LINUX.ORG.RU

Популярное браузерное дополнение Stylish уличено в передаче истории посещений пользователя

 , , ,


1

1

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

Уже в 2017 году некоторые пользователи указывали на подобное поведение Stylish, но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Исследователь заметил, что дополнение постоянно связывается с сервером и передаёт массивы данных в бинарном виде. Применяется двойное кодирование по алгоритму base64, чтобы скрыть факт передачи данных от поверхностного взгляда.

Передаваемые данные содержали не только полную историю просмотра браузера, но и уникальный идентификатор. Если пользователь, вдобавок, хоть раз создавал учётную запись на userstyles.org (например, чтобы поделиться стилями), то связать идентификатор с учётной записью не составляет для сервера ни малейшего труда.

Это не позволяет говорить об обезличенности. Уже даже само посещение адреса наподобие https://www.linkedin.com/in/robertjheaton/edit однозначно свидетельствует о личности конкретного пользователя. Кроме того, в адресе может содержаться секретный токен (для сброса пароля / активации учётной записи) или учётные данные. Хранилище Amazon S3, например, практикует выдачу ссылок, которые не требуют авторизации, но «живут» лишь ограниченное время.

В настройках Stylish можно отключить передачу данных, но по умолчанию она включена.

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей (если, конечно, пользователь не отключил в настройках обновление чёрного списка вредоносных и проблемных дополнений). Рекомендуется перейти на Stylus — форк Stylish, созданный ещё до внедрения телеметрии.

Google тоже удалила дополнение из Chrome Web Store.

>>> Подробности

Совсем охрнели, скоро в туалете телеметрию устанавливать будут. И на стол правительству, ага посрал много, значит поел много, надо уменьшить доходы населения. Я только не понял одного, зачем стилям знать мои порнушные сайты.

zotkindm ()

Mozilla немедленно удалила дополнение из каталога и заблокировала его работу у пользователей

Оперативно работают! Красавчики!

anonymous ()

Пользовался им до продажи. Было довольно удобно. Потом как советовали перешел на Stylus, а после и вовсе стили в userContent.css стал заносить.

Shein ()

Просто помешательство на бигдате какое-то. «Давайте насобираем статистики, а че с ней делать потом придумаем». Таргетировать рекламу на пользователей дополнений — по-моему самая глупая мысль которая только может придти в менеджерскую голову. Есть ли в этом мире хоть один человек, который пользуется браузером со сталишем но без адблоков?

morse ★★★★★ ()
Последнее исправление: morse (всего исправлений: 2)
Ответ на: комментарий от grem

Самая быстрая рука на диком западе? Ты хоть дочитай до конца.

но внимание это привлекло несколько дней назад после исследования, проведённого Робертом Хитоном.

Его твит 3 июля написан. Вот и считай.

anonymous ()
Ответ на: комментарий от anonymous

Для полировки косяков. Мне, например, совершенно не нравится новая стартовая с мелкими превьюшками. юзерстилями можно немного прикрыть срам

wxw ★★★★★ ()

А ещё говорят, что firefox 60 говно. Как бы не так: на нём stylish не работал, пришлось сразу на stylus перейти.

А новость кажется совсем даже не новость, не? Давно ещё эта инфа пробегала.

dimgel ()
Ответ на: комментарий от liss21

Здорово их прижучили. Вся годами наработанная популярность и аудитория обнулились в один момент. Так и надо.

+1, тоже повеселило.

Да еще и свою репутацию на ноль поделили.

Умножили. Всероссийский слёт математиков на марше. :)

dimgel ()
Ответ на: комментарий от anonymous

Какая репутация, кого прижучили? Оригинальные разработчики умыли руки ещё в 2017-м. Это самый обычный угон расширения, такая фигня чуть ли не каждый месяц происходит.

Формула отлажена ещё многие годы назад, к оригинальным разработчикам популярного, но плохо монетизированного проекта, приходят какие-нибудь хитрожопые ребята и выкупают проект за какие-то копейки, а потом встраивают туда рекламу или малварь.

Gary ★★★★★ ()
Ответ на: комментарий от anonymous

дочитал:

внимание это привлекло несколько дней назад

проблема старая, но никого не привлекала настолько, чтобы озаботиться её исследованием

grem ★★★★★ ()
Ответ на: комментарий от Shein

И как ты управляешь всеми стилями, т. е. быстро находишь нужный? Закладку в обычном текстовом файле нельзя на строку повесить. В таких случаях как раз на помощь приходят менеджеры стилей.

Xant1k ()

Ещё осталось тампон (tampermonkey) удалить. Клоуны конечно будут до конца дефать, но вот реклама которую он встраивает и обфусцированный код должны дать понять, что нафиг такое не надо.

Xant1k ()
Ответ на: комментарий от MrClon

На убунте норм шрифты, без допила. Только в браузерах везде выставил min 13px, потому что на линуксе в них шрифты обычно мельче, чем в винде. Иногда это вылазит боком, бывает текст накладывается.

Стили еще могут быть нужны, чтобы фон менять и visited links форсить.

anonymous ()
Ответ на: комментарий от dimgel

Ну а что, автор-разработчик Stylish не понимал, кому он дополнение продаёт, и что они будут с ним делать? Он ведь не код продал, а доверие пользователей.

i-rinat ★★★★★ ()
Ответ на: комментарий от Xant1k

реклама которую он встраивает

Ни разу не видел.

Ещё осталось тампон (tampermonkey) удалить.

Проблема в том, что только на нём у меня завелись все скрипты в те времена, когда только-только вышел Firefox 57. На Greasemonkey не работала половина, а на оф.сайте было что-то вроде «скрипты надо переписать». На Violentmonkey, помню, что-то тоже не заработало (буквально 1-2 скрипта, но без них-то некомфортно). Может, конечно, сейчас ситуация уже изменилась...

MozillaFirefox ★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 4)
Ответ на: комментарий от StReLoK

1) Это затрагивает все сайты, а мне надо точечно. Не вижу смысла афектить весь браузер, или всю систему, если проблема только на одном сайте
2) ЛОР (тема Tango), для основного текста во всяком случае, не использует загружаемые шрифты. Мои глаза заставляет вытекать б-анальный body {font-family: "Arial", sans-serif;}

Юзерстили это простое и гибкое решение, то что отдельно взятую реализацию юзерстилей обмазали сначала облаками, а потом и телеметрией, не проблема юзерстилей. Альтернативы им конечно есть, но они менее универсальные

MrClon ★★★★★ ()
Ответ на: комментарий от Xant1k

И как ты управляешь всеми стилями, т. е. быстро находишь нужный?

Вручную. У меня нет «полных» стилей, есть куски, которые поправляют внешний вид для меня. Все прокомментировано и быстро находится для редактирования. Я предпочитаю видеть сайт, как это задумал его создатель, но без рекламы и моими небольшими правками(если они требуются).

Shein ()
Ответ на: комментарий от Xant1k

Почему нереально? Поиск по url, домену сайта. Например:

@-moz-document domain(www.youtube.com) {}
Это уникальная строка. Стили для ютуба будут только здесь. И так для нужных сайтов. Так что все находится.

Shein ()