Код можно покупать и продавать, а доступ можно одолжить, но, как было показано, доверие не обязательно приходит вместе с поездкой.
В сентябре прошлого года Даниэль Кладник, создатель расширения для браузера под названием «Меня не волнуют файлы cookie», которое подавляет всплывающие меню файлов cookie ЕС, продал свой код расширения Avast — фирме по обеспечению безопасности, которая впоследствии объединилась с NortonLifeLock (которая позже была переименована в «Gen Цифровой”).
Сделка не была хорошо воспринята некоторыми пользователями расширения, которые за последние девять месяцев наводнили страницу обзора магазина дополнений Firefox отзывами с одной звездой. Похожее мнение можно найти в недавних обзорах расширения Chrome Web Store.
Кладник охарактеризовал Avast как «известную и заслуживающую доверия ИТ-компанию, известную широким спектром продуктов, которые помогают защитить наш цифровой опыт». Но почти шестьсот отзывов, отправленных пользователями, говорят об обратном. Их жалобы, возможно, основаны на обвинениях Avast в том, что методы сбора данных не являются добрыми — критика, которую организация отклонила.
Gen Digital не сразу ответила на запрос о комментариях. Глобальное заявление о конфиденциальности Gen Digital [PDF] описывает различные способы использования данных бизнесом и условия, на которых он делится данными с партнерами.
Сделка «Меня не интересуют файлы cookie» включала продажу кода известной коммерческой компании. Это в лучшем случае. К разработчикам расширений часто обращаются юридические и физические лица, надежность которых гораздо менее определена.
Эти спекулянты могут захотеть приобрести существующее расширение и его установленную базу пользователей или сотрудничать с разработчиком расширения для добавления сторонних функций.
Разработчик Армин Себастьян писал о получении таких сообщений еще в 2019 году и сослался на полученные им предложения по интеграции кода партнерской комиссии электронной коммерции или монетизации поиска. Себастьян обвинил Google и Mozilla за то, что они не поддерживают законные варианты получения дохода для разработчиков расширений.
Симеон Винсент, который до недавнего времени выступал в качестве защитника разработчиков расширений Chrome в Google а теперь консультирует по этому вопросу, пересмотрел этот вопрос в сообщении блога во вторник, обсуждая усилия, направленные на то, чтобы разработчики интегрировали сторонний код в свои расширения. Его беспокоит то, что разработчики должны избегать сделок, которые могут привести к тому, что их и других забанят на витринах расширений.
Винсент объяснил, что разработчики популярных расширений часто получают предложения по интеграции стороннего кода. Он процитировал сообщение для службы под названием «Bing Hosted Feed», в которой было обещано «500 долларов в месяц на каждую 1000 пользователей» для интеграции функции поиска — с обещанием, что вставляемый код соответствует требованиям. Googleправила Интернет-магазина Chrome.
«Люди, стоящие за этими электронными письмами, хотят заменить поисковую систему пользователя чем-то, что платит им за этот трафик», — сказал он. «Почему? Потому что поиск очень ценен».
Винсент сказал, что люди, отправляющие эти сообщения, обычно хотят, чтобы расширение было изменено, чтобы изменить поставщика поиска пользователя по умолчанию с помощью API переопределения настроек, или чтобы открыть окно поиска в интерфейсе расширения, или чтобы расширение добавляло окно поиска на веб-сайты.
Винсент поясняет, что в случае партнерской сделки спекулянт перекладывает риск на застройщика. Это связано с тем, что если расширение будет помечено как вредоносное ПО и удалено из Интернет-магазина Chrome, учетная запись разработчика будет заблокирована, а не нарушитель данных.
В интервью с РегистрВинсент сказал: «Это сложный вопрос, потому что существует ограниченное количество доступных инструментов для [extension] хранилища, чтобы иметь возможность принимать меры против злоумышленников, особенно в случае интеграции сторонних библиотек. В некоторой степени это разновидность атак на цепочки поставок. За исключением, а не [presenting] поскольку зависимость скомпрометирована, это явный обмен.
«Инструменты, доступные магазинам для принятия мер против и обнаружения этих моделей злоупотреблений, относительно ограничены, потому что вы должны признать, что это вообще происходит», — пояснил он. “И [those involved] усердно работать, чтобы сделать это как можно более неочевидным».
На вопрос, участились ли случаи такого рода атак, Винсент сказал, что у него было ограниченное представление об этой проблеме, когда он был в Google так как он не работал в команде жестокого обращения. Он сказал, что узнал об этом в основном, когда разработчики — в основном из лучших побуждений — сообщили, что подверглись некоторым принудительным мерам, которых они не ожидали.
Но в целом, по его словам, Винсент считает, что атаки на цепочки поставок стали более распространенными.
«Я несколько оптимистичен в том, что экосистема расширений в Manifest v3 — из-за внутренних изменений платформы, которые ограничивают удаленно размещенный код, а также из-за изменений политики, которые запрещают это — я чувствую, что в этом отношении она лучше среднего, чем более широкая экосистема программного обеспечения», — сказал он.
«Но по-прежнему технически возможно выполнять удаленный код, и это своего рода неотъемлемое ограничение Интернета. Так что на данный момент это не то, что можно, по крайней мере технически, просто отключить».
Винсент выразил скептицизм в отношении того, что требования политики, такие как раскрытие информации о продаже кода, принесут много пользы, отметив, что люди регулярно не соблюдают предписания правительства о раскрытии информации.
«Меня беспокоит ресурсообеспечение всех браузеров», — сказал он. «Я не знаю, чтобы у кого-то была куча дополнительного бюджета, который можно было бы потратить на найм персонала. [for safety].”
Таким образом, мы возвращаемся к наблюдению Себастьяна о сложности монетизации расширений — проблема, связанная с недостатком финансирования для разработчиков с открытым исходным кодом. Когда отсутствие финансовых возможностей в экосистеме расширений заставляет разработчиков продаваться или сотрудничать с мошенниками, это также лишает магазины расширений доходов, которые они могли бы потратить, чтобы сохранить честность разработчиков. ®
