ओपन सोर्स Chrome एक्सटेंशन डेवलपर्स के लिए प्रलोभन
(github.com/extesy)- Hover Zoom+ के मेंटेनर ने 2015 से 2026 तक मिले एक्सटेंशन monetization और acquisition offers सार्वजनिक किए और कहा कि वे उपयोगकर्ताओं को बेचने से बचने के लिए इन प्रस्तावों को ठुकराते रहे हैं
- इन प्रस्तावों में बार-बार ऐसे तरीके दिखे जिनमें browser permissions और user base को पैसे में बदला जाता है, जैसे anonymous user data बेचना, search traffic monetize करना, affiliate links जोड़ना, ads·coupons दिखाना, SDK install कराना, या एक्सटेंशन का अधिग्रहण
- प्रस्तावों में “anonymous”, “no personal data”, “no UX impact”, “Google policy compliant” पर ज़ोर दिया गया, लेकिन साथ ही DNS errors, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream, search queries जैसे behavioral data की मांग भी की गई
- मेंटेनर ने बताया कि Hover Zoom+ के कई browsers में लगभग 4 लाख उपयोगकर्ता हैं और यह हर page पर काम करता है, इसलिए यह दुर्भावनापूर्ण पक्षों के लिए बड़ा attack surface और revenue potential बनाता है
- कमेंट चर्चा में source code देखना, permissions list की समीक्षा करना, Chrome Web Store के privacy practices tab को जांचना, recent reviews देखना, network requests को inspect करना, और Site Access को “On Click” तक सीमित करना ऐसे व्यावहारिक तरीके बताए गए जो एक्सटेंशन के जोखिम को कम कर सकते हैं
मेंटेनर ने जो चिंता सामने रखी
- Hover Zoom+ के मेंटेनर ने कहा कि उन्हें वर्षों से एक्सटेंशन monetize करने के कई प्रस्ताव मिले, लेकिन “मैं इसे मज़े के लिए सार्वजनिक करता हूँ, मुनाफे के लिए नहीं”
- उन्होंने समझाया कि खुद मेंटेनेंस जारी रखने की सबसे बड़ी वजह यह है कि किसी और को सौंपने पर यह भरोसा करना मुश्किल है कि वह ऐसे प्रस्तावों के आगे नहीं झुकेगा
- उनका कहना था कि उनके पास पहले से अच्छी तनख्वाह वाली नौकरी है, इसलिए वे अपना “moral compass” बनाए रख सके और इन प्रस्तावों को नज़रअंदाज़ कर सके
- उन्होंने यह भी कहा कि हर डेवलपर के पास ऐसी वित्तीय स्थिरता नहीं होती, इसलिए वे चाहते हैं कि यह थ्रेड एक्सटेंशन डेवलपर्स पर पड़ने वाले आर्थिक दबाव को दिखाए
बार-बार आने वाले monetization प्रस्तावों के प्रकार
- कई प्रस्तावों में Hover Zoom+ के Chrome Web Store user base का हवाला देकर कहा गया कि इससे “काफी revenue” बनाया जा सकता है
- बार-बार सामने आए तरीके ये थे
- anonymous user data इकट्ठा करके ad targeting, market research, business intelligence, और clickstream data के रूप में बेचना
- Bing, Yahoo, Google search या search lander/feed जोड़कर search queries और ad clicks से revenue share लेना
- organic search results में store logo, affiliate link, “Sponsored” links डालना, ताकि खरीद होने पर commission मिले
- coupon, cashback, PopUnder, in-text, new tab, search injection, in-image monetization जैसे ad formats जोड़ना
- SDK या कुछ lines of JS जोड़कर data collection या ad serving features को एक्सटेंशन में integrate करना
- एक्सटेंशन को खरीदने या Google account transfer किए बिना Chrome extension ownership transfer करने के प्रस्ताव
- कुछ प्रस्तावों में “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX” जैसी भाषा के साथ ऐसे monetization पर ज़ोर था जो उपयोगकर्ता को आसानी से न दिखे
प्रस्तावों में मांगा गया data और रकम
- 2015 के एक प्रस्ताव में कहा गया कि अगर anonymous user data को monetize नहीं किया जा रहा, तो शायद “बहुत पैसा छूट रहा है”, और NAI तथा IAB approved ad networks का ज़िक्र किया गया
- 2016 के DNS error research प्रस्ताव में यह data मांगा गया
- NXD, यानी ऐसे domains जो उपयोगकर्ता ने टाइप किए लेकिन जो मौजूद नहीं थे
- घटना का समय
- GEO
- एक unique random user ID, जिसे hash किया जा सकता है और जिसे user tracking के लिए अनुपयोगी बताया गया
- 2020 के बाद के प्रस्तावों में GEO, daily/monthly active users, interest categories, URL, referrer, country, timestamp, browsing behavior, clickstream, browser history जैसी चीजें बार-बार दिखीं
- प्रस्तावित रकम बहुत अलग-अलग थी
- 2016 का एक्सटेंशन खरीद प्रस्ताव: $14,500
- 2020 का analytics platform integration प्रस्ताव: $2,000/माह
- 2020 का search monetization प्रस्ताव: 3 लाख उपयोगकर्ताओं पर $9,000 प्रति दिन संभव होने का दावा
- 2021 का data marketplace SDK integration प्रस्ताव: $30,000/वर्ष
- 2023 का data proposal: अधिकतम $20K/माह
- 2024 का clickstream data partnership प्रस्ताव: $30,000~$40,000/माह
- 2024 का खरीद प्रस्ताव: $30,000
- 2025 का खरीद प्रस्ताव: प्रति उपयोगकर्ता $0.05~$0.15
- 2024 के अंत के एक subscription monetization प्रस्ताव में 4,00,000+ उपयोगकर्ताओं पर 5% conversion मानकर उदाहरण दिए गए: $0.99/माह पर लगभग $19,800/माह, $4.99/माह पर लगभग $99,800/माह, और $9.99/माह पर लगभग $199,800/माह
मेंटेनर की प्रतिक्रिया और निर्णय के मानदंड
- कंपनी के नाम सार्वजनिक न करने के बारे में उन्होंने कहा कि कुछ कंपनियां अमीर हो सकती हैं और कानूनी रूप से काम भी कर रही हों, इसलिए वे मुकदमे का जोखिम नहीं लेना चाहते
- उनका कहना था कि popup ads को उपयोगकर्ता जल्दी पहचान लेते हैं और कारण बने एक्सटेंशन को disable करना आसान होता है, लेकिन छिपे हुए तरीके ज़्यादा समय तक चल सकते हैं
- telemetry पर मेंटेनर ने कहा कि उपयोगकर्ता के नज़रिए से उपयोगिता और tracking की दखलअंदाज़ी के बीच संतुलन हो सकता है, लेकिन डेवलपर के नज़रिए से सबसे अच्छा तरीका है कोई tracking न जोड़ना, ताकि सबसे बड़े user base तक पहुंचा जा सके और anonymization की सीमा पर बहस से भी बचा जा सके
- Hover Zoom+ नाम के पुराने malicious विवाद वाले Hover Zoom से भ्रमित होने की बात पर उन्होंने जवाब दिया कि उनका लक्ष्य हर उपयोगकर्ता को हासिल करना नहीं है; 3 लाख से अधिक लोग पहले ही इसका मूल्य देख चुके हैं, और क्योंकि यह free और non-revenue extension है, वे नाम बदलने या अतिरिक्त प्रमाण देने में समय नहीं लगाएंगे
- 2023 की एक टिप्पणी में मेंटेनर ने Hover Zoom+ की अहमियत के दो कारण बताए
- सभी browsers को मिलाकर लगभग 4 लाख उपयोगकर्ता
- यह किसी खास site पर नहीं, बल्कि हर page पर सक्रिय होता है
- उन्होंने कहा कि ये दोनों बातें मिलकर end users पर बड़ा संभावित attack surface बनाती हैं और malicious actors के लिए बड़े संभावित revenue का संकेत देती हैं
उपयोगकर्ताओं और डेवलपर्स के लिए warning signs
- एक टिप्पणी में कहा गया कि किसी एक्सटेंशन के अधिग्रहण के बाद अगली version में adware या botnet script डाला जा सकता है, और पहले से मौजूद permissions की वजह से यह बिना अतिरिक्त permission popup के भी चल सकता है
- दूसरी टिप्पणी में कहा गया कि कुछ data proposals का संबंध AdTech/RTB उद्देश्यों के लिए user data बेचने से हो सकता है, और Privacy International की adtech सामग्री का लिंक दिया गया
- DNS error data मांगने वाले प्रस्ताव पर एक टिप्पणी ने अनुमान लगाया कि इसका मकसद आम typo domains या expired domains खरीदकर उपयोगकर्ता की navigation को hijack करना हो सकता है
- The Great Suspender मामले का ज़िक्र करने वाली टिप्पणी ने कहा कि कुछ सौदे SDK install नहीं, बल्कि repository या extension ownership transfer पर केंद्रित हो सकते हैं
- 2026 के एक प्रस्ताव में you.com permissions, page content पढ़ना, keystroke capture, external server पर भेजना, session cookie access, और browsing history collection patterns का ज़िक्र था, लेकिन मेंटेनर के नोट में कहा गया कि Hover Zoom+ ऐसा कुछ नहीं करता; यह सिर्फ दिखाता है कि यह कंपनी किस तरह के data में दिलचस्पी रखती थी
यह कैसे जांचें कि कोई एक्सटेंशन monetize हुआ है या नहीं
- मेंटेनर ने कहा कि सबसे भरोसेमंद तरीका है source code पढ़ना
- इसके अलावा उन्होंने ये संकेत बताए
- Chrome Web Store के privacy practices tab में देखें कि डेवलपर ने data collect या use न करने की घोषणा की है या नहीं
- देखें कि public source उपलब्ध है या नहीं
- एक्सटेंशन की permissions list में ऐसी संदिग्ध permissions तो नहीं जो उसके फीचर से मेल नहीं खातीं
- हाल की user reviews में behavior से जुड़ी बार-बार आने वाली शिकायतों के pattern तो नहीं
- chrome-stats जैसी sites के risk estimates को संदर्भ के रूप में देखें
- मेंटेनर ने जोड़ा कि इन सभी संकेतों के साथ छेड़छाड़ की जा सकती है, इसलिए ये “निर्दोषता साबित” करने से ज़्यादा समस्या पकड़ने के तरीके हैं
- एक दूसरी टिप्पणी ने कहा कि Webpack वगैरह की वजह से source पढ़ना मुश्किल हो सकता है, इसलिए एक्सटेंशन द्वारा की जाने वाली network requests को देखना शायद आसान तरीका हो
- उसी टिप्पणी में background या service worker requests को भी देखने और यह समझाया गया कि कई एक्सटेंशन ज़रूरत से ज़्यादा हर page पर चलते हैं, इसलिए Chrome के Site Access को “On Click” तक सीमित करना बेहतर हो सकता है
समुदाय की प्रतिक्रिया और आगे की चर्चा
- कई टिप्पणियों ने इस बात का समर्थन किया कि मेंटेनर ने उपयोगकर्ताओं को नहीं बेचा और इन प्रस्तावों को सार्वजनिक किया
- एक उपयोगकर्ता ने कहा कि ऐसे व्यवहारों के बारे में उपयोगकर्ताओं और एक्सटेंशन डेवलपर्स दोनों में अधिक जागरूकता की ज़रूरत है
- मेंटेनर ने जवाब दिया कि malicious extensions की स्थिति पहले से ही काफी खराब है और ज़्यादा लोगों को इसके बारे में पता होना चाहिए
- Hacker News पर पोस्ट होने का ज़िक्र करने वाली टिप्पणी पर मेंटेनर ने कहा कि उन्हें उम्मीद है कि इससे दूसरे डेवलपर्स को भी “stand” लेने की प्रेरणा मिलेगी
- 1.7 लाख उपयोगकर्ताओं वाले एक दूसरे एक्सटेंशन डेवलपर ने कहा कि उसे भी ऐसे कई प्रस्ताव मिले हैं; एक गरीब छात्र के रूप में वे आकर्षक लगते थे, लेकिन उसने कम दखल देने वाले दूसरे तरीकों से monetization किया
1 टिप्पणियां
Hacker News की राय
ChatGPT for Google इस साल की शुरुआत में HN पर नंबर 1 था, लेकिन अब GitHub repository देखें तो वह extension पहले ही बेच दिया गया है
मेरे पास भी करीब 25,000 installs वाला एक free side-project extension था, और “monetization में मदद करेंगे” जैसे काफी संदेश आए थे
इसलिए मुझे लगा कि तरह-तरह के अजीबोगरीब monetization रास्तों को समेटना उपयोगी होगा: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
ad-tech industry सचमुच कुल मिलाकर घिनौना क्षेत्र है
उस पैसे से घर के down payment की समस्या बहुत छोटी हो जाती है
अपनी नैतिक सीमा कहाँ है, इस बारे में पहले से सोचकर रखना हमेशा अच्छा होता है
ऐसे बेकार proposals का बड़ा हिस्सा साफ तौर पर automated है
“मैं [extension name] का fan हूँ, और यह कितना convenient और useful है, यह मुझे सच में पसंद है।
क्या आपने अपने extension में अपना product promote करना चाहने वाले लोगों को promotional space देने पर विचार किया है? मैं अपने extension को [extension name] में promote करना चाहता हूँ और इस संभावना पर चर्चा करना चाहूँगा।
अगर आपकी रुचि हो तो बताइए।” कुछ इसी तरह
संदर्भ के लिए, यहाँ कुछ लोग शायद जो JSON Formatter extension [0] इस्तेमाल कर रहे होंगे, उसका मालिक मैं हूँ
इसे 12 साल पहले बनाया और open source किया था, अब तक maintain करता आया हूँ, और [1] अभी users 20 लाख हैं
मैं गंभीरता से कसम खाता हूँ कि ऐसा code कभी add नहीं करूँगा जो कोई data कहीं भेजे, और इसे ऐसे किसी व्यक्ति के हाथ में भी नहीं सौंपूँगा जो ऐसा करेगा
ऐसे संदिग्ध लोगों से कई बार लुभावने cash offers मिले हैं, जो सभी का data चुराना या उससे भी बुरा कुछ करना चाहते दिखते थे
कभी-कभी सोचता हूँ कि काश मैंने इस पर अपना नाम न लगाया होता। तब शायद reputation को नुकसान पहुँचाए बिना पैसे ले सकता था
लेकिन नाम लगा दिया है, इसलिए सम्मानपूर्वक बने रहने के अलावा रास्ता नहीं है। फिर भी फायदा यह है कि मैं हमेशा कह सकता हूँ कि मैंने इसे कभी बेचकर नहीं छोड़ा
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] ईमानदारी से कहूँ तो मेहनत बहुत कम लगी
क्योंकि वह एक लाइन का था और उसमें बदलने जैसा कुछ था ही नहीं
लेकिन Chrome Web Store ने 5 साल से ज्यादा बाद उसे हटा दिया, शायद इसलिए कि मैंने कभी कोई update publish नहीं किया था और अब अनिवार्य हो चुकी input fields खाली थीं
इसे न बेचना सम्मानजनक है
सोच रहा हूँ कि क्या आप भी मेरी तरह ऐसे buyout offers public करना शुरू करने पर विचार करेंगे
आप निश्चित रूप से दुनिया को value दे रहे हैं, और मेरी नैतिक सोच के अनुसार आपको बिना संदिग्ध हरकत किए उस value का कुछ हिस्सा वापस पाने का हक होना चाहिए
मैं Streak का founder हूँ, और हम Grammarly जैसी दूसरी जगहों की तरह अपने extension को सीधे monetize करते हैं
जानना चाहूँगा कि क्या आपने users से अपनी मेहनत के बदले सीधे पैसे माँगने की कोशिश की है
इस industry में दिन-ब-दिन मजबूत नैतिकता बनाए रखना मुश्किल होता जा रहा है
या बस चुपचाप अंदर डाल दिया जाता है, पता नहीं
कम-से-कम कोई popup notification तो देखना चाहूँगा जो खतरे का signal हो
maintainer हूँ
मेरे extension को practically monetize करना लगभग असंभव है, इसलिए चाहे कोई भी offer आए, कुछ न कुछ नैतिक sacrifice चाहिए होता है
अब तक देखा सबसे कम intrusive proposal यह था कि मेरे extension के अंदर दूसरे extensions के लिए mutual links डालें, कुछ वैसा ही जैसा DarkReader अपनी website पर करता है
user data का उल्लंघन न भी हो, तो भी मैं यह इसलिए नहीं करता क्योंकि यह उस दूसरे extension को indirect endorsement देने जैसा है, और वे user data कैसे handle करते हैं इस पर मेरा control नहीं है
अगर यह बड़ा हुआ, तो “आखिर में सभी बेच ही देते हैं” वाली, खुलकर कम कही जाने वाली लेकिन आम धारणा को तोड़ने में मदद मिलेगी
अभी Chrome इस्तेमाल नहीं करता, लेकिन पहले Hover Zoom+ मुझे सच में पसंद था, और मेरी पत्नी अब भी इसे अच्छी तरह इस्तेमाल करती है
शानदार extension है, और यह comment और linked GitHub issue पढ़ने के बाद और ज्यादा भरोसा हुआ
उस समय imagus पर चला गया और उसी का अभ्यस्त हो गया
खैर, monetization attempts ठुकराने के लिए धन्यवाद
मुझे इस समस्या का हल नहीं पता, लेकिन मैं कुछ भरोसेमंद, कानूनी कंपनियों को जानता हूँ जो users से असली पैसे में पहले से monetization करते हुए भी user data को लगभग 20 पाउंड में बेचती हैं
मैं ऐसा कभी नहीं करूँगा क्योंकि privacy का उल्लंघन मेरी मान्यताओं के बिल्कुल खिलाफ है, लेकिन यहाँ एक अनसुलझा टकराव है
एक तरफ मुझे पता है कि users का बड़ा हिस्सा एक पैसा देने के बजाय अपनी privacy बेचना पसंद करेगा
वे किसी भी समय “पैसे चुकाएँ” बटन की तुलना में “मेरा data बेचें” बटन दबाने को तैयार होंगे
मैंने इतने users से बात की है कि मैं यह कह सकता हूँ
कई users free न हो तो हंगामा करते हैं, लेकिन personal information सौंपने पर उनकी नींद तक नहीं उड़ती
बेशक, मैं आम तौर पर बहुसंख्यक लोगों की बात कर रहा हूँ
दूसरी तरफ मैं चाहता हूँ कि internet ऐसी जगह बने जहाँ बेईमान actors फल-फूल न सकें
असली दुनिया में ज्यादातर लोग कुछ भी मुफ्त में पाने की उम्मीद नहीं करते, तो internet अलग क्यों होना चाहिए
क्यों हर कोई, मैं खुद भी, internet पर हमेशा free चीजें ढूँढता है
सबसे बुरी बात यह है कि आखिरकार online पैसा खर्च करने वाली अकेली parties data चोर और advertisers ही रह जाती हैं
बाकी लोग अपनी आत्मा दे रहे हैं
developers से उम्मीद की जाती है कि वे इस पूरी संरचना को बनाए रखने के लिए मुफ्त में काम करें
ऊपर से “data” शब्द भी आम user के लिए अस्पष्ट होता है
EU और California जैसे नियमों को यही चीजें लागू करवानी चाहिए
अगर विकल्प इस तरह रखा जाए कि “आपके बारे में हमारे पास यह data है: डरावनी tracking से निकले a,b,c,d... सहित। अगर आप हमें कई तरीकों से आपकी privacy का उल्लंघन करने की अनुमति देते हैं तो हम यह छोटा सा खिलौना मुफ्त देंगे। वरना x रुपये चुकाएँ”, तो कितने लोग privacy उल्लंघन को चुनेंगे
internet का बड़ा हिस्सा किसी न किसी रूप में communication है
असली दुनिया में भी बहुत सा communication मुफ्त में मिलता है
उल्टा मुझे हैरानी होती है कि हर कोई internet को अनजान मूल निवासियों को सस्ते खिलौने बेचकर अमीर बनने का platform क्यों मानता है
कुछ चीजों को non-profit के रूप में चलाना बेहतर हो सकता है
Firefox में ऐसा कुछ पहले से लगता है(https://mzl.la/3Acn4DU)
Chrome extensions के लिए किसी auditor के बारे में मुझे पता नहीं
Google या Mozilla जैसे भरोसेमंद संगठन या group extensions को audit करके “certify” कर सकते हैं कि उनमें malware नहीं है
इसके अलावा extensions 100% open source होने चाहिए, और अगर भरोसेमंद संगठन compromise हो जाए या अपना काम न कर पाए, तो आखिरकार बात खुल जाएगी और लोग इस्तेमाल बंद कर देंगे
बेशक यह perfect नहीं है
adware auditor से भी छिप सकता है, और auditor compromise हो जाए तो किसी को पता भी न चले
जिन extensions में जटिल code ज्यादा है, उनमें लागत और समय ज्यादा लगेगा, इसलिए पूरी तरह ठीक popular extensions भी certification नहीं पा सकते
changes का भी हमेशा audit होना होगा, जिससे updates धीमे और दबे रहेंगे
आखिरी समस्या, जिसे आसानी से नजरअंदाज किया जा सकता है, यह है कि auditor किसी खास extension को approve करने में biased हो सकता है, जैसे भुगतान करने वाले पक्ष के पक्ष में
अगर code बहुत पढ़ना मुश्किल हो या review queue के पीछे हो तो उसे approve नहीं किया जा सकता, और “बहुत पढ़ना मुश्किल” का मानक और queue में जगह पैसे से आसानी से प्रभावित हो सकते हैं
फिर भी web extensions दूसरे apps की तुलना में audit के लिए अच्छे software हैं
क्योंकि वे आम तौर पर काफी छोटे और सरल होते हैं, users की जरूरी संख्या कम होती है, और bank व confidential sites सहित पूरी web browsing जैसे बहुत trusted क्षेत्र में चलते हैं
sandboxed phone apps या computer के user-mode programs की तुलना में नुकसान अभी भी हो सकता है, लेकिन काफी कम होता है
जब आप किसी चीज का payment करते हैं तो वैसे भी identity information सौंपते हैं
value exchange साफ तौर पर एक तरफ झुका हुआ है, लेकिन X पाने के लिए अगर identity भी share करनी पड़े और पैसे भी देने पड़ें, तो पैसे भी गए और identity भी share हो गई
अगर identity share करके X मुफ्त में मिलता है, तो कम से कम पैसे नहीं जाते
वास्तविकता में आम तौर पर आप ऐसे विकल्पों के बीच होते हैं कि पैसे देकर भी data बिकेगा, और मुफ्त इस्तेमाल करने पर data बहुत ज्यादा बिकेगा
ज्यादातर paid services भी अपनी privacy policy, terms और user agreement में वैसे ही लिखती हैं कि वे data कैसे बेचती हैं
सबसे अच्छे हाल में बस उम्मीद कर सकते हैं कि cash flow को लेकर वे कम desperate हैं, इसलिए खरीदारों को थोड़ा ज्यादा चुनिंदा रखेंगी
लेकिन user पर असर ज्यादा होता है
अब उनके पास credit card, address, real name और phone number होता है, और ये सब hacking व leaks के लिए vulnerable हैं
free account की तुलना में ऐसी जानकारी झूठी देना भी मुश्किल होता है, इसलिए collect किए गए data की value ज्यादा होती है और उसी अनुपात में temptation भी बढ़ता है
इसके अलावा paid services में dark patterns से भरे consumer-hostile subscription systems होते हैं
पसंद न आने पर cancel करना बेवजह झंझट भरा होता है, और free trial तक credit card माँगता है
पैसा वास्तव में कहाँ खर्च हो रहा है, इसमें भी transparency बहुत कम होती है
कई services घाटे में चलती हैं, customer fees सिर्फ दिखावा होती हैं और असली पैसा investors से आता है
कुछ companies के लिए paid model एक तरह का पर्दा हो सकता है, और असली exit कई साल तक data इकट्ठा करने के बाद data aggregator द्वारा acquire होना हो सकता है
दूसरी तरफ ऐसे लोग भी हैं जो बेतुके inflated prices पर सीधे-सादे customers को फँसाते हैं
इन वजहों से पैसे देने का विकल्प अविश्वास से दूषित है; यह सिर्फ इसलिए नहीं है कि consumers कंजूस हैं और entitlement रखते हैं
अविश्वास किसी भी market को जल्दी ठहरा सकता है
फिर भी मैं industry को बहुत दोष नहीं देता
1848 के California की तरह, चारों तरफ पड़े सोने को उठाने वाले को दोष देना मुश्किल है
असली समस्या यह है कि users को यह देखने और control करने देने वाले tools, infrastructure और regulatory framework नहीं हैं कि उनका data कैसे इस्तेमाल होता है
अगर लोग सचमुच payment की जगह अपना data बेचना चाहते हैं, तो उन्हें ऐसा करने देना चाहिए
लेकिन अभी ज्यादातर users नहीं जानते कि ठीक-ठीक कौन सा data collect हो रहा है और उसकी value कितनी है
वे rationally यह तय करने की स्थिति में नहीं हैं कि 5 डॉलर का app खरीदना 20 डॉलर की data mining झेलने से बेहतर है
चुभने वाली बात यह है कि apps data monetization को छिपाते हैं, उसे अनिवार्य बनाते हैं, या consent न देने पर service इस्तेमाल करने का कोई तरीका नहीं देते
खासकर वे services और भी खराब हैं जहाँ participate न करने का विकल्प तक नहीं चुना जा सकता
मिसाल के तौर पर, मेरे workplace ने अभी-अभी Equifax की “The Work Number” सेवा अपनाई है, इसलिए मैं account बनाऊं या नहीं, मेरा डेटा पहले से ही वहाँ है
इससे भी बुरी बात यह है कि अगर मैं account नहीं बनाता, तो किसी और के लिए मेरी इच्छा से अलग और ज़्यादा जानकारी इकट्ठा करने के लिए account बनाने की कोशिश करने की गुंजाइश बची रहती है
लोग अपने डेटा के साथ क्या चुनते हैं, इस पर अपना नज़रिया थोपने की मुझे कोई नैतिक बाध्यता महसूस नहीं होती
अगर वे सच में सहमत हैं और 20 डॉलर, या app में उस डेटा की जितनी भी कीमत है, उतना पैसा बचाना चाहते हैं, तो सिर्फ इसलिए कि मैं उनके privacy जानकारी संभालने के तरीके से सहमत नहीं हूँ, उनसे विकल्प छीन लेना भी इसी वजह से दबाव डालने से बहुत अलग नहीं है
मेरे लिए अहम फर्क यह है कि क्या मुझे इससे फायदा मिल रहा है, लेकिन अगर हर मामले में विकल्प मौजूद हो, तो user स्थिति को कैसे तौलता है, इसके लिए यह बात असल में मायने नहीं रखती
वेबसाइट चलाने पर ऐसे ईमेल लगातार आते रहते हैं
“नमस्ते,
मैं पूछना चाहता/चाहती हूँ कि क्या आप मौजूदा लेखों में guest post योगदान या link insertion स्वीकार करते हैं। अगर संभव हो, तो guidelines और रुचि के topics के बारे में और जानना चाहूँगा/चाहूँगी।
समय देने के लिए धन्यवाद। आपके जवाब का इंतज़ार रहेगा।
धन्यवाद।”
यह साफ़ तौर पर mass spam है। मेरी site पर तो blog भी नहीं है
मेरी site पर Windows software downloads भी कुछ हैं, और कभी-कभी संदिग्ध installer bundle के प्रस्ताव वाले ईमेल भी मिलते हैं
ज़्यादातर residential proxy services होती हैं, जो users के internet connection तक access बेचने की कोशिश करती हैं
वे इतना ज़्यादा context डाल देते हैं कि वास्तविक इंसान जैसे लगते हैं, अंत में बहुत समय बर्बाद कराते हैं, और सच कहूँ तो काफ़ी चोट पहुँचती है
हम resources share करने में बहुत समय लगाते हैं, इसलिए ऐसे fake connections बहुत खराब लगते हैं
हाल ही में गहरे context के साथ AI से लिखे गए “award shortlist” टाइप ईमेलों की बाढ़ आ गई थी
अंदाज़ ऐसा कि बस एक आसान payment कर दो, तो award nominee के तौर पर consider कर लेंगे
बस वे हमेशा topic alignment भूल जाते हैं कि हम software security service नहीं चलाते, बल्कि web scraping पर काम करते हैं
लगता है AI अजनबियों के बीच email communication को मार देगा
अब बहुत थकान होने लगी है
अंत में लगी job title मज़ेदार है
“Subject: आपकी website में security vulnerability मिली है।
नमस्ते team,
मैं security researcher Harris हूँ, और मैंने bug bounty program के बाहर आपकी website में एक security vulnerability पाई है।
मैं पाई गई सभी vulnerabilities और उन्हें ठीक करने के उचित तरीकों का खुलासा भी कर सकता हूँ, ताकि आपकी website अधिक सुरक्षित हो सके।
जिन companies की मैंने मदद की, वे हमेशा उदार रही हैं और मेरी खोजी गई समस्या के लिए उन्हें उचित लगे amount से मुझे reward किया है। अगर आप मेरी मदद को अच्छा मानते हैं, तो PayPal, Bitcoin, Payoneer या bank transfer से bonus payment पाकर मुझे खुशी होगी।
सकारात्मक जवाब का इंतज़ार रहेगा।
धन्यवाद,
Harris A
Certified Ethical Hacker”
TOR operators को connection sharing के जोखिम पता हैं, खासकर यह जोखिम कि pedophiles उनकी service का इस्तेमाल CSAM share करने के लिए कर सकते हैं
लेकिन आम लोगों को नहीं पता
किसी दिन गिरफ्तार होने तक उन्हें बिल्कुल पता नहीं होता
मुझे भी ऐसे ईमेल मिलते हैं, लेकिन मैं WordPress site चला रहा हूँ, इसलिए मुझे पूरा यकीन था कि ये लोग websites की fingerprinting करके सिर्फ WordPress sites को ही mail भेजते हैं
इसलिए मेरी to-do list में यह check करना था कि क्या WordPress fingerprint छिपाई जा सकती है
लेकिन यहाँ जो कहा जा रहा है, उससे साफ़ है कि उसका शायद कोई खास असर नहीं होगा
पीछे मुड़कर देखें तो समझ आता है कि ऐसे spammers बस सबको mass email भेजते होंगे
यहाँ मूल समस्या यह है कि browser extensions को वैध तरीके से monetize करने का कोई तरीका नहीं है
extensions को simple रहने के लिए बनाया गया है, इसलिए premium features बेचना मुश्किल है, और आम तौर पर उनके पास ads डालने की अपनी जगह भी नहीं होती
https://developer.chrome.com/docs/webstore/money/
“Chrome Web Store launch हुए 11 सालों में web बहुत विकसित हुआ है। उस समय हम developers को Web Store items monetize करने का तरीका देना चाहते थे। लेकिन तब से ecosystem बढ़ चुका है, और developers के पास अब इस्तेमाल करने के लिए payment processing के कई options हैं।”
ऐसे ईमेल भेजने वाले malicious actors user data से उन्हें मिलने वाली value के लिए पैसे देने को तैयार हैं
इन दो numbers का आपस में कोई संबंध नहीं है, और user data की value अक्सर extension features की value से कहीं ज़्यादा होती है
monetization से इस समस्या को हल करने का कोई तरीका नहीं है
क्योंकि दोनों संभावित customers एक ही product नहीं खरीद रहे हैं
ज़्यादातर extensions simple होते हैं और सच में उन्हें updates की ज़रूरत नहीं होती
लेकिन update mechanism चुपचाप, पूरी तरह automatic है और rollback भी नहीं है
Steam तक में इतना aggressive update model याद नहीं आता
मैं software licensing API चलाता हूँ, और मेरे पास काफ़ी अच्छी user base वाले browser extension customers कम नहीं हैं
दूसरे distribution channels की तरह monetization opportunities मौजूद हैं
यह प्रस्ताव harmless दिखता है, और यहां तक कि मददगार भी लग सकता है, इसलिए दिलचस्प है
कहा जा रहा है कि यह DNS error monitoring है, तो मैं क्या miss कर रहा हूं?
“आपको अक्सर business proposals मिलते होंगे, इसलिए सीधे मुद्दे पर आता हूं। मेरी पेशकश थोड़ी अलग है और उम्मीद है कि सचमुच दिलचस्प भी हो सकती है। मुझे लगता है कि Hover Zoom+ अपने बड़े भाई Hover Zoom का बेहतरीन विकल्प है, जिसने पिछले कुछ महीनों में अपनी चमक खो दी है।
हम DNS error research कर रहे हैं, और हमें उस थोड़े-से anonymous data में दिलचस्पी है जो शायद आपके Chrome extension के जरिए मिल सकता है। हमारी research कई सालों से चल रही है और Google ने इसे कभी मुद्दा नहीं बनाया।
हमें जिस data में दिलचस्पी है, वह मूल रूप से सिर्फ DNS errors हैं:
बस इतना ही। आप हमारा script इस्तेमाल कर सकते हैं, या खुद data collect करके FTP server, API आदि पर भेज सकते हैं। तरीके कई हैं। Payment monthly होगा, और amount user GEO पर निर्भर करेगा, लेकिन सालाना कई हजार dollars के स्तर का होगा।
क्या इस पर थोड़ी-सी चर्चा करना worth होगा? आपके जवाब का इंतजार रहेगा।
कुछ समय पहले मैंने हमारी company की DNS error research के सिलसिले में आपसे संपर्क किया था। Hover Zoom+ हमारी research के लिए एक ideal medium होगा। बदले में यह आपके लिए revenue का एक मजबूत नया source बन सकता है।
हमारा तरीका कई सालों से चल रहा है और Google के साथ कभी कोई समस्या नहीं हुई। हम monthly recurring payments करते हैं। आपके लिए यह सालाना दसियों हजार dollars के स्तर का होगा, और amount आपके user base और data quality पर निर्भर करेगा।
अगर third-party script शामिल करने को लेकर चिंता है, तो भी इसे संभव बनाने के कई तरीके हैं।
कृपया बताएं कि क्या इस पर थोड़ी-सी चर्चा करना worth है।”
जैसे अक्सर गलत type किए जाने वाले domains
यह banned तो नहीं है, लेकिन फिर भी थोड़ा suspicious है
वे ऐसे domains देखना चाहते हैं जिन्हें users अक्सर गलत type करते हैं और NX response पाते हैं, फिर उन्हें register करके ads दिखाना या phishing वगैरह करना चाहते हैं
इसलिए best case में भी कोई business interest है, और worst case में users के लिए harmful action होने की संभावना है
ऐसा script लिखना मुश्किल नहीं है जो ऊपर से एक काम करता दिखे लेकिन चुपके से दूसरी information भी ले जाए
उदाहरण के लिए खराब hash function लिखना? बहुत आसान है
हमेशा ATP के gradient को follow करना चाहिए
अगर लगभग 3 लाख users वाले extension को भी ऐसे aggressive proposals इतने मिलते हैं, तो जिन extensions की reach millions में है उन्हें कितनी जबरदस्त offers मिलती होंगी, यह सोचकर उत्सुकता होती है
extension ecosystem के incentives पूरी तरह misaligned लगते हैं
Ruffle का official email inbox भी ऐसे proposals से भरा रहता है
एक free और libre software extension के लिए जो amounts offer किए जाते हैं, वे इतने बड़े हैं कि लगता है buyers बस इतना malware भरना चाहते हैं कि Google या Mozilla[0] उन्हें तुरंत block न कर दें
निजी तौर पर मुझे लगता है कि new ownership structure की prior approval और verification के बिना extension ownership transfer की अनुमति नहीं होनी चाहिए
new listing के पास reviews या trust नहीं होता, इसलिए existing extension transfer को जानबूझकर नया extension बनाने से भी मुश्किल होना चाहिए
ऐसी policy की practical तकलीफ कभी-कभी खुद झेलने वाले व्यक्ति के रूप में[1], मैं यह जानते हुए कह रहा हूं कि bureaucracy से गुजरना कितना annoying होता है
underground extension trading market अविश्वसनीय रूप से shady है, और user trust को बहुत आसानी से हल्के में लेता है
[0] दुर्भाग्य से हमारी AMO listing पहले से machine-generated code के रूप में flagged है, क्योंकि हम Rust/WASM इस्तेमाल करते हैं। इसलिए Mozilla हमारा build byte-for-byte reproduce कर सके तभी extension submission approve होता है
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
middle school में मेरे दिमाग में आई एक गंदी योजना याद आ गई
step 2 तक पहुंचा, फिर वहीं रुकने का फैसला किया
यह अलग करना सचमुच मुश्किल है कि कौन-सा behavior intended है और कौन-सा नहीं
सालों पहले मुझे याद है कि मैं एक motd plugin खोज रहा था जो server से connect होने पर सिर्फ message दिखाए
मुझे एक काफी simple plugin मिला, लेकिन वह update check के लिए home ping कर रहा था
developer शायद useful feature डालना चाहता था, लेकिन मेरा cynical side मानता है कि वह उस plugin को चलाने वाले servers के IP addresses हासिल करना चाहता था
unauthenticated debug command भी था, और वह folder के अंदर किसी भी motd file की contents print कर सकता था
लेकिन string escaping ठीक से नहीं की गई थी, इसलिए
../...से directory से बाहर निकलकर कोई भी file print की जा सकती थीपता नहीं author ने सचमुच इसका misuse किया था, या वह अपना पहला plugin लिख रहा कोई भोला 14 साल का बच्चा था
अगर misuse करना चाहता था तो वह कौन-सी file print करना चाहता था, यह भी नहीं पता, लेकिन निश्चित रूप से यह बेहद suspicious था
कई लोगों को WorldEdit, creative mode, admin commands आदि तक access मिल गया था
पुराने anarchy servers से आगे, आज Minecraft mod community कई supply-chain attacks और deserialization vulnerabilities वगैरह झेल रही है