темой, с меня 20 меритов.

EDIT.
Пост для тебя наивного и криворукого писал.
Надеюсь тебе стыдно, за то, что ты не дружишь с поисковиками, и за то, что отнял у меня время.


Чувак, я уже выше увидел твою "правильную настройку", пожалуйста, не надо.

Инфа выше, читай.

Честно, мне похуй. Ты, должен заботиться о своей приватности, а не я.

А ты показался дурачком в этой ситуации (со своей "правильной настройкой, и верой что "там все открыто"). А я когда то думал, что ты более прошаренный в этом вопросе.

А теперь не выё, а иди кури инфу.

Ага, понял, вот и конец твоей "правильной настройке", которая основана на доверии к компании Brave и её партнерам рекламодателям, а также кликбейт-контенту контенту в стиле  -- "Брейв приватен!"

Ну так и скажи: "Натыкал галочек и все вдруг стало приватно:  privacy mode ON."

Почему бы не проверить мои слова? Тебе Гугл лень заюзать?

И по второй части... так, получается ты не знаешь в чем он говняный, а все равно продолжаешь говорить что "там все открыто, норм браузер".

По нынешним временам, написать собственный браузер может любой студент за неделю или его преподаватель за один день. Только вот кто из этих песателей аудировал код хромиума и электрона на возможные закладки от правильных пацанов?
Попробовал только что на сайте https://browserleaks.com/ связку VPN + tor браузер, в принципе неплохо получилось. Даже близко ничего похожего на себя не нашел  
Зато VPN + обычный браузер, когда ему разрешил гео API, выдал практически полный домашний адрес, только номера квартиры не хватает.

Разбираешься в пуках? Ты действительно хочешь срачь начинать?
Или ты действительно настолько наивен, что профит компания, которая стоит за Брейв (рекламная контора), прям трясется над твоей приватностью?
Или ты наивный, или вложился в их говно-токен.

А для меня говно, которое ничего не имеет общего с приватностью.

Ой, а ну ка расскажи нам здесь, как правильно ты его настроил? 

Надо бы? Кому?  
Еще бы сказал: "ты обязан обосновать".  

Если бы тема шла о чем то более сложном, понимаю, мало инфы, надо делиться (я только за). А когда речь идет о том, чтобы чуток погуглить... сорри, я за других Гугл юзать не буду.

EDIT.
Хотите чтобы я за кого то гуглил, пожалуйста -- типните мне пару баксов в Лайтнинге https://tippin.me/@thefuzzstone, а я за вас Гугл буду юзать. 

Поздно отказыватся. Ты теперь не анонимус. Твои фоточки с бинанса - нам известны
Какой ты анонимус - если ты KYC прошел на дырявом Бинансе?

Шутишь чтоли? Тут полфорума ФСБшников. К одному юзеру уже приезжали пативены, а ты говоришь что не надо тяжелый тор использовать

Отедляться надо, свою UA-локаль создавать надо, недоступную для гебистов

Я как раз и написал о том, что через впн и тор делать можно, а что не нужно, не ограничиваясь абстрактными и надменными фразами наподобие "нужно просто быть осторожным и понимать что ты делаешь"


Первая часть относилось к впн. А вот следующее к тору:


Я не зря использовал слово "незаконный". Ибо так и есть. Тут правда есть одна небольшая грань: форум российских экстремистов не запрещён где-нибудь в Индии, и для него достаточно индусского или китайского впн провайдера - ну будет знать Раджа из Дели, что Вася из Новосибирска кухонный революционер, думаю, это можно пережить. А вот другой запрещённый во всех цивилизованных странах контент уже требуют тора. Так что не надо лить за тор и боязнь за жизнь, это смешно. Я сам против цензуры, но смысла использовать тяжёлый тор, чтобы попелосить "эту страну" не вижу.

Короче я придумал
Я завел себе второй комп. Купил симкарту оформленную на бомжа + USB модем
И оттуда пользуюсь палевным расширениями от сачмуна

Теперь можете беспалевно заниматься промошеном своих свистелок и перделок.
Эй сачмун теперь можешь обмазываться не свежим говном и драчить без упреков

Ага, мне ссылку на эту тему в Телегу кинули...
Форум тухнет, уже не знают какие костыли придумать, чтобы народу было интересно здесь время проводить.

Да и что здесь рассказывать, Balthazar прав:


Юзай и другим советуй, и не бойся, что тебя читают -- https://gnupg.org/

Здесь Balthazar тоже прав:

P.S. Brave - говно. Хочется приватности? Юзайте Firefox и крутите гайки: https://tgraph.io/Reliz-Firefox-71-osnovnye-novshestva--paru-rekomendacij-po-ego-nastrojke-i-brauzernym-rasshireniyam-12-13

Использование данного расширения просто бессмысленно.

Не знаю что там пишет корнер, но на Линуксе Kill Switch делается за две минуты, и ничем не надо "сверкать".  

Нет, нужно просто быть осторожным и понимать что ты делаешь.

Да, то есть -- нужно просто быть осторожным и понимать что ты делаешь.

И кого ты в onion хочешь атаковать? Может быть свой банк? Или какую нибудь бухгалтерскую контору? Или свой ЖКХ?  

И все, больше ни для чего?
В onion нет цензуры, а значит есть все, от незаконного (оружие, наркотики, и пр.), и до всяких политических форумов, и других сообществ, где людям приватность просто необходима, чтобы не подвергать риску свою жизнь -- почему это не упоминается? А, да, ведь политикам пиздунам популистам так прикольней шугать быдло: "В Tor одни педофилы! Запретить!!11!!!1"

По уникальности твоего браузера, а там прям куча всего интересного, типа cookies (кросс-платформенная слежка в подарок!  ), Flash, Silverlight, Canvas, шрифты + утечка DNS и пр.

Тестить свой браузер на уникальность здесь: https://browserleaks.com/

А теперь смотри как все просто. Ты говоришь о "миллионах машин" в сети... Подумай, а сколько с тех миллионов установили это расширение BPIP (или как оно там, сорри, мне лень посмотреть шапку темы)? Пусть будет 1000 (что является очень раздутым кол-вом пользователей), ок, дальше. Беремся за твой VPN и тайминг атаку (припустим твой VPN-провайдер не ведет логи) -- анализируем твою активность на форуме (она открытая для всех), именно активность-постинг. К этому всему имеем куки (которые ты вряд ли чистишь вручную или каким то софтом), разрешение экрана, шрифты, версию системы, user agent и пр. интересные вещи, которые лично тебя отличают от других машин (уникальный отпечаток).

Что делаем имея все на руках? Ждемс твоей активности (а параллельно ты еще точно где то залогинен, а может и DNS течет, что вообще было бы отлично для твоей поимки), и как только видим твою активность -- общаемся с твоим VPN-провайдером, который сдаст тебя (понятно, что здесь надо предварительное общение, предоставление материалов твоего дела и т.д.).

То что VPN-провайдер не ведет логи, это не значит, что при поступлении запроса от служб (и предоставления "пруфов") они не будут сотрудничать. Как раз и наоборот, будут сотрудничать как миленькие.

Тот же ProtonMail (-VPN) сотрудничает при запросе служб, когда какой то очередной альтернативно-одарённый даун юзает ProtonMail чтобы "минировать" вокзалы и пр.

И это только один из возможных векторов атак.

Пусть каждый решит сам для себя -- становиться ли действительно уникальным в сети, благодаря этому расширению, чтобы взамен получить какие то значки над профилями.

Я, пожалуй, откажусь.


З.Ы. Я только проснулся, так что в этом посте могут быть ошибки, сорри. Данный пост ни к чему не призывает. Думайте своей головой.

1) BPIP тормозной и медленный. Информация обновляется медленно. В Loycev все быстрее и там самые актуальные логи

2) Создатель расширения BPIP - анонимус. Устанавливать непонятное расширение от анонимуса - экстрим на любителя. Да еще с такой сомнительной репутацией на форуме

3) JAVA тоже дырывая - все через Яву может утечь.

Красивые иконки в обмен на конфиденциальность. Уж увольте. Я итак знаю по памяти кто в DT, а кто не в DT

Плюс ты сачмун Ратимову не угодил. Отсутствует расширение на Opera. Сдался ему тормозной Фаерфокс или глючый Хром.

Расширение подключается только к bpip.org. Вот что отправляется и получается на обычной странице со всеми включенными функциями:


Edited 2020-11-30 to fix a broken image

Содержание POST-запроса:


(номера пользователей для получения информации о статусе/DT).

Заголовки запроса - такие же, как если бы вы посетили bpip.org, стандартный запрос «fetch» из браузера, с «origin» указывающим на расширение:


Edited 2020-11-30 to fix a broken image

Если вы не используете дополнительные функции, ничего не отправляется и не принимается, и расширение показывает только значок «(i)» со ссылкой на BPIP.

Ссылки на bitcointalk вместо информации об авторе расширения достовляют. Расширение от анонимуса

Доказано технически. Я включил сканер портов и обнаружил что расширение подозрительно куда-то передает трафик. Сервера логгируют и складывают в картотеку ваши метаданные. Короче всю инфу об отпечатке браузера расширение передает сразу на сервера.

Google и Mozilla не позволяют обфусцированного кода в расширениях.


Альт аккаунт не нужен. Расширение может работать без логина.


Это просто факт, так работают разрешения. Если расширение может добавить HTML на страницу, оно также может читать HTML. Но это расширение не читает ваши ЛС, и вы можете проверить это в исходном коде.


В Мозиле это можно отключить. Про Chrome не знаю.


Если вы используете Chrome, не обращайте внимания на эту ошибку. Это настройка для Firefox.

Но в любом случае будет риск, что изначально в расширение встроена функция отправки того что вы набираете в полях ввода. Ведь не обязательно включать это только после установки при обновлении.

а если я скачал с гитхаба и установил распакованное то как оно будет обновляться?
в манифесте есть  
Но мой браузер сказал что это ошибка  


Всё короче упирается в обращение к сайту BPIP и недоверию у некоторых к нему...
Что туда отправляется всегда можно посмотреть в коде... и даже поправить если есть желание.


Чего ты истиришь как вРотимов? Он тебя укусил?
А тут смотри лосев сам мерит даёт в этой теме  https://bitcointalksearch.org/topic/m.53827039

Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело

Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT

SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ

1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

В какой строке какого файла это смотреть?
И если поставить скачанный из  https://github.com/3s3s/bpip тоже будет тянуть обновления? Откуда? В какой строчке это поправить.

Вот вот вот. Я тут с пелосой согласен.

А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.

Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные

Пока нет факта сбора данных то как можно разработчика наказывать трастом?
Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.

Короче минус в траст сачмуну за троянское расширение. К маднесу и его переводу - претензии нет

О чем и речь

Даже Ратимов не доверяет сачмуну.

Вердикт: данное расширение является эксплойтом эксплуатирующее уязвимость к социальной инженерии методом внушения полезности расширения при помощи мнимого авторитета сачмуна

минус в траст сачмуну

Не оффтоп. В расширениях Firefox можно вызывать функции нативных библиотек из Javascript. Никаких проблем с этим и сейчас нет, если надо. Там своя реализация FFI, похожая на питоновскую, называется js-ctypes. Пиши обертки для любой библиотеки и вызывай.  Её вроде бы собрались удалять, но пока работает по-моему.

Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.

Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

А вот и сачмун проговорился намекнув что в будущем встроит в свое расширение следящие компоненты

Тут видно что KZV заодно с сачмуном

И странно еще что reddish11 поставил этому калу мерит. Все это странно очень

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Ну как видно - не вызывает подозрений. Откуда расширение из сабжа берет информацию о пользователях? Оно обращается за этой информацией на сайт BPIP ! А в строке обращения можно послать все что угодно.

Разве применение скриптов в браузере не ограничено средой самого браузера?


Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?

Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.

Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.

А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?

Это не про расширения, а приложения. Разные вещи. Расширений изменения никак не коснутся:

Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html
Стоит оно 5$ но иметь своё личное расширение для хрома которое будет актуально до 2022 думаю нужно каждому  кто доверяет браузеру

"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.

Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.

Аддон, загруженный с сайта хрома или лисы, будет автоматически обновляться на новые версии. Это не очень хорошо для безопасности приватных данных конечно.
Но можно собрать расширение и распространять его через сторонний сайт или облако, тогда обновлять/не обновлять можно будет только вручную.

Могу но не буду?
А вдруг когда нибудь захочется?
Очень сильное искушение.
В целом, приложение может быть интересно специфической группе людей, криптанам оно не надо.
Давайте позовем Фузстоуна, он вам расскажет про анонимность, так как после установки приложения, анонимностью тут и не пахнет.

Да ты просто троль   слил тут всем свою фамилию держал в открытом доступе все свои данные а теперь из личной неприязни зажимаешь мерит за перевод дать? Похоже и вправду пора тебя на свалку отправлять совсем плохой стал меритсорс. А для того что б забанить осталось доказать связь между тем кому ты больше всех мерита дал и тобой   причём когда ты мерит раздавал на ранних стадиях.
Вон учись у kzv без шума пыли и понтов делом занимается.
Данное расширение должно быть opensource и всё  

Речь о расширениях. Встроенная функциональность браузера, разумеется, может видеть все что хочет, но это же браузер.. Если к браузеру нет доверия, тогда просто надо пользоваться другим браузером.

а зачем светить?   

VPN и так ведут логи и предоствляют их куда надо по первому чиху(это всегда так было, очень давно!),
ну а тор при записи траффика(даже не расшифрованного!!) раскручивается как нефиг делать...


PS  думаешь мы просто так все тут на 1 аккаунт залезли?..

PPS  оптимальна комбинация VM одновременно на частных территориях и датацентрах, со связями через тороподобные штуки, но _только не в реальном времени_!..

еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?

На личной идентификации никак, но, например, вы пишите в личной информации аккаунта, что живете в США, а по факту по часовому поясу и по языку, который вы используете в Виндовс можно определить, что предположительно место вашего проживания Нидерланды. И это только при посещении сайта.

А при использовании расширения, считайте все что вы открываете и набираете в браузере теоретически имеет возможность отправляться в "далекие края".

Длпустим, вычислили, что я использую VPN и вычисленный IP не реальный, вычислили время моей машины, разрешение экрана и т.д. Как это вообще может отразиться на моей идентификации, если таких машин миллионы в сети?

Как по мне так проще залезть на сам bpip и посмотреть интересующего пользователя, чем создавать альтаккаунт и потом еще ему скармливать ссылки на нужные страницы.

---

VPN только скрывает ваш IP адрес, больше ничего он не делает (кстати про VPN в том числе TheFuzzStone хорошую статью написал). Если расширение не только "может":


А будет считывать и отправлять куда следует информацию, то вас не спасет ни VPN, ни даже Tor.

Более того, даже само посещение того или иного сайта может собирать о вас информацию, например определять по IP страну, и проверять соответствует ли время на вашем компьютере часовому поясу страны, на основании этого делать вывод ваш ли это IP или вы его прячете.

Если использовать любой ВПН (даже самопальный) это уже само по себе опасно. То же касается и тора. Эти технологии придуманы прежде всего для проведения атак и для анонимного получения незаконного контента, а не для того, чтобы своими данными светить, логинясь на форумах, почте, в онлайн-бэнкинге ( )

Хаха, чувствую не зря тему перевел, опять очень жаркая дискуссия намечается. Полагаю нужно увеличить размеры красного шрифта.  

Если использовать VPN, допустим Mullvad VPN, и опустошить всю переписку, использование данного расширения опасно? Не говорю сейчас про каких-то определенных пользователей. Понятно, что при разрыве VPN соединения можно сверкнуть своим реальным IP, не уж то, как пишет корнер, и реальный IP можно засветить?  

Я распаковал и на гитхаб выложил. Если у кого-то будет желание, можете исходник посмотреть. https://github.com/3s3s/bpip
После беглого просмотра ничего особо криминального не увидел. IP-шники они конечно могут логировать это факт. Думаю, что и связку "юзер - адрес" тоже с помощью этого расширения достать можно, но тут надо внимательней код смотреть.
С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?

Загрузка чего бы то ни было в свой браузер, а не только этого расширения - строго на свой страх и риск. Если есть основания беспокоиться о приватности, то подобные расширения можно использовать в отдельном браузере с залогиненным альт аккаунтом. И комбинировать с расширением вроде ZenMate.

Абсолютно любое расширение так может, а не только это. Всякие адблоки и ютуб даунлодеры - та же фигня, все крутится в привилегированном контексте, в режиме бога относительно объектов страниц во вкладках и всего кода на них.

Вот оно че. Через JAVA дырявую все IP-адреса сольютеся в обход VPN.

Где гарантий что он и в будущем не будет обфусцирован?

Тут половина даже проксей не умеет пользоваться. Удачи вам собрать базу IP пользователей. В спорах со всякими краснодырцами - бесценный компромат будет

И куда только смотрит Теймос. Таких откровенных элементов троянского функционала под видом расширения я еще не встречал

Вот тебе официальная позиция Ксандри по этому поводу

А кто мешает использовать VPN? Также очистить всю переписку через ЛС, либо вообще не вести её посредством форума.

Короче готовьтесь к фееричным деанонам. Так мы вам и поверили насчет логов. Логи ведут все из соображений элментарной безопасности. И это каким надо быть болваном чтобы поверить в то что вы логи не будете вести. Все эти bpipы, piggy, лойсы, боты как раз и созданы на то чтобы логи собирать. Чем больше инфы сколлекционируют - тем лучше работают скрипты значит.

Ну олени - кому вы сказки рассказываете короче?

Отредактировано.
Модератор.

резерв

Благодаря стараниям пользователя suchmoon у нас появилась возможность пользоваться сервисом BPIP с любой страницы форума и получать дополнительную информацию, которая не отображается на самом форуме.

---

Внимание: это программное обеспечение бета-версии. Используйте его на свой страх и риск!!!

Последняя версия: 2.0.3

Что это?

Расширение веб-браузера (аддон, если говорить о Mozilla), которое предоставляет дополнительные возможности для форума BitcoinTalk.org, используя данные с BPIP.org. Оно активируется при просмотре страниц BitcoinTalk.org, таких как темы или профили пользователей, и добавляет небольшие иконки с дополнительной информацией о пользователях форума.

Что такое BPIP?

https://bitcointalksearch.org/topic/bpip-bitcointalk-public-information-project-back-in-action-5213618

Что именно делает расширение?

• Показывается ссылка на BPIP рядом с каждым именем пользователя: настраивается, по умолчанию включено.
• Показывается статус DT1/DT2 для каждого пользователя: настраивается, выключено по умолчанию.
• Показывается статус активный/забаненный/архивный статус для каждого пользователя: настраивается, выключено по умолчанию.

Первая функция добавляет иконку ("i" в кружке), которая является ссылкой на профиль пользователя веб-сайта bpip.org . Она является "пассивной", т.е. не посылает и не запрашивает никаких данных. Две другие функции получают дополнительную информацию с bpip.org и отображают её рядом с именами пользователей. По умолчанию они выключены. Чтобы включить их, перейдите к настройкам расширения (например, после установки нажмите на иконку расширения на панели инструментов). Пожалуйста, ознакомьтесь с информацией о конфиденциальности ниже.

Вот как это должно выглядеть, когда все функции включены:

https://bitcointalksearch.org/topic/bitcoin-02-released-16



Дополнительная информация приведена в иконках: DT1/DT2/INACTIVE (неактивен)/BANNED (забанен) .

Расширение шпионит за мной?

Мы не ведем логов ваших IP-адресов, когда расширение связывается с нашим сервером, но если вы не доверяете нам, вы должны использовать Tor или VPN. Расширение может технически считывать любые данные с вашей сессии BitcoinTalk, включая ваши ЛС, но оно этого не делает. Оно собирает идентификаторы пользователей со страницы, которую вы просматриваете - например, список сообщений в потоке - и отправляет этот список на bpip.org, чтобы получить информацию об этих пользователях, и делает это только в том случае, если вы включили эти опции (по умолчанию они выключены).

Расширение работает даже если вы просматриваете BitcoinTalk.org без входа в систему. Исходный код не обфусцирован и может быть изучен любым человеком, обладающим достаточными знаниями JavaScript, с использованием инструментов разработчика, встроенных в большинство браузеров. Те же инструменты могут быть использованы для проверки сетевого трафика от/к расширению.

Где найти это расширение?

Firefox и его деривативы, такие как Tor Browser, включая десктопные и Android версии: https://addons.mozilla.org/en-US/firefox/addon/bpip-extension/

Chrome и его деривативы/совместимые браузеры: https://chrome.google.com/webstore/detail/ecpfdlfjiabpdnlhmkmannofnmpdakkj

Для чего все эти вопросы большим жирным шрифтом?

Если вы зашли так далеко, значит это помогло, не так ли?

Если у вас есть другие вопросы или проблемы - пожалуйста, не стесняйтесь размещать их в авторской теме.

Любые комментарии приветствуются, но я бы хотел, чтобы эта тема была как можно больше сфокусирована на браузерном расширении BPIP. Все, что связано с BPIP, но не является специфическим для этого расширения должно обсуждаться в [BPIP] Bitcointalk Public Information Project [Back in Action].