Deteksi perubahan pemilik pada ekstensi Chrome yang terpasang

 (github.com/classvsoftware)
2 poin oleh GN⁺ 2024-03-07 | 1 komentar | Bagikan ke WhatsApp

Di Bawah Pengelolaan Baru

  • Ekstensi dengan fitur untuk memeriksa apakah informasi pengembang yang tercantum di Chrome Web Store telah berubah.
  • Secara berkala memeriksa perubahan kepemilikan ekstensi yang terpasang.
  • Jika ada perubahan, lencana merah akan ditampilkan pada ikon ekstensi untuk memberi tahu pengguna.
  • Dibuat oleh Matt Frisbie.
  • Dibahas dalam diskusi Hacker News.

Mengapa ini diperlukan?

  • Pengembang ekstensi terus menerima tawaran dari pihak yang ingin membeli ekstensi mereka.
  • Dalam banyak kasus, para pembeli ini berniat menipu pengguna yang sudah ada.
  • Pengguna tidak menyadari bahwa ekstensi telah berubah, dan kini bisa saja telah dikompromikan.
  • Di Bawah Pengelolaan Baru memberikan pemberitahuan kepada pengguna tentang perubahan kepemilikan, sehingga mereka dapat membuat keputusan yang terinformasi mengenai perangkat lunak yang mereka gunakan.

Cara memasang

  • Pasang dari sini: (menunggu persetujuan Chrome Web Store)
  • Atau unduh rilis prabuild, ekstrak file .zip, lalu muat direktori dist ke Chrome.

Membangun dari source

  • Di Bawah Pengelolaan Baru menggunakan Parcel, React, Typescript, TailwindCSS.
  • Instal dependensi dengan yarn install.
  • Jalankan secara lokal dengan yarn start.
  • Build rilis dengan yarn build.

Mengapa server eksternal diperlukan?

  • Browser memiliki aturan khusus yang membatasi modifikasi pada domain marketplace ekstensi.
  • Misalnya, Anda tidak dapat menetapkan aturan declarative_net_request untuk chromewebstore.google.com.
  • Karena itu, ekstensi ini mendelegasikan pemeriksaan informasi pengembang ke server API ExBoost.

Pendapat GN⁺

  • Ekstensi ini adalah alat penting yang membantu pengguna melindungi privasi dan data mereka. Dengan memberi tahu pengguna saat kepemilikan ekstensi berubah, alat ini membantu mereka menghadapi potensi risiko keamanan akibat perubahan kepemilikan.
  • Perubahan kepemilikan ekstensi seharusnya diungkapkan secara transparan kepada pengguna, dan alat yang mendeteksi perubahan semacam ini memainkan peran penting dalam menjaga kepercayaan pengguna.
  • Teknologi ini, atau proyek open source lain yang menyediakan fungsi serupa, termasuk Privacy Badger dari EFF dan Privacy Essentials dari DuckDuckGo. Keduanya berfokus pada perlindungan privasi online pengguna.
  • Hal yang perlu dipertimbangkan saat mengadopsi ekstensi ini antara lain apakah ekstensi benar-benar dapat mendeteksi perubahan kepemilikan dengan akurat, dan apakah deteksi tersebut tidak berdampak negatif pada pengalaman menjelajah pengguna.
  • Karena perubahan kepemilikan dapat menimbulkan risiko keamanan nyata bagi pengguna, ekstensi seperti ini sangat bermanfaat dan diperlukan. Namun, pengguna tetap perlu berhati-hati, karena belum tentu ekstensi dapat mendeteksi semua perubahan kepemilikan secara sempurna, dan perubahan yang terdeteksi juga tidak selalu berarti hasil yang negatif.

Bacaan terkait

1 komentar

 
GN⁺ 2024-03-07
Opini Hacker News
  • Beberapa bulan lalu, penulis membuat ekstensi open source gratis yang mempercepat iklan YouTube dan membagikannya di Hacker News, lalu masuk ke halaman depan. Seminggu kemudian, seorang pengguna menyalinnya dan mempromosikan versinya sendiri di Reddit, yang kemudian viral dan mendapatkan lebih dari 300 ribu pengguna. Penulis mempertanyakan mengapa seseorang menyalin ekstensi open source gratis tersebut, dan menyebut bahwa pengguna itu belakangan mencoba menjualnya di beberapa situs dengan harga lima digit. Ia juga mengatakan telah menemukan bahwa pengembang yang terdaftar di Chrome Store telah berubah.
    • ID ekstensi diturunkan dari kunci privat yang diberikan pengembang saat pertama kali mengunggah ke app store, dan jika unggahan berikutnya menyertakan key.pem yang berbeda, maka ID akan berubah. Jika ID berubah, kemungkinan pemiliknya telah berganti, tetapi pemilik asli juga bisa saja menyerahkan kunci privat kepada pemilik baru. Google tidak meminta kunci privat pada setiap unggahan, sehingga pemilik baru dapat mengunggah perubahan tanpa harus memiliki akses ke kunci tersebut.
    • Seorang pengguna mengatakan ekosistem ekstensi sangat menarik, dan menyebut bahwa ia sedang mengembangkan alat untuk bidang ini. Ia ingin membuat repositori GitHub yang menargetkan ekstensi tertentu untuk melacak pembaruan, mendorong setiap pembaruan ke repositori sebagai perubahan, lalu menjalankan penganalisis statis pada kode tersebut dan bereksperimen dengan analisis pencemaran runtime.
    • Pemilik salah satu ekstensi Chrome open source yang populer mengatakan bahwa donasi yang diterimanya selama bertahun-tahun bahkan tidak cukup untuk menutup biaya ngopi selama sebulan. Namun, ia sudah beberapa kali menerima tawaran untuk menjual ekstensi itu demi tujuan jahat, dan semuanya ditolak. Ia berpendapat bahwa moralitas pengembang asli tidak boleh menjadi satu-satunya kerangka pengaman untuk keamanan dan privasi.
    • Seperti disebut komentator lain, ekstensi ini berguna, tetapi seharusnya menjadi fitur bawaan browser. Ada pertanyaan apakah perubahan kepemilikan diberi tahu secara otomatis, atau pengguna harus menjalankan perintah check secara manual. Ada juga pendapat bahwa kebijakan harus diubah agar perubahan kepemilikan ekstensi memerlukan persetujuan pengguna.
    • Untuk ekstensi Firefox, Mozilla menjalankan "Recommended Extensions Program", yang melalui peninjauan teknis ketat oleh pakar keamanan. Namun, tidak jelas apakah semua pembaruan ditinjau sebelum dirilis. Jika semua pembaruan memang ditinjau, itu bisa menyelesaikan masalah ini untuk ekstensi populer.
    • Jika ekstensi berpindah tangan untuk tujuan jahat, kasus seperti ini sering kali tidak terdeteksi karena yang dijual adalah kredensial akun pengembang Google.
    • Seorang pengguna mengatakan bahwa ia memasang adblock sejak lama, lalu saat memasangnya lagi di komputer baru ia memeriksa izinnya. Untuk memblokir iklan, ekstensi memang harus bisa melihat apa yang dilihat pengguna, tetapi ia mengaku belum pernah benar-benar memikirkan betapa banyak izin yang diminta. Sekarang ia memakai pihole dan sama sekali tidak menggunakan ekstensi.
    • Muncul pertanyaan apakah pembeli ekstensi berbahaya dapat menghindari masalah ini dengan tetap mempertahankan nama pengembang, dan apakah nama pengembang dikelola secara ketat di Chrome extension store.
    • Ada pendapat bahwa meskipun tujuan ekstensi ini patut didukung, mengirim daftar semua ekstensi ke jaringan iklan yang berfokus pada ekstensi tetap terasa mencurigakan. Dijelaskan bahwa hal itu memerlukan server eksternal karena browser memiliki aturan khusus untuk memodifikasi domain marketplace ekstensi.
    • Ada pendapat bahwa ini seharusnya menjadi fitur bawaan di semua browser, dan jika pemilik berubah maka pembaruan harus otomatis dinonaktifkan.