1 poin oleh GN⁺ 2024-07-25 | 1 komentar | Bagikan ke WhatsApp
  • Button Stealer adalah ekstensi browser yang “mencuri” dan mengumpulkan tombol satu per satu dari situs web yang dikunjungi pengguna
  • Ini lebih mirip alat iseng: cukup gunakan web seperti biasa, maka koleksi tombol akan bertambah secara otomatis
  • Produk ini diperkenalkan sebagai ekstensi yang menyenangkan, tidak berguna, dan gratis
  • Metrik publik yang ditampilkan mencakup Chrome Web Store 4.9/5, Product Hunt #3 Product of the Day, dan ↑492 Featured Product
  • Karena berjalan secara lokal dan tidak mengirim data ke luar, data pengguna tetap privat

Cara mengumpulkan tombol situs web

  • Button Stealer adalah ekstensi browser yang “mencuri” satu tombol dari situs web yang dibuka pengguna
  • Tanpa pengguna perlu melakukan tindakan khusus, koleksi tombol yang dicuri akan bertambah saat mereka beraktivitas online seperti biasa
  • Produk ini sendiri diperkenalkan sebagai alat yang menyenangkan, tidak berguna, dan gratis

Badge dan metrik yang dipublikasikan

  • Chrome Web Store

    • Rating: 4.9/5
    • Menampilkan Featured Badge
  • Product Hunt

    • #3 Product of the Day
    • ↑492 Featured Product

Cara menangani privasi dan instalasi

  • Button Stealer berjalan secara lokal
  • Karena tidak mengirim data ke mana pun, data pengguna tetap privat
  • Halaman tersebut menyediakan tombol instalasi Button Stealer

1 komentar

 
GN⁺ 2024-07-25
Komentar Hacker News
  • Masalah dari ekstensi yang “tidak berbahaya” ini adalah ia jadi menggunakan host_permissions di manifest
    Pada dasarnya ia bisa melakukan apa saja di setiap halaman web yang dikunjungi, dan juga bisa mengeruk data
    Dari sudut pandang pengembang ekstensi, saya menolak. Ekstensi seperti ini, yang tidak praktis dan hanya lucu-lucuan, berbahaya kalau meminta izin yang luas

    • Sepertinya tidak ada cara untuk mengimplementasikannya tanpa izin semacam itu
      Kalau memeriksa kodenya di GitHub lalu memasang ekstensi secara lokal, risiko masuknya perubahan jahat di kemudian hari bisa dihindari
    • Aneh bahwa ekstensi tidak punya izin permintaan jaringan tersendiri
      Kalaupun saya memberi izin akses DOM ke semua halaman yang saya kunjungi, harusnya tidak masalah kalau tidak ada cara untuk mengirimkannya ke luar
      1. Tunggu sampai ekstensi menjadi populer
      2. Jual ke perusahaan jahat
      3. Iklan/spyware/malware masuk ke browser
    • Izin harus dibuat lebih terperinci dengan suatu cara
      Menurut saya pendekatan yang benar adalah memungkinkan adanya fungsi yang diisolasi dari sisa kode, lalu membayar pihak ketiga tepercaya untuk meninjau fungsi tersebut
      Dalam kasus ini, fungsi itu hanya boleh 1) mengakses HTML situs web, 2) mencari tombol, dan 3) mengembalikan susunan tombol
      Dengan begitu, panduan izin yang ditulis lembaga tepercaya juga bisa akurat, seperti “ekstensi ini mencoba menyalin tombol dari situs web”
      Saya ingin menyebut hal seperti ini komputasi DEWISOTT: artinya bekerja persis seperti yang tertulis di luarnya
      Selama fungsi itu tidak disentuh, ekstensi boleh diperbarui 1000 kali sehari
    • Bagaimana penulis asli bisa membuat ekstensi tanpa cara seperti ini?
  • Ini terasa seperti email phishing versi aplikasi
    Hanya demi sesuatu yang enak dilihat, ia meminta akses ke semua hal di setiap situs web yang dikunjungi

    • Nuansanya seperti Bonzi Buddy
  • Saya khawatir memasang ekstensi semacam ini
    Karena seseorang bisa menawarkan uang besar kepada pengembangnya, membelinya, lalu memakainya untuk tujuan yang kurang menyenangkan
    Entah apakah perlu izin tambahan, tetapi setidaknya content script saat ini sudah berjalan untuk “[https:///\](https://*/\)

  • Saya penasaran apakah ada alasan khusus memakai API khusus Chrome, bukan WebExtensions API standar
    Saya sempat ingin mencoba-coba ekstensi web, tetapi ingin tahu apa saja batasan nyata API standar dibanding API per browser

    • Ada perbedaan, tetapi banyak fungsi dasarnya tumpang tindih
      Firefox kompatibel dengan pemanggilan API chrome.* yang saya pakai di ekstensi buatan saya sendiri
    • Chrome tidak mendukung WebExtensions API
  • GitHub: https://github.com/anatolyzenkov/button-stealer

    • Sekarang akan bagus kalau ditambahkan juga papan peringkat untuk orang yang mengumpulkan paling banyak
      Saya melihat kodenya dan tampaknya tidak berbahaya. Namun saya tidak tahu apakah ada cara untuk memverifikasi bahwa kode yang diunggah ke Chrome Extension Store adalah kode yang sama
  • Ini mengingatkan saya pada tampilan iklan yang diklik di https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png

    • Melihat layar saya sendiri itu menyenangkan, dan melihat biaya menumpuk bagi pengiklan juga menyenangkan
      Masalah modern membutuhkan solusi modern
  • Saya suka idenya, tetapi izin akses-nya agak menakutkan
    Idealnya ini sepertinya bisa dibuat ulang sebagai bookmarklet. Namun karena harus menyimpan potongan HTML tombol ke file, mungkin perlu trik terkait Blob agar bisa diunduh

  • Dulu saya pernah membuat alat dengan tujuan serupa
    Namun yang dicuri bukan tombol, melainkan CSS/SCSS, dan bukan ekstensi melainkan alat CLI. Bisa dicari di GitHub sebagai coalio/rfscss

  • Saya penasaran apakah ini menyimpan HTML/CSS agar tombol bisa digunakan ulang dengan mudah, atau menyimpannya sebagai gambar
    Kalau yang pertama, ini cukup berguna; kalau yang kedua, lucu tetapi mungkin kurang berguna. Kalau berupa gambar, saya juga penasaran seberapa sulit mengekstraknya dari halaman yang menampilkan semua tombol

  • Kedengarannya seperti cara yang sangat bagus untuk mencari inspirasi desain UI/UX