इंस्टॉल किए गए Chrome extensions के मालिक बदलने का पता लगाएँ

 (github.com/classvsoftware)
2 पॉइंट द्वारा GN⁺ 2024-03-07 | 1 टिप्पणियां | WhatsApp पर शेयर करें

नए प्रबंधन के तहत

  • Chrome Web Store में सूचीबद्ध डेवलपर जानकारी बदली है या नहीं, यह जांचने की क्षमता वाला extension.
  • इंस्टॉल किए गए extensions के ownership change को बीच-बीच में जांचता है.
  • बदलाव होने पर extension icon पर लाल badge दिखाकर उपयोगकर्ता को सूचित करता है.
  • Matt Frisbie द्वारा बनाया गया.
  • Hacker News discussion में चर्चा की गई.

इसकी ज़रूरत क्यों है?

  • extension developers को लगातार अपने extensions खरीदने के प्रस्ताव मिलते रहते हैं.
  • ज़्यादातर मामलों में, ऐसे खरीदार मौजूदा users को धोखा देने की कोशिश करते हैं.
  • उपयोगकर्ताओं को यह पता नहीं चलता कि extension बदल चुका है, और अब यह compromised हो सकता है.
  • Under New Management ownership change की सूचना देकर उपयोगकर्ताओं को अपने इस्तेमाल किए जा रहे software के बारे में सूचित निर्णय लेने में सक्षम बनाता है.

इंस्टॉल कैसे करें

  • यहाँ से इंस्टॉल करें: (Chrome Web Store approval का इंतज़ार है)
  • या prebuilt release डाउनलोड करें, .zip फ़ाइल को extract करें और dist directory को Chrome में load करें.

source से build करना

  • Under New Management Parcel, React, Typescript, TailwindCSS का उपयोग करता है.
  • yarn install से dependencies इंस्टॉल करें.
  • yarn start से local में चलाएँ.
  • yarn build से release build करें.

बाहरी server की ज़रूरत क्यों है?

  • browser में extension marketplace domains को modify करने के लिए विशेष नियम होते हैं.
  • उदाहरण के लिए, chromewebstore.google.com के लिए declarative_net_request rule सेट नहीं किया जा सकता.
  • इसलिए यह extension डेवलपर जानकारी की जांच ExBoost API server को सौंपता है.

GN⁺ की राय

  • यह extension एक महत्वपूर्ण tool है जो उपयोगकर्ताओं को अपनी privacy और data की सुरक्षा में मदद करता है. extension की ownership बदलने पर यह उपयोगकर्ताओं को सूचित करता है, जिससे वे ownership change से पैदा होने वाले संभावित security risks का सामना कर सकते हैं.
  • extension ownership change उपयोगकर्ताओं के सामने पारदर्शी रूप से उजागर किया जाना चाहिए, और ऐसे बदलावों का पता लगाने वाले tools उपयोगकर्ताओं का trust बनाए रखने में महत्वपूर्ण भूमिका निभाते हैं.
  • इस तकनीक या इसी तरह की functionality देने वाले अन्य open source projects में EFF का Privacy Badger और DuckDuckGo का Privacy Essentials शामिल हैं. ये उपयोगकर्ता की online privacy की सुरक्षा पर केंद्रित हैं.
  • इस extension को अपनाते समय यह देखना चाहिए कि क्या यह वास्तव में ownership changes को सही ढंग से detect करता है, और क्या यह detection उपयोगकर्ता के browsing experience पर नकारात्मक प्रभाव नहीं डालती.
  • क्योंकि ownership change उपयोगकर्ताओं के लिए वास्तविक security risk पैदा कर सकता है, इसलिए ऐसे extensions बहुत उपयोगी और आवश्यक tools हैं. हालांकि, यह ज़रूरी नहीं कि extension हर ownership change को पूरी तरह detect कर सके, और न ही हर detected change हमेशा नकारात्मक परिणाम का संकेत देता है, इसलिए उपयोगकर्ताओं को फिर bhi सावधान रहना चाहिए.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-07
Hacker News राय
  • कुछ महीने पहले, लेखक ने YouTube विज्ञापनों को तेज़ी से स्किप करने वाला एक मुफ्त open source extension बनाया और उसे Hacker News पर साझा किया, जहाँ वह homepage तक पहुँचा। एक हफ्ते बाद, एक उपयोगकर्ता ने उसे कॉपी करके अपना version Reddit पर प्रचारित किया, जो viral हो गया और 3 लाख से अधिक users तक पहुँच गया। लेखक ने सवाल उठाया कि किसी ने एक मुफ्त open source extension को कॉपी क्यों किया, और बताया कि बाद में उस उपयोगकर्ता ने उसे कई साइटों पर 5-अंकीय रकम में बेचने की कोशिश की। लेखक ने यह भी पाया कि Chrome Store में दर्ज developer बदल गया था.
    • extension का ID उस private key से derive होता है जो developer app store पर पहली upload के समय देता है, और बाद की upload में अगर अलग key.pem शामिल हो, तो ID बदल जाता है। अगर ID बदल गया है, तो owner बदलने की संभावना है, लेकिन यह भी हो सकता है कि मूल owner ने private key नए owner को दे दी हो। Google हर upload पर private key नहीं मांगता, इसलिए नया owner उस key तक पहुँच के बिना भी changes upload कर सकता है.
    • एक उपयोगकर्ता ने कहा कि extension ecosystem बहुत दिलचस्प है, और वह इस क्षेत्र के लिए tools विकसित कर रहा है। वह किसी खास extension को target करके एक GitHub repository बनाना चाहता है, updates को track करना चाहता है, हर update को repository में changes के रूप में push करना चाहता है, फिर code पर static analyzer चलाना और runtime taint analysis के साथ प्रयोग करना चाहता है.
    • एक लोकप्रिय open source Chrome extension के owner ने कहा कि वर्षों में मिली donations एक महीने के cafe खर्च को भी कवर नहीं करतीं। लेकिन उसे कई बार malicious मकसद से extension खरीदने के प्रस्ताव मिले, जिन्हें उसने सभी ठुकरा दिया। उसका कहना था कि security और privacy के लिए सिर्फ मूल developer की नैतिकता ही एकमात्र framework नहीं होनी चाहिए.
    • जैसा कि एक अन्य commenter ने कहा, यह extension उपयोगी है, लेकिन इसे मूल browser में built-in feature होना चाहिए। यह सवाल भी था कि क्या ownership change की सूचना अपने आप मिलती है, या manually check command चलानी पड़ती है। यह राय भी आई कि policy ऐसी होनी चाहिए कि extension ownership change के लिए user approval ज़रूरी हो.
    • Firefox extensions के मामले में, Mozilla एक 'Recommended Extensions Program' चलाता है, जिसमें security experts द्वारा सख्त technical review किया जाता है। लेकिन क्या हर update को release से पहले review किया जाता है, यह स्पष्ट नहीं है। अगर सभी updates की review होती हो, तो लोकप्रिय extensions से जुड़ी इस समस्या का समाधान हो सकता है.
    • अगर extension दुर्भावनापूर्ण मकसद से हाथ बदलता है, तो कई बार Google developer account की credentials ही बेची जाती हैं, इसलिए ऐसे मामलों का पता नहीं चल पाता.
    • एक उपयोगकर्ता ने कहा कि उसने बहुत पहले adblock install किया था, और नए computer पर फिर install करते समय permissions देखीं। विज्ञापन block करने के लिए extension को यह देखने की ज़रूरत होती है कि user क्या देख रहा है, लेकिन उसने कभी नहीं सोचा था कि इसके लिए कितनी permissions चाहिए होती हैं। अब वह pihole का उपयोग करता है और कोई extension इस्तेमाल नहीं करता.
    • यह सवाल उठाया गया कि क्या malicious extension buyers developer का नाम वही रखकर इस समस्या से बच सकते हैं, और क्या Chrome extension store में developer name को सख्ती से नियंत्रित किया जाता है.
    • extension के उद्देश्य से सहमति थी, लेकिन सभी installed extensions की सूची को extension-केंद्रित ad network को भेजना संदिग्ध लगा। समझाया गया कि browser के पास extension marketplace domain को modify करने के लिए विशेष rules होते हैं, इसलिए external server की ज़रूरत पड़ती है.
    • यह feature सभी browsers में built-in होना चाहिए, और owner बदलने पर update अपने आप disable हो जाना चाहिए.