4 poin oleh GN⁺ 2023-08-10 | 1 komentar | Bagikan ke WhatsApp
  • Pemelihara Hover Zoom+ mengungkap proposal monetisasi dan akuisisi yang diterimanya untuk ekstensi tersebut dari 2015 hingga 2026, dan mengatakan ia terus menolak tawaran itu agar tidak menjual penggunanya
  • Proposal-proposal itu berulang kali menawarkan cara mengubah izin browser dan basis pengguna menjadi uang, seperti menjual data pengguna anonim, memonetisasi trafik pencarian, menyisipkan tautan affiliate, menampilkan iklan dan kupon, memasang SDK, hingga mengakuisisi ekstensi
  • Dokumen penawaran menekankan kata-kata seperti “anonim”, “tanpa informasi pribadi”, “tidak memengaruhi UX”, dan “patuh pada kebijakan Google”, tetapi tetap meminta data perilaku seperti error DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, dan kueri pencarian
  • Pemelihara menjelaskan bahwa karena Hover Zoom+ memiliki sekitar 400 ribu pengguna di beberapa browser dan berjalan di semua halaman, ini menciptakan permukaan serangan besar dan potensi keuntungan bagi pelaku jahat
  • Dalam diskusi komentar, pemeriksaan source code, peninjauan daftar izin, tab privacy practices di Chrome Web Store, ulasan terbaru, pemeriksaan permintaan jaringan, dan membatasi Site Access ke “On Click” diajukan sebagai cara praktis untuk mengurangi risiko ekstensi

Kekhawatiran yang diungkap pemelihara

  • Pemelihara Hover Zoom+ mengatakan selama bertahun-tahun ia menerima banyak tawaran untuk memonetisasi ekstensi, dan menegaskan bahwa proyek ini “dibagikan untuk kesenangan, bukan demi keuntungan”
  • Ia menjelaskan bahwa alasan terbesar tetap memeliharanya sendiri adalah karena sulit mempercayai bahwa jika diserahkan ke orang lain, mereka tidak akan tergoda oleh tawaran semacam itu
  • Ia mengatakan dirinya memiliki pekerjaan dengan kompensasi yang cukup baik sehingga bisa menjaga “kompas moral” dan mengabaikan proposal-proposal tersebut
  • Karena tidak semua pengembang memiliki stabilitas finansial yang sama, ia berharap thread ini bisa menunjukkan tekanan finansial yang diterima pengembang ekstensi

Jenis proposal monetisasi yang berulang

  • Banyak proposal mendekati Hover Zoom+ dengan alasan basis pengguna Chrome Web Store-nya bisa menghasilkan “pendapatan yang signifikan”
  • Pola yang berulang muncul sebagai berikut
    • Mengumpulkan data pengguna anonim untuk dijual sebagai penargetan iklan, riset pasar, business intelligence, atau data clickstream
    • Menambahkan pencarian Bing, Yahoo, Google, atau search lander/feed untuk bagi hasil dari kueri pencarian dan klik iklan
    • Menyisipkan store logo, affiliate link, atau tautan “Sponsored” ke hasil pencarian organik agar komisi dibayarkan saat terjadi pembelian
    • Menyisipkan format iklan seperti coupon, cashback, PopUnder, in-text, new tab, search injection, dan in-image monetization
    • Menambahkan SDK atau beberapa baris JS untuk mengintegrasikan pengumpulan data atau penayangan iklan ke dalam ekstensi
    • Mengakuisisi ekstensi itu sendiri atau menawarkan pemindahan kepemilikan Chrome extension tanpa memindahkan akun Google
  • Beberapa proposal menekankan monetisasi yang tidak terlalu terlihat oleh pengguna dengan frasa seperti “soft to hard methods”, “invisible monetization methods”, dan “does not interfere with UX”

Data dan nominal yang muncul dalam proposal

  • Salah satu proposal tahun 2015 mengatakan bahwa jika anonymous user data tidak dimonetisasi, pemelihara mungkin sedang “melewatkan banyak uang”, sambil menyebut jaringan iklan yang disetujui NAI dan IAB
  • Proposal riset error DNS tahun 2016 meminta data berikut
    • NXD, yaitu domain yang diketik pengguna tetapi tidak ada
    • Waktu kejadian
    • GEO
    • ID pengguna acak unik yang diklaim bisa di-hash dan tidak memungkinkan pelacakan pengguna
  • Dalam proposal sejak 2020, item seperti GEO, pengguna aktif harian dan bulanan, klasifikasi minat, URL, referrer, country, timestamp, browsing behavior, clickstream, dan browser history terus berulang
  • Nominal penawarannya sangat beragam
    • Tawaran pembelian ekstensi tahun 2016: $14,500
    • Tawaran integrasi analytics platform tahun 2020: $2,000/bulan
    • Tawaran monetisasi pencarian tahun 2020: mengklaim bisa menghasilkan $9,000 per hari untuk 300.000 pengguna
    • Tawaran integrasi SDK data marketplace tahun 2021: $30,000/tahun
    • Tawaran data tahun 2023: hingga $20K/bulan
    • Tawaran kemitraan clickstream data tahun 2024: $30,000~$40,000/bulan
    • Tawaran pembelian tahun 2024: $30,000
    • Tawaran pembelian tahun 2025: $0.05~$0.15 per pengguna
  • Pada akhir 2024, sebuah proposal monetisasi langganan memberi contoh bahwa dengan basis 400.000+ pengguna dan asumsi konversi 5%, harga $0.99/bulan akan menghasilkan sekitar $19,800/bulan, $4.99/bulan sekitar $99,800/bulan, dan $9.99/bulan sekitar $199,800/bulan

Respons pemelihara dan kriteria penilaiannya

  • Menanggapi alasan tidak mengungkap nama perusahaan, ia menjawab bahwa beberapa perusahaan itu mungkin kaya dan beroperasi secara legal, dan ia tidak ingin menanggung risiko gugatan
  • Ia menjelaskan bahwa iklan popup mudah disadari pengguna dan ekstensi penyebabnya gampang dinonaktifkan, tetapi metode yang tersembunyi bisa bertahan lebih lama
  • Soal telemetri, pemelihara mengatakan dari sudut pandang pengguna ada keseimbangan antara kegunaan dan sifat intrusif pelacakan, tetapi dari sudut pandang pengembang, tidak menambahkan pelacakan sama sekali adalah cara terbaik untuk menjangkau basis pengguna seluas mungkin dan menghindari perdebatan soal tingkat anonimisasi
  • Menanggapi komentar bahwa nama Hover Zoom+ membingungkan dengan Hover Zoom lama yang pernah terlibat kontroversi berbahaya, ia menjawab bahwa tujuannya bukan mendapatkan semua pengguna; lebih dari 300 ribu orang sudah melihat nilainya, dan karena ini ekstensi gratis tanpa pendapatan, ia tidak akan menghabiskan waktu untuk mengganti nama atau memberi pembuktian tambahan
  • Dalam komentar tahun 2023, pemelihara merangkum dua alasan mengapa Hover Zoom+ bernilai tinggi
    • Sekitar 400 ribu pengguna jika digabung di semua browser
    • Aktif bukan hanya di situs tertentu, tetapi di semua halaman
  • Ia menjelaskan bahwa gabungan dua faktor ini menciptakan permukaan serangan potensial yang besar terhadap pengguna akhir, sekaligus berarti potensi pendapatan yang besar bagi pelaku jahat

Tanda bahaya bagi pengguna dan pengembang

  • Salah satu komentar menyoroti bahwa setelah ekstensi diakuisisi, versi berikutnya bisa saja memasukkan adware atau skrip botnet, dan karena izin lama sudah ada, itu dapat berjalan tanpa popup permintaan izin tambahan
  • Komentar lain menjelaskan bahwa beberapa tawaran data bisa terkait dengan penjualan data pengguna untuk tujuan AdTech/RTB, sambil menautkan materi adtech dari Privacy International
  • Menanggapi proposal yang meminta data error DNS, sebuah komentar menafsirkan bahwa tujuannya bisa untuk mendaftarkan domain typo umum atau domain kedaluwarsa lalu mencegat perpindahan pengguna
  • Komentar yang menyebut kasus The Great Suspender menyoroti bahwa beberapa transaksi tidak menargetkan pemasangan SDK, melainkan pengambilalihan repository atau kepemilikan ekstensi
  • Salah satu proposal tahun 2026 menyebut izin you.com, membaca isi halaman, menangkap keystroke, mengirim ke server eksternal, mengakses session cookie, dan pola pengumpulan browsing history, tetapi catatan pemelihara menambahkan bahwa Hover Zoom+ tidak melakukan hal-hal itu dan justru ini menunjukkan data seperti apa yang ingin dibeli perusahaan tersebut

Cara memeriksa apakah ekstensi sudah dimonetisasi

  • Pemelihara mengatakan cara paling tepercaya adalah membaca source code
  • Selain itu, ia menyarankan beberapa sinyal pemeriksaan berikut
    • Periksa tab privacy practices di Chrome Web Store untuk melihat apakah pengembang menyatakan tidak mengumpulkan atau menggunakan data
    • Periksa apakah ada public source
    • Periksa apakah daftar izin ekstensi meminta izin mencurigakan yang tidak sesuai dengan fungsinya
    • Periksa apakah ada pola keluhan berulang tentang perilaku ekstensi di ulasan pengguna terbaru
    • Gunakan perkiraan risiko dari situs seperti chrome-stats
  • Pemelihara menambahkan bahwa semua sinyal ini bisa dimanipulasi, jadi lebih cocok untuk mengidentifikasi masalah daripada membuktikan tidak bersalah
  • Komentar lain menyarankan bahwa karena source code bisa sulit dibaca akibat Webpack dan sejenisnya, mungkin lebih mudah memeriksa permintaan jaringan yang dibuat ekstensi
  • Komentar yang sama juga menjelaskan untuk memeriksa request dari background atau service worker, dan karena banyak ekstensi berjalan di semua halaman melebihi kebutuhan, Chrome Site Access bisa dibatasi ke “On Click”

Reaksi komunitas dan diskusi lanjutan

  • Banyak komentar mendukung pemelihara karena tidak menjual penggunanya dan karena mengungkap tawaran-tawaran tersebut
  • Seorang pengguna mengatakan bahwa pengguna dan pengembang ekstensi perlu lebih sadar terhadap praktik seperti ini
  • Pemelihara menjawab bahwa situasi seputar ekstensi berbahaya sudah cukup buruk, dan lebih banyak orang perlu mengetahuinya
  • Menanggapi komentar bahwa topik ini sudah muncul di Hacker News, pemelihara mengatakan ia berharap pengembang lain terinspirasi untuk mengambil “stand”
  • Seorang pengembang ekstensi lain mengatakan bahwa ia juga menerima banyak tawaran serupa untuk ekstensi miliknya yang punya 170 ribu pengguna, dan meski godaannya besar saat masih mahasiswa miskin, ia akhirnya memonetisasi dengan cara lain yang tidak intrusif

1 komentar

 
GN⁺ 2023-08-10
Komentar Hacker News
  • ChatGPT for Google sempat menjadi peringkat #1 di HN awal tahun ini, dan kalau melihat repositori GitHub-nya sekarang, ekstensi itu sudah dijual
    Saya juga pernah punya ekstensi proyek sampingan gratis dengan sekitar 25.000 instalasi, dan cukup sering dihubungi orang yang ingin “membantu monetisasi”
    Jadi saya merasa ada baiknya merangkum berbagai jalur monetisasi yang terasa mencurigakan: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • Tawaran paling keterlaluan yang pernah saya lihat di ranah aplikasi mobile adalah menyalakan mikrofon pengguna untuk mendengarkan suara iklan TV di sekitar mereka dan melacak iklan apa yang mereka lihat di dunia offline
      Industri teknologi iklan memang secara keseluruhan benar-benar menjijikkan
    • Kalau mendapat tawaran 11.000 dolar untuk sebuah ekstensi, rasanya akan cukup sulit untuk menolaknya
      Uang itu bisa membuat urusan uang muka rumah jadi jauh lebih ringan
      Selalu baik untuk memikirkan di mana batas etika kita sendiri
    • Salah satu email yang saya terima sama persis dengan kata-kata di artikel yang ditautkan, kecuali nama ekstensi, jadi saya sama sekali tidak terkejut
      Jelas banyak tawaran sampah seperti ini yang diotomatisasi
      Bentuknya kira-kira seperti, “Saya penggemar [extension name], dan saya sangat suka betapa praktis dan bergunanya ekstensi ini.
      Pernahkah Anda mempertimbangkan untuk menyediakan ruang promosi bagi orang-orang yang ingin mempromosikan produk mereka di ekstensi Anda? Saya ingin mempromosikan ekstensi saya di [extension name], dan ingin mendiskusikan kemungkinan ini.
      Kalau tertarik, beri tahu saya.”
  • Sebagai catatan, ekstensi JSON Formatter [0] yang mungkin dipakai sebagian orang di sini adalah milik saya
    Saya membuatnya 12 tahun lalu, merilisnya sebagai open source, terus memeliharanya sampai sekarang, dan [1] saat ini penggunanya 2 juta orang
    Saya bersumpah dengan sungguh-sungguh tidak akan pernah menambahkan kode yang mengirim data apa pun ke mana pun, dan juga tidak akan menyerahkannya ke tangan orang yang akan melakukan hal seperti itu
    Saya sudah beberapa kali mendapat tawaran uang tunai yang menggiurkan dari orang-orang mencurigakan yang tampaknya ingin mencuri data semua orang, atau melakukan hal yang lebih buruk
    Kadang saya berpikir seandainya dulu tidak mencantumkan nama saya. Kalau begitu mungkin saya bisa mengambil uangnya tanpa merusak reputasi
    Tapi karena sudah mencantumkan nama, satu-satunya pilihan adalah tetap menjaga kehormatan. Sisi baiknya, saya selalu bisa mengatakan bahwa saya tidak pernah menjualnya
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Sejujurnya, tidak banyak usaha yang saya keluarkan

    • Dulu ada ekstensi yang saya janjikan tidak akan pernah saya jual, dan juga tidak akan saya perbarui setelah rilis pertama
      Karena hanya satu baris, jadi memang tidak ada yang perlu berubah
      Namun Chrome Web Store menghapusnya setelah lebih dari 5 tahun, kemungkinan karena saya tidak pernah merilis pembaruan sehingga kolom-kolom yang kemudian menjadi wajib dibiarkan kosong
    • Kalau tawaran uang tunai berbanding lurus dengan jumlah pengguna, ekstensi itu pasti sangat menggoda
      Salut karena tidak menjualnya
      Saya penasaran apakah Anda pernah terpikir untuk mulai mempublikasikan tawaran akuisisi seperti yang saya lakukan
    • Ini terasa benar-benar aneh
      Jelas Anda memberikan nilai bagi dunia, dan menurut moral saya, Anda seharusnya berhak mengambil kembali sebagian nilai itu tanpa melakukan hal mencurigakan
      Saya pendiri Streak, dan seperti Grammarly serta tempat-tempat lain, kami memonetisasi ekstensi kami secara langsung
      Saya penasaran apakah Anda pernah mencoba meminta pengguna membayar langsung atas usaha yang Anda keluarkan
    • Sebagai orang yang memakai ekstensi itu setiap hari, saya sangat berterima kasih atas tekad kuat Anda
      Rasanya di industri ini semakin hari semakin sulit mempertahankan kesadaran etika yang kuat
    • Saya penasaran, kalau ekstensi yang saya pakai dijual, apakah Chrome akan bertanya saat izinnya berubah
      Atau apakah itu bisa disisipkan begitu saja secara diam-diam
      Setidaknya saya berharap ada notifikasi pop-up yang bisa menjadi tanda bahaya
  • Saya maintainernya
    Ekstensi saya pada dasarnya hampir tidak mungkin dimonetisasi, jadi tawaran apa pun akan membutuhkan pengorbanan moral sampai taraf tertentu
    Tawaran paling tidak invasif yang pernah saya lihat sejauh ini adalah memasang tautan silang ke ekstensi lain di dalam ekstensi saya, mirip dengan yang dilakukan DarkReader di situs webnya
    Walaupun itu tidak melanggar data pengguna, alasan saya tidak melakukannya adalah karena itu sama saja seperti memberi dukungan tidak langsung kepada ekstensi lain tersebut, sementara saya tidak punya kendali atas bagaimana mereka menangani data pengguna

    • Anda melakukan sesuatu yang benar-benar patut dihormati
      Kalau gerakan ini membesar, itu akan membantu mematahkan anggapan umum yang jarang diucapkan bahwa “pada akhirnya semua orang akan menjual”
    • Terima kasih sudah transparan
      Sekarang saya tidak memakai Chrome, tetapi dulu saya sangat menyukai Hover Zoom+, dan istri saya masih memakainya dengan baik
      Itu ekstensi yang bagus, dan setelah membaca komentar ini serta issue GitHub yang ditautkan, saya jadi lebih tenang
    • Dulu saya sangat suka Hover Zoom, tapi saya tidak yakin apakah memang pernah ada kontroversi malware untuk ekstensi itu, atau saya tertukar dengan plugin bernama mirip
      Saat itu saya pindah ke imagus dan sudah terbiasa
      Bagaimanapun, terima kasih sudah menolak upaya monetisasi
  • Saya tidak tahu solusi untuk masalah ini, tetapi saya tahu beberapa perusahaan legal tepercaya yang sudah memonetisasi pengguna dengan uang sungguhan sekaligus menjual data pengguna sekitar 20 pound per tahun
    Saya pribadi tidak akan pernah melakukannya karena pelanggaran privasi bertentangan dengan inti keyakinan saya, tetapi ada konflik yang belum terselesaikan
    Di satu sisi, saya tahu mayoritas pengguna lebih suka menjual privasi mereka daripada membayar sepeser pun
    Mereka kapan saja akan dengan senang hati menekan tombol “jual data saya” daripada tombol “bayar”
    Saya bisa bilang saya tahu begitu karena sudah berurusan dengan cukup banyak pengguna
    Banyak pengguna akan ribut kalau tidak gratis, tetapi tidak kehilangan tidur karena menyerahkan informasi pribadi
    Tentu saja, ini secara umum bicara tentang mayoritas
    Di sisi lain, saya ingin internet menjadi tempat di mana pelaku tidak bermoral tidak tumbuh subur
    Di dunia nyata, kebanyakan orang tidak berharap mendapatkan sesuatu secara gratis, jadi mengapa internet harus berbeda
    Mengapa semua orang, termasuk saya sendiri, selalu mencari yang gratis di internet
    Yang terburuk adalah pada akhirnya satu-satunya pihak yang mau mengeluarkan uang secara online adalah pencuri data dan pengiklan
    Sisanya menyerahkan jiwa mereka
    Pengembang diharapkan bekerja gratis agar seluruh struktur ini tetap berjalan

    • Anda mengatakan “orang akan kapan saja dengan senang hati menekan ‘jual data saya’ daripada ‘bayar’”, tetapi pilihan eksplisit seperti itu sebenarnya belum pernah diberikan, jadi kita tidak bisa tahu
      Selain itu, istilah “data” juga kabur bagi pengguna biasa
      Regulasi seperti di UE dan California seharusnya memaksa hal semacam ini
      Jika pilihannya disajikan seperti “Inilah data yang kami miliki tentang Anda: termasuk hasil pelacakan menyeramkan a,b,c,d... Jika Anda mengizinkan kami melanggar privasi Anda dengan berbagai cara, kami akan memberi Anda pernak-pernik kecil ini secara gratis. Atau bayarlah x rupiah”, berapa banyak orang yang akan memilih pelanggaran privasi
      Sebagian besar internet adalah komunikasi dalam satu bentuk atau lainnya
      Di dunia nyata pun banyak komunikasi didapatkan secara gratis
      Justru saya penasaran mengapa semua orang menganggap internet sebagai platform untuk menjadi kaya dengan menjual pernak-pernik kepada penduduk pribumi yang tidak tahu apa-apa
      Beberapa hal mungkin lebih baik dijalankan secara nirlaba
    • Solusinya bisa berupa ekstensi open source yang telah diaudit
      Di Firefox tampaknya sudah ada hal seperti ini(https://mzl.la/3Acn4DU)
      Saya tidak tahu ada auditor untuk ekstensi Chrome
      Organisasi atau kelompok tepercaya seperti Google atau Mozilla bisa mengaudit ekstensi dan “menyertifikasi” bahwa tidak ada malware
      Selain itu, ekstensi harus 100% open source, dan bahkan jika organisasi tepercaya itu disusupi atau tidak menjalankan tugasnya, pada akhirnya akan ketahuan dan orang-orang akan berhenti menggunakannya
      Tentu saja ini tidak sempurna
      Adware bisa disembunyikan bahkan dari auditor, atau auditor bisa disusupi tanpa ada yang tahu
      Makin banyak kode kompleks dalam suatu ekstensi, makin besar biaya dan waktunya, sehingga ekstensi populer yang tidak bermasalah pun mungkin tidak mendapat sertifikasi
      Perubahan juga harus selalu diaudit, sehingga pembaruan menjadi lambat dan terhambat
      Masalah terakhir yang mudah terlewat adalah auditor bisa bias dalam menyetujui ekstensi tertentu, misalnya pihak yang membayar
      Jika kodenya terlalu sulit dibaca atau berada di belakang antrean peninjauan, ekstensi bisa tidak disetujui; dan standar “terlalu sulit dibaca” serta posisi antrean dapat dengan mudah dipengaruhi oleh uang
      Meski begitu, ekstensi web adalah jenis perangkat lunak yang lebih cocok diaudit dibanding aplikasi lain
      Umumnya jauh lebih kecil dan sederhana, membutuhkan lebih sedikit pengguna, dan berjalan di ranah yang sangat tepercaya, yaitu semua penjelajahan web termasuk perbankan dan situs rahasia
      Dibanding aplikasi ponsel yang tersandbox atau program mode pengguna di komputer, dampaknya masih ada tetapi jauh lebih kecil
    • Di internet tidak ada padanan uang tunai yang sepenuhnya anonim dan mudah digunakan
      Kalau membayar sesuatu, pada akhirnya Anda tetap menyerahkan informasi identitas
      Pertukaran nilainya jelas berat sebelah, tetapi jika untuk mendapatkan X Anda harus membagikan identitas sekaligus membayar uang, berarti Anda kehilangan uang dan juga membagikan identitas
      Jika membagikan identitas dan mendapatkan X secara gratis, setidaknya Anda tidak kehilangan uang
    • Pilihan antara “jual data saya” dan “bayar” sebenarnya hampir tidak pernah terjadi
      Dalam kenyataannya, biasanya pilihannya adalah tetap menjual data meski membayar, atau jika memakai gratis maka menjual data dalam jumlah yang sangat besar
      Sebagian besar layanan berbayar juga menuliskan dalam kebijakan privasi, syarat layanan, dan perjanjian pengguna bagaimana mereka menjual data dengan cara yang sama
      Dalam skenario terbaik, kita hanya bisa berharap karena arus kas mereka tidak terlalu desperate, mereka akan sedikit lebih selektif soal kepada siapa data dijual
      Namun dampaknya bagi pengguna lebih besar
      Sekarang mereka memiliki kartu kredit, alamat, nama asli, dan nomor telepon, dan semua itu rentan terhadap peretasan dan kebocoran
      Karena informasi seperti ini lebih sulit dipalsukan dibanding saat memakai akun gratis, nilai data yang dikumpulkan lebih tinggi, dan godaannya pun lebih besar
      Selain itu, layanan berbayar memiliki sistem langganan yang memusuhi konsumen dan dipenuhi dark pattern
      Jika tidak suka dan ingin membatalkan, prosesnya dibuat tidak perlu rumit, bahkan uji coba gratis pun meminta kartu kredit
      Transparansi soal ke mana uang sebenarnya digunakan juga sangat rendah
      Banyak layanan beroperasi merugi, dan biaya dari pelanggan hanya kosmetik; uang sungguhan datang dari investor
      Bagi sebagian perusahaan, model berbayar nyaris hanya kedok, dan exit sebenarnya mungkin adalah dikuisisi oleh agregator data setelah mengumpulkan data selama bertahun-tahun
      Di sisi lain ada juga orang-orang yang memancing korban dengan harga yang dibesar-besarkan secara konyol
      Karena alasan-alasan ini, pilihan untuk membayar telah tercemar oleh ketidakpercayaan, bukan semata-mata karena konsumen pelit dan merasa berhak
      Ketidakpercayaan dapat dengan cepat membuat pasar mana pun mandek
      Meski begitu, saya tidak terlalu menyalahkan industrinya
      Seperti California pada 1848, sulit menyalahkan orang yang memungut emas yang berserakan
      Masalah sebenarnya adalah tidak adanya alat, infrastruktur, dan kerangka regulasi yang memungkinkan pengguna melihat dan mengontrol bagaimana data mereka digunakan
      Jika orang benar-benar ingin menjual data mereka alih-alih membayar, biarkan saja
      Namun saat ini sebagian besar pengguna tidak tahu data apa persisnya yang dikumpulkan atau berapa nilainya
      Mereka tidak berada dalam posisi untuk secara rasional memutuskan bahwa membeli aplikasi seharga 5 dolar lebih baik daripada mengalami penambangan data senilai 20 dolar
    • Tidak ada masalah besar dengan keputusan yang dibuat berdasarkan informasi yang cukup
      Yang mengganggu adalah ketika aplikasi menyembunyikan monetisasi data, menjadikannya wajib, atau tidak menyediakan cara memakai layanan tanpa menyetujuinya
      Terutama layanan yang bahkan tidak memberi pilihan untuk tidak berpartisipasi—itu yang paling buruk

Misalnya, tempat kerja saya baru saja mengadopsi layanan “The Work Number” milik Equifax, jadi entah saya membuat akun atau tidak, data saya sudah ada di sana
Yang lebih buruk, kalau saya tidak membuat akun, masih ada celah bagi seseorang untuk mencoba membuat akun demi mengumpulkan lebih banyak informasi tanpa persetujuan saya
Apa pun pilihan orang atas data mereka sendiri, saya tidak merasa punya kewajiban moral untuk memaksakan pandangan saya
Kalau mereka benar-benar setuju dan ingin menghemat 20 dolar, atau berapa pun nilai data itu di aplikasi, mengambil opsi itu dari mereka hanya karena saya tidak setuju dengan cara mereka menangani informasi privasi juga tidak jauh berbeda dari pemaksaan karena alasan yang sama
Perbedaan yang penting bagi saya adalah apakah saya mendapat keuntungan dari situ, tetapi jika di tiap kasus ada pilihan, sebenarnya itu tidak penting bagi cara pengguna menimbang situasinya

  • Jika Anda mengelola situs web, Anda akan terus menerima email seperti ini
    “Halo,
    Saya ingin menanyakan apakah Anda menerima kontribusi guest post atau penyisipan tautan pada artikel yang sudah ada. Jika memungkinkan, saya ingin mengetahui lebih lanjut tentang pedoman dan topik yang diminati.
    Terima kasih atas waktunya. Saya menantikan balasan Anda.
    Terima kasih.”
    Yang seperti ini jelas spam massal. Di situs saya bahkan tidak ada blog
    Di situs saya juga ada beberapa unduhan perangkat lunak Windows, dan sesekali saya juga menerima email tawaran bundel installer yang mencurigakan
    Kebanyakan adalah layanan proksi residensial yang ingin menjual akses ke koneksi internet pengguna

    • Kami menjalankan blog edukasi untuk produk SaaS, dan meski ada email sungguhan dari pembaca, spam juga banyak, dan sebagian di antaranya dibuat dengan sangat meyakinkan sampai menakutkan
      Mereka memasukkan begitu banyak konteks sehingga tampak seperti orang sungguhan, pada akhirnya membuang banyak waktu, dan jujur saja cukup menyakitkan
      Kami menghabiskan banyak waktu untuk berbagi materi, jadi koneksi palsu seperti ini terasa sangat menjijikkan
      Belakangan ini kami dibanjiri email semacam “daftar kandidat penghargaan” yang ditulis AI dengan konteks mendalam
      Polanya, dengan satu pembayaran mudah, mereka akan mempertimbangkan kami sebagai kandidat penghargaan
      Namun mereka selalu lupa menyesuaikan topik bahwa kami bukan menjalankan layanan keamanan perangkat lunak, melainkan membahas web scraping
      Sepertinya AI akan membunuh komunikasi email antarorang asing
      Makin lama makin melelahkan
    • Ini jenis email favorit saya yang saya terima kira-kira sebulan sekali dalam berbagai bentuk
      Jabatan di bagian akhir lucu
      “Judul: Saya menemukan kerentanan keamanan di situs web Anda.
      Halo tim,
      Saya Harris, seorang peneliti keamanan, dan saya menemukan kerentanan keamanan di situs web Anda di luar program bug bounty.
      Saya juga dapat mengungkap semua kerentanan yang saya temukan beserta cara perbaikan yang tepat agar situs web Anda menjadi lebih aman.
      Perusahaan-perusahaan yang pernah saya bantu selalu murah hati, dan memberi saya imbalan dengan jumlah yang mereka anggap pantas untuk masalah yang saya temukan. Jika Anda menghargai bantuan saya, saya akan senang menerima pembayaran bonus melalui PayPal, Bitcoin, Payoneer, atau transfer bank.
      Saya menantikan tanggapan positif Anda.
      Terima kasih,
      Harris A
      Certified Ethical Hacker”
    • Saya penasaran apa yang dipikirkan orang-orang seperti ini
      Operator TOR tahu risiko berbagi koneksi, terutama risiko pedofil menggunakan layanan itu untuk membagikan CSAM
      Tapi orang biasa tidak tahu
      Mereka sama sekali tidak tahu sampai suatu hari ditangkap
    • Saya ingin membiarkan tag kontak yang berfungsi di situs web, tetapi kalau begitu sepertinya akan datang banjir spam seperti ini atau tawaran dari gerombolan web developer acak yang ingin “memperbaiki” situs web saya yang sederhana dan polos
    • Berkat ini, satu tugas saya jadi berkurang
      Saya juga menerima email seperti ini, tetapi karena saya menjalankan situs WordPress, saya yakin mereka mem-fingerprint situs web lalu hanya mengirim email ke situs WordPress
      Jadi di daftar tugas saya ada pengecekan apakah fingerprint WordPress bisa disembunyikan
      Namun melihat komentar seperti ini, jelas itu tidak akan banyak berguna
      Kalau dipikir lagi, semestinya sudah jelas bahwa spammer seperti ini akan menyebarkannya secara massal ke semua orang
  • Masalah mendasar di sini adalah tidak ada cara untuk memonetisasi ekstensi browser secara sah
    Karena ekstensi dirancang agar sederhana, sulit menjual fitur premium, dan biasanya tidak punya ruang sendiri untuk memasang iklan

    • Dulu pernah ada caranya
      https://developer.chrome.com/docs/webstore/money/
      “Dalam 11 tahun sejak Chrome Web Store diluncurkan, web telah berkembang pesat. Saat itu, kami ingin menyediakan cara bagi developer untuk memonetisasi item Web Store. Namun sejak itu ekosistem telah tumbuh, dan developer kini memiliki banyak opsi pemrosesan pembayaran yang dapat digunakan.”
    • Pengguna ekstensi secara teori mungkin bersedia membayar untuk nilai yang diberikan ekstensi
      Pelaku jahat yang mengirim email seperti ini bersedia membayar untuk nilai yang diberikan data pengguna kepada mereka
      Kedua angka ini sama sekali tidak berkaitan, dan nilai data pengguna sering kali jauh lebih tinggi daripada nilai fungsi ekstensi
      Tidak ada cara menyelesaikan masalah ini lewat monetisasi
      Karena dua calon pelanggan itu tidak membeli produk yang sama
    • Saya penasaran apakah orang benar-benar percaya bahwa jika ada cara untuk memonetisasi ekstensi, para developer tidak akan didekati oleh pencuri data
    • Jika pengguna bisa mematikan pembaruan ekstensi, atau harus menyetujui pembaruan secara eksplisit, serangan seperti ini setidaknya bisa dibuat lebih sulit
      Sebagian besar ekstensi itu sederhana dan sebenarnya tidak membutuhkan pembaruan
      Namun mekanisme pembaruannya diam-diam sepenuhnya otomatis dan tidak ada rollback
      Bahkan Steam pun tidak terlintas di benak saya sebagai sesuatu dengan pembaruan seagresif ini
    • Saya tidak yakin selalu begitu
      Saya menjalankan API lisensi perangkat lunak, dan ada cukup banyak pelanggan ekstensi browser dengan basis pengguna yang lumayan besar
      Seperti kanal distribusi lainnya, peluang monetisasi memang ada
  • Tawaran ini menarik karena terlihat tidak berbahaya, bahkan mungkin berguna
    Katanya ini pemantauan error DNS, apa yang saya lewatkan?
    “Sepertinya Anda sering menerima tawaran bisnis, jadi saya akan langsung ke intinya. Tawaran saya sedikit berbeda dan semoga benar-benar menarik. Menurut saya Hover Zoom+ adalah alternatif yang sangat baik untuk kakaknya yang lebih besar, Hover Zoom, yang dalam beberapa bulan terakhir mulai kehilangan daya tarik.
    Kami sedang menjalankan riset error DNS, dan kami tertarik pada sejumlah kecil data anonim yang mungkin bisa disediakan melalui ekstensi Chrome Anda. Riset kami sudah berjalan selama bertahun-tahun dan Google tidak pernah mempermasalahkannya.

    • Kompatibel dengan kebijakan ketat Google
    • Tidak ada data pengguna pribadi
    • Tidak ada iklan, tidak ada malware
      Data yang kami minati pada dasarnya hanyalah error DNS:
    • NXD – domain yang tidak ada - domain yang diketik pengguna sehingga memicu error DNS
    • Timestamp – waktu terjadinya
    • GEO – lokasi terjadinya (USA, UK, RU, dll.)
    • ID pengguna unik yang dibuat secara acak (bisa di-hash, tidak bisa dilacak balik ke pengguna). Harap jangan disamakan dengan alamat IP pengguna.
      Itu saja. Anda bisa memakai skrip kami, atau mengumpulkan sendiri datanya dan mengirimkannya melalui server FTP, API, dan sebagainya. Ada banyak cara. Pembayaran dilakukan bulanan, dan besarannya bergantung pada GEO pengguna, tetapi kira-kira beberapa ribu dolar per tahun.
      Apakah ini layak didiskusikan, meski sebentar? Saya tunggu balasannya.
      Beberapa waktu lalu kami menghubungi Anda terkait riset error DNS yang dijalankan perusahaan kami. Hover Zoom+ akan menjadi media yang ideal untuk riset kami. Sebagai imbalannya, ini bisa menjadi sumber pendapatan baru yang solid bagi Anda.
      Metode kami sudah berjalan selama bertahun-tahun dan tidak pernah bermasalah dengan Google. Kami membayar rutin secara bulanan. Bagi Anda, nilainya bisa mencapai puluhan ribu dolar per tahun, bergantung pada basis pengguna dan kualitas data.
      Jika Anda khawatir soal penyertaan skrip pihak ketiga, masih ada banyak cara untuk mewujudkannya.
      Tolong beri tahu apakah ini layak didiskusikan, meski sebentar.”
    • Kalau menebak, mungkin mereka ingin membeli nama domain yang mendapat kueri tetapi masih bisa didaftarkan
      Misalnya domain-domain yang sering salah ketik
      Itu tidak dilarang, tapi tetap agak mencurigakan
    • Ini riset penyerobotan domain typo
      Mereka melihat domain yang sering salah diketik pengguna dan mendapat respons NX, lalu mendaftarkannya untuk menampilkan iklan atau melakukan phishing, dan sebagainya
    • Kemungkinan besar mereka ingin menemukan domain yang sering salah diketik orang, membelinya, lalu memasang iklan
    • Saya bertaruh mereka ingin mengetahui domain apa yang salah diketik atau diminati orang, supaya bisa menipu dengan lebih efisien
    • Ada uang yang terlibat, tetapi mereka tidak menjelaskan niat baiknya dengan jelas
      Jadi, bahkan dalam skenario terbaik pun ada kepentingan bisnis tertentu, dan dalam skenario terburuk kemungkinan ada tindakan yang merugikan pengguna
      Tidak sulit menulis skrip yang tampak melakukan satu hal di permukaan, sambil diam-diam membawa informasi lain
      Misalnya menulis fungsi hash yang buruk? Sangat mudah
      Selalu ikuti gradien ATP
  • Kalau ekstensi dengan sekitar 300 ribu pengguna saja mendapat begitu banyak tawaran agresif seperti ini, saya jadi penasaran sekeras apa tawaran untuk ekstensi yang mencapai jutaan pengguna
    Insentif di ekosistem ekstensi tampak benar-benar melenceng

  • Kotak masuk email resmi Ruffle juga penuh dengan tawaran seperti ini
    Nilai yang ditawarkan untuk ekstensi yang gratis sekaligus perangkat lunak bebas begitu besar, sampai-sampai saya hanya bisa berpikir bahwa para pembeli ingin memasukkan banyak malware yang tidak langsung diblokir oleh Google atau Mozilla[0]
    Secara pribadi, menurut saya pengalihan kepemilikan ekstensi tidak boleh diizinkan tanpa persetujuan dan verifikasi terlebih dahulu atas struktur kepemilikan baru
    Entri baru tidak punya ulasan atau kepercayaan, jadi transfer ekstensi yang sudah ada seharusnya sengaja dibuat lebih sulit daripada membuat ekstensi baru
    Sebagai seseorang yang kadang merasakan sendiri kerepotan praktis dari kebijakan seperti ini[1], saya mengatakan ini sambil memahami betapa menyebalkannya melewati prosedur birokratis
    Pasar gelap jual-beli ekstensi sangat mencurigakan, dan terlalu mudah mempermainkan kepercayaan pengguna
    [0] Sayangnya, pendaftaran AMO kami sudah ditandai sebagai kode yang dihasilkan mesin. Itu karena kami memakai Rust/WASM. Jadi pengajuan ekstensi hanya disetujui ketika Mozilla dapat mereproduksi build kami byte demi byte
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Ini mengingatkan saya pada rencana kotor yang pernah saya pikirkan saat SMP

    1. Membuat plugin Minecraft Bukkit yang benar-benar berguna
    2. Menunggu sampai jumlah instalasinya banyak
    3. Menambahkan backdoor yang disembunyikan dengan baik, yang menjadikan saya “op”, yaitu admin, di server yang saya inginkan
    4. Mengejutkan admin nakal di server publik dengan tiba-tiba memblokir mereka
      Saya sampai tahap 2, lalu memutuskan berhenti di sana
    • Plugin Minecraft Bukkit pada dasarnya adalah wilayah tanpa hukum
      Sangat sulit membedakan perilaku mana yang memang disengaja dan mana yang bukan
      Saya ingat bertahun-tahun lalu mencoba mencari plugin motd yang hanya menampilkan pesan saat masuk ke server
      Saya menemukan satu plugin yang cukup sederhana, tetapi plugin itu mengirim ping ke rumah untuk mengecek pembaruan
      Mungkin pengembangnya memang ingin menambahkan fitur berguna, tetapi sisi sinis saya percaya bahwa tujuannya adalah mendapatkan alamat IP server yang menjalankan plugin itu
      Ada juga perintah debug tanpa autentikasi, dan bisa mencetak isi file motd apa pun di dalam folder
      Namun karena escaping string-nya tidak benar, dengan ../... kita bisa keluar dari direktori dan mencetak file apa pun
      Saya tidak tahu apakah pembuatnya benar-benar mengeksploitasinya, atau hanya anak 14 tahun polos yang sedang menulis plugin pertamanya
      Kalau memang berniat mengeksploitasi, saya juga tidak tahu file apa yang ingin ia cetak, tetapi yang jelas itu sangat mencurigakan
    • 2b2t beberapa kali terkena backdoor dengan cara seperti ini
      Beberapa orang bisa mengakses WorldEdit, mode kreatif, perintah admin, dan sebagainya
      Di luar server anarki lama, komunitas mod Minecraft saat ini juga mengalami beberapa serangan rantai pasok, kerentanan deserialisasi, dan lain-lain
    • Backdoor terarah untuk server Minecraft kadang benar-benar terjadi