4 pontos por GN⁺ 2023-08-10 | 1 comentários | Compartilhar no WhatsApp
  • O mantenedor do Hover Zoom+ divulgou as propostas de monetização e aquisição de extensões que recebeu entre 2015 e 2026, afirmando que as recusou para não vender seus usuários
  • As propostas repetidamente transformavam permissões do navegador e base de usuários em dinheiro, por meio de venda de dados anônimos de usuários, monetização de tráfego de busca, inserção de links de afiliados, exibição de anúncios e cupons, instalação de SDKs e aquisição da extensão
  • Embora os documentos enfatizassem termos como “anônimo”, “sem dados pessoais”, “sem impacto na UX” e “em conformidade com as políticas do Google”, também pediam dados comportamentais como erros de DNS, localização geográfica, DAU/MAU, URLs, referrers, browsing behavior, clickstream e consultas de busca
  • O mantenedor explicou que, como o Hover Zoom+ tem cerca de 400 mil usuários em vários navegadores e funciona em todas as páginas, ele cria uma grande superfície de ataque e potencial de receita para agentes mal-intencionados
  • Nas discussões dos comentários, foram apresentados como formas práticas de reduzir riscos de extensões: verificar o código-fonte, revisar a lista de permissões, consultar a aba de privacy practices da Chrome Web Store, ler avaliações recentes, verificar requisições de rede e limitar o Site Access para “On Click”

A preocupação divulgada pelo mantenedor

  • O mantenedor do Hover Zoom+ contou que, ao longo de vários anos, recebeu muitas propostas para monetizar a extensão e disse que estava publicando isso “por diversão, mas não por lucro”
  • Ele explicou que o principal motivo para continuar fazendo a manutenção é que seria difícil confiar que outra pessoa não cairia nessas propostas caso assumisse o projeto
  • Ele disse ter um emprego suficientemente bem remunerado, o que lhe permitiu manter uma “bússola moral” e ignorar as ofertas
  • Como nem todo desenvolvedor tem a mesma estabilidade financeira, ele disse esperar que a thread mostre a pressão financeira que desenvolvedores de extensões recebem

Tipos recorrentes de propostas de monetização

  • Muitas propostas abordavam o mantenedor dizendo que a base de usuários do Hover Zoom+ na Chrome Web Store poderia gerar uma “receita significativa”
  • Os métodos que apareciam repetidamente eram os seguintes
    • Coletar dados anônimos de usuários e vendê-los para segmentação de anúncios, pesquisa de mercado, business intelligence e dados de clickstream
    • Adicionar busca do Bing, Yahoo ou Google, ou um search lander/feed, para repartir receita de consultas de busca e cliques em anúncios
    • Inserir store logo, affiliate link ou links “Sponsored” nos resultados de organic search, pagando comissão quando uma compra ocorresse
    • Inserir formatos de anúncio como coupon, cashback, PopUnder, in-text, new tab, search injection e in-image monetization
    • Adicionar um SDK ou algumas linhas de JS para integrar coleta de dados ou exibição de anúncios à extensão
    • Comprar a própria extensão ou transferir a Chrome extension ownership sem transferir a conta Google
  • Algumas propostas enfatizavam monetização pouco visível ao usuário, com expressões como “soft to hard methods”, “invisible monetization methods” e “does not interfere with UX”

Dados e valores mencionados nas propostas

  • Uma proposta de 2015 dizia que ele poderia estar “deixando muito dinheiro na mesa” se não monetizasse anonymous user data, mencionando redes de anúncios aprovadas pela NAI e pela IAB
  • Uma proposta de pesquisa sobre erros de DNS, em 2016, pedia os seguintes dados
    • NXD, ou seja, domínios que o usuário digitou, mas que não existem
    • Horário da ocorrência
    • GEO
    • Um ID de usuário aleatório único que, segundo a proposta, poderia ser hasheado e não permitiria rastrear o usuário
  • Em propostas posteriores a 2020, itens como GEO, usuários ativos diários e mensais, classificação de interesses, URL, referrer, country, timestamp, browsing behavior, clickstream e browser history apareciam repetidamente
  • Os valores oferecidos variavam bastante
    • Proposta de compra da extensão em 2016: US$ 14.500
    • Proposta de integração com analytics platform em 2020: US$ 2.000/mês
    • Proposta de monetização de buscas em 2020: alegava ser possível chegar a US$ 9.000 por dia com base em 300.000 usuários
    • Proposta de integração com SDK de data marketplace em 2021: US$ 30.000/ano
    • Proposta de dados em 2023: até US$ 20 mil/mês
    • Proposta de parceria de clickstream data em 2024: US$ 30.000 a US$ 40.000/mês
    • Proposta de compra em 2024: US$ 30.000
    • Proposta de compra em 2025: US$ 0,05 a US$ 0,15 por usuário
  • No fim de 2024, uma proposta de monetização por assinatura apresentou exemplos assumindo conversão de 5% sobre uma base de mais de 400.000 usuários: a US$ 0,99/mês seriam cerca de US$ 19.800/mês; a US$ 4,99/mês, cerca de US$ 99.800/mês; e a US$ 9,99/mês, cerca de US$ 199.800/mês

Respostas e critérios do mantenedor

  • Sobre o motivo de não divulgar os nomes das empresas, ele respondeu que algumas delas podem ser ricas e operar legalmente, e que não quer assumir risco de processos
  • Ele explicou que pop-ups de anúncios são fáceis de o usuário perceber e desativar a extensão causadora, mas que métodos discretos podem durar muito tempo
  • Sobre telemetria, o mantenedor disse que, do ponto de vista do usuário, há um equilíbrio entre utilidade e invasividade do rastreamento; mas, do ponto de vista do desenvolvedor, não incluir rastreamento nenhum permite alcançar a base de usuários mais ampla e também evita debates sobre o grau de anonimização
  • À observação de que o nome Hover Zoom+ pode ser confundido com o Hover Zoom, que teve controvérsias de comportamento malicioso no passado, ele respondeu que seu objetivo não é conquistar todos os usuários; mais de 300 mil pessoas já veem valor na extensão, que é gratuita e não gera receita, então ele não pretende gastar tempo mudando o nome ou fornecendo mais provas
  • Em um comentário de 2023, o mantenedor resumiu em dois pontos por que o Hover Zoom+ é valioso
    • Cerca de 400 mil usuários somando todos os navegadores
    • Ele é ativado em todas as páginas, não apenas em sites específicos
  • Ele explicou que a combinação desses dois fatores cria uma grande superfície potencial de ataque contra usuários finais e, para agentes mal-intencionados, significa um grande potencial de receita

Sinais de risco para usuários e desenvolvedores

  • Um comentário apontou que, depois de uma extensão ser adquirida, a versão seguinte pode incluir adware ou um botnet script e, por causa das permissões já existentes, funcionar sem um novo pop-up pedindo permissões adicionais
  • Outro comentário explicou que algumas propostas de dados podem estar ligadas à venda de dados de usuários para fins de AdTech/RTB e linkou materiais da Privacy International sobre adtech
  • Sobre a proposta que pedia dados de erros de DNS, um comentário interpretou que a intenção poderia ser registrar domínios de erros de digitação comuns ou domínios expirados para interceptar a navegação do usuário
  • Um comentário que mencionou o caso The Great Suspender apontou que algumas transações não buscam instalar um SDK, mas sim transferir o repositório ou a propriedade da extensão
  • Uma das propostas de 2026 mencionava permissões do you.com, leitura do conteúdo da página, captura de keystrokes, envio para servidores externos, acesso a session cookies e padrões de coleta de browsing history; mas a nota do mantenedor acrescenta que o Hover Zoom+ não faz esse tipo de operação e que isso mostra quais dados essa empresa quer comprar

Como verificar se uma extensão foi monetizada

  • O mantenedor disse que o método mais confiável é ler o código-fonte
  • Ele também apresentou os seguintes sinais para verificação
    • Verificar, na aba de privacy practices da Chrome Web Store, se o desenvolvedor declara que não coleta nem usa dados
    • Verificar se existe public source
    • Conferir se a lista de permissões da extensão pede permissões suspeitas que não combinam com sua funcionalidade
    • Verificar avaliações recentes de usuários em busca de padrões repetidos de reclamações sobre o comportamento
    • Consultar estimativas de risco em sites como chrome-stats
  • O mantenedor acrescentou que todos esses sinais podem ser manipulados, então eles servem mais para identificar problemas do que para “provar inocência”
  • Outro comentário sugeriu que, como ferramentas como Webpack podem dificultar a leitura do código, pode ser mais fácil verificar as requisições de rede feitas pela extensão
  • O mesmo comentário explicou que também é preciso verificar requisições do background ou service worker e que, como muitas extensões rodam em todas as páginas além do necessário, uma medida é limitar o Site Access do Chrome para “On Click”

Reação da comunidade e discussões posteriores

  • Vários comentários apoiaram o fato de o mantenedor não ter vendido os usuários e ter divulgado as propostas
  • Um usuário disse que é preciso haver mais conscientização de usuários e desenvolvedores de extensões sobre essa prática
  • O mantenedor respondeu que a situação envolvendo extensões maliciosas já é ruim o bastante e que mais pessoas precisam saber disso
  • A um comentário dizendo que o assunto tinha chegado ao Hacker News, o mantenedor respondeu que espera inspirar outros desenvolvedores a tomar uma “stand”
  • Um desenvolvedor de extensão disse que ele próprio, com 170 mil usuários, também recebeu muitas propostas parecidas e que, embora fossem tentadoras para um universitário pobre, monetizou de outras formas não invasivas

1 comentários

 
GN⁺ 2023-08-10
Opiniões no Hacker News
  • O ChatGPT for Google ficou em 1º lugar no HN no começo deste ano, mas, olhando agora o repositório no GitHub, a extensão já foi vendida
    Eu também tinha uma extensão gratuita de projeto paralelo com cerca de 25.000 instalações, e recebi muitos contatos dizendo que “ajudariam na monetização”
    Por isso achei que valia a pena organizar todos os caminhos duvidosos de monetização: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • A proposta mais absurda que vi no lado de apps móveis foi ligar o microfone do usuário, ouvir o som de comerciais de TV ao redor e rastrear a quais anúncios a pessoa foi exposta offline
      O setor de ad tech é realmente nojento de modo geral
    • Se recebessem uma oferta de US$ 11.000 por uma extensão, acho que seria bem difícil recusar
      Com esse dinheiro, o problema da entrada de uma casa ficaria bem menor
      É sempre bom pensar em onde fica o limite da sua própria ética
    • Um dos e-mails que recebi era exatamente igual ao texto do artigo linkado, exceto pelo nome da extensão, então não me surpreende nem um pouco
      É claro que boa parte dessas propostas lixo é automatizada
      Era algo como: “Sou fã de [extension name] e gosto muito de como ela é prática e útil.
      Você já considerou oferecer espaço promocional para pessoas que queiram promover seus produtos na extensão? Quero divulgar minha extensão em [extension name] e gostaria de discutir essa possibilidade.
      Se tiver interesse, me avise.”
  • Para referência, a extensão JSON Formatter [0], que alguns aqui provavelmente usam, é minha
    Eu a criei há 12 anos, publiquei como open source e a mantive até hoje; [1] atualmente ela tem 2 milhões de usuários
    Juro solenemente que nunca vou adicionar código que envie qualquer dado para qualquer lugar, nem passá-la para as mãos de alguém que faria isso
    Já recebi várias ofertas tentadoras em dinheiro de pessoas suspeitas que pareciam querer roubar os dados de todo mundo ou fazer algo ainda pior
    Às vezes penso que não deveria ter colocado meu nome nela. Se não tivesse, talvez eu pudesse aceitar o dinheiro sem prejudicar minha reputação
    Mas coloquei meu nome, então só me resta manter a honra. Ainda assim, a vantagem é que sempre posso dizer que nunca a vendi
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Para ser sincero, nem exigiu muito esforço

    • Antigamente havia uma extensão cujo autor prometeu que nunca a venderia e que também não a atualizaria depois do lançamento inicial
      Porque era só uma linha e não havia absolutamente nada que pudesse mudar
      Só que a Chrome Web Store a removeu depois de mais de 5 anos, provavelmente porque ele nunca publicou nenhuma atualização e alguns campos que passaram a ser obrigatórios estavam vazios
    • Se as ofertas em dinheiro forem linearmente proporcionais ao número de usuários, essa extensão deve ter sido realmente tentadora
      É admirável que você não a tenha vendido
      Fico curioso se você já pensou em começar a publicar essas propostas de compra, como eu faço
    • Isso parece muito estranho
      Você claramente está oferecendo valor ao mundo e, pela minha visão moral, deveria ter o direito de recuperar parte desse valor sem fazer nada suspeito
      Sou fundador do Streak, e nós monetizamos nossa extensão diretamente, como fazem outros lugares, por exemplo o Grammarly
      Fico curioso se você já tentou pedir dinheiro diretamente aos usuários pelo esforço investido
    • Como alguém que usa essa extensão todos os dias, sou muito grato pela sua firmeza
      Parece que, neste setor, fica mais difícil a cada dia manter uma ética forte
    • Fico me perguntando se, quando uma extensão que eu uso é vendida, o navegador me pergunta quando as permissões mudam
      Ou se simplesmente enfiam isso lá de forma escondida
      Eu gostaria pelo menos de ver uma notificação pop-up que servisse como sinal de alerta
  • Sou mantenedor
    Minha extensão é praticamente impossível de monetizar, então qualquer proposta que eu receba exige algum grau de sacrifício moral
    A proposta menos invasiva que vi até agora foi colocar, dentro da minha extensão, links recíprocos para outras extensões, algo parecido com o que o DarkReader faz no próprio site
    Mesmo que isso não viole os dados dos usuários, não faço isso porque seria uma espécie de endosso indireto daquela outra extensão, e eu não tenho controle sobre como eles lidam com os dados dos usuários

    • Você está fazendo algo realmente respeitável
      Se isso crescer, ajuda a quebrar a percepção comum, embora pouco explicitada, de que “todo mundo acaba vendendo”
    • Obrigado por falar com transparência
      Hoje não uso Chrome, mas antigamente eu gostava muito do Hover Zoom+, e minha esposa ainda usa
      É uma ótima extensão, e depois de ler este comentário e a issue do GitHub linkada, fico ainda mais tranquilo
    • Eu gostava muito do Hover Zoom antigamente, mas não sei se houve mesmo uma polêmica de malware por um tempo ou se estou confundindo com um plugin de nome parecido
      Na época migrei para o imagus e me acostumei
      De qualquer forma, obrigado por recusar as tentativas de monetização
  • Não sei qual é a solução para esse problema, mas conheço algumas empresas legítimas e confiáveis que já monetizam usuários com dinheiro de verdade e ainda vendem dados dos usuários por cerca de 20 libras por ano
    Eu jamais faria isso, porque violar a privacidade vai contra o núcleo das minhas convicções, mas há um conflito sem solução
    Por um lado, sei que a grande maioria dos usuários prefere vender a própria privacidade a pagar um único centavo
    Eles apertariam de bom grado o botão “vender meus dados” em vez do botão “pagar”, sempre
    Posso dizer que sei disso porque já tive contato com usuários em número suficiente
    Muitos usuários fazem um escândalo se algo não for grátis, mas nem perdem o sono ao entregar dados pessoais
    Claro, estou falando da maioria em termos gerais
    Por outro lado, quero que a internet seja um lugar onde atores sem escrúpulos não prosperem
    No mundo real, em geral não esperamos ganhar coisas de graça; por que a internet deveria ser diferente?
    Por que todo mundo, inclusive eu, está sempre procurando algo grátis na internet?
    O pior é que, no fim, os únicos dispostos a gastar dinheiro online são ladrões de dados e anunciantes
    O restante está entregando a própria alma
    Espera-se que os desenvolvedores trabalhem de graça para sustentar toda essa estrutura

    • Você disse que “as pessoas sempre apertariam ‘vender meus dados’ em vez de ‘pagar’”, mas não dá para saber, porque esse tipo de opção clara nunca foi realmente oferecido
      Além disso, a expressão “dados” também é opaca para usuários comuns
      Regulamentações como as da UE e da Califórnia deveriam justamente obrigar esse tipo de coisa
      Se a escolha fosse apresentada assim: “Estes são os dados que temos sobre você: incluindo os frutos de rastreamento assustador a,b,c,d... Se você nos permitir violar sua privacidade de várias maneiras, lhe damos este pequeno enfeite de graça. Ou então pague x”, quantas pessoas escolheriam a violação de privacidade?
      Uma parte considerável da internet é comunicação de alguma forma
      No mundo real, muita comunicação também é obtida gratuitamente
      Na verdade, fico me perguntando por que todo mundo assume que a internet é uma plataforma para enriquecer vendendo bugigangas a nativos ignorantes
      Talvez algumas coisas funcionem melhor como organizações sem fins lucrativos
    • A solução pode ser extensões open source e auditadas
      Parece que o Firefox já tem algo assim (https://mzl.la/3Acn4DU)
      Não conheço nenhum auditor para extensões do Chrome
      Bastaria fazer uma organização ou grupo confiável, como Google ou Mozilla, auditar extensões e “certificar” que elas não têm malware
      Além disso, as extensões teriam de ser 100% open source e, mesmo que a organização confiável fosse comprometida ou não fizesse seu trabalho, isso acabaria vindo à tona e as pessoas parariam de usá-las
      Claro que não é perfeito
      Adware poderia ficar escondido até dos auditores, e um auditor poderia ser comprometido sem ninguém perceber
      Quanto mais código complexo uma extensão tiver, mais caro e demorado será, então até uma extensão popular sem nenhum problema pode acabar não sendo certificada
      As alterações também precisariam ser sempre auditadas, o que atrasaria e inibiria atualizações
      Um último problema fácil de ignorar é que o auditor pode ter viés para aprovar certas extensões, por exemplo as que pagam
      Se o código for difícil demais de ler ou estiver no fim da fila de revisão, ele pode não ser aprovado, e o critério para “difícil demais de ler” e a posição na fila são coisas que dinheiro pode influenciar facilmente
      Ainda assim, extensões web são um tipo de software bom para auditoria em comparação com outros apps
      Em geral são muito menores e mais simples, exigem menos usuários e rodam em um domínio altamente confiável: toda a navegação web, inclusive bancos e sites confidenciais
      Em comparação com apps de celular em sandbox ou programas em modo de usuário no computador, o dano ainda existe, mas é bem menor
    • A internet não tem um equivalente a dinheiro vivo, totalmente anônimo e fácil de usar
      Se você paga por algo, acaba entregando informações de identidade de qualquer forma
      A troca de valor claramente pende para um lado, mas se, para obter X, você precisa compartilhar sua identidade e também pagar, então perdeu dinheiro e compartilhou sua identidade
      Se compartilhar a identidade e obter X de graça, pelo menos não perde dinheiro
    • A escolha entre “vender meus dados” e “pagar” quase nunca acontece de fato
      Na realidade, normalmente você fica entre pagar e ainda assim ter seus dados vendidos, ou usar de graça e ter muitos dados vendidos
      A maioria dos serviços pagos também descreve, na política de privacidade, nos termos e no contrato de usuário, como vende seus dados
      Na melhor das hipóteses, você só pode esperar que, por estarem menos desperate por fluxo de caixa, sejam um pouco mais seletivos quanto a para quem vendem
      Mas o impacto sobre o usuário é maior
      Agora eles têm seu cartão de crédito, endereço, nome real e telefone, e tudo isso é vulnerável a hacks e vazamentos
      Como também é mais difícil mentir sobre essas informações do que em uma conta gratuita, os dados coletados valem mais, e a tentação aumenta na mesma medida
      Além disso, serviços pagos têm sistemas de assinatura hostis ao consumidor, cheios de dark patterns
      Se você não gosta e quer cancelar, é desnecessariamente trabalhoso, e até testes grátis exigem cartão de crédito
      Também há pouquíssima transparência sobre para onde o dinheiro realmente vai
      Muitos serviços operam no prejuízo, e as mensalidades dos clientes são só fachada; o dinheiro de verdade vem de investidores
      Para algumas empresas, o modelo pago é quase uma camuflagem, e a saída real pode ser ser adquirida por um agregador de dados depois de anos coletando informações
      No outro extremo, há gente fisgando trouxas com preços ridiculamente inflados
      Por esses motivos, a opção de pagar está contaminada pela desconfiança, e não é apenas porque consumidores são mesquinhos e se acham no direito
      A desconfiança pode estagnar rapidamente qualquer mercado
      Mesmo assim, não culpo muito a indústria
      Como na Califórnia de 1848, é difícil culpar quem recolhe ouro espalhado pelo chão
      O verdadeiro problema é a falta de ferramentas, infraestrutura e estruturas regulatórias que permitam aos usuários ver e controlar como seus dados são usados
      Se as pessoas realmente querem vender seus dados em vez de pagar, que façam isso
      Mas hoje a maioria dos usuários não sabe exatamente quais dados são coletados nem quanto eles valem
      Elas não estão em condições de decidir racionalmente que é melhor comprar um app de 5 dólares do que sofrer mineração de dados no valor de 20 dólares
    • Não havia grande problema na decisão em si quando tomada com informação suficiente
      O que incomoda é quando os apps escondem a monetização de dados, a tornam obrigatória ou não oferecem uma forma de usar o serviço sem consentir
      Pior ainda são serviços em que você nem pode escolher não participar

Por exemplo, meu local de trabalho acabou de adotar o serviço “The Work Number”, da Equifax, então, quer eu crie uma conta ou não, meus dados já estão lá
O pior é que, se eu não criar uma conta, fica aberta a possibilidade de alguém tentar criar uma para coletar ainda mais informações sem o meu consentimento
Independentemente do que as pessoas escolham fazer com seus próprios dados, não sinto uma obrigação moral de impor minha visão
Se elas realmente concordam e querem economizar 20 dólares, ou o valor que esses dados valem no app, tirar essa opção só porque não concordo com a forma como eles lidam com informações de privacidade não é muito diferente de impor minha opinião pelo mesmo motivo
Para mim, a diferença importante é se eu lucro com isso, mas, se em cada caso houver escolha, isso na verdade não importa para a forma como o usuário avalia a situação

  • Ao operar um site, você acaba recebendo e-mails assim o tempo todo
    “Olá,
    Gostaria de saber se vocês aceitam guest posts ou inserção de links em artigos existentes. Se for possível, gostaria de conhecer melhor as diretrizes e os temas de interesse.
    Obrigado pelo seu tempo. Fico aguardando sua resposta.
    Atenciosamente.”
    Isso é claramente spam em massa. Meu site nem sequer tem blog
    Meu site também tem alguns downloads de software para Windows, e às vezes recebo e-mails suspeitos oferecendo pacotes com instaladores
    A maioria é de serviços de proxy residencial querendo vender acesso à conexão de internet dos usuários

    • Nós mantemos um blog educativo para um produto SaaS e, embora também cheguem e-mails reais de leitores, há muito spam, e parte dele é assustadoramente bem feito
      Eles colocam tanto contexto que parecem pessoas reais e, no fim, acabam fazendo a gente perder muito tempo; sinceramente, isso machuca bastante
      Gastamos muito tempo compartilhando materiais, e essas conexões falsas dão uma enorme sensação de repulsa
      Recentemente, fomos inundados por e-mails do tipo “lista de indicados a prêmio”, escritos por IA, com muito contexto aprofundado
      É algo como: com um pagamento fácil, eles nos considerariam como candidatos ao prêmio
      Só que eles sempre se esquecem de ajustar o tema: nós não operamos um serviço de segurança de software, tratamos de web scraping
      Acho que a IA vai matar a comunicação por e-mail entre desconhecidos
      Está ficando cada vez mais exaustivo
    • É meu tipo favorito de e-mail entre os que recebo, em várias formas, mais ou menos uma vez por mês
      O cargo no final é engraçado
      “Assunto: Encontrei uma vulnerabilidade de segurança no seu site.
      Olá, equipe,
      Sou Harris, pesquisador de segurança, e encontrei uma vulnerabilidade de segurança no seu site fora de um programa de bug bounty.
      Posso revelar todas as vulnerabilidades que encontrei e também as formas adequadas de corrigi-las, para tornar seu site mais seguro.
      As empresas que ajudei sempre foram generosas e me recompensaram com um valor que consideraram adequado para os problemas que encontrei. Se vocês virem minha ajuda com bons olhos, ficarei feliz em receber um bônus via PayPal, Bitcoin, Payoneer ou transferência bancária.
      Aguardo uma resposta positiva.
      Obrigado,
      Harris A
      Certified Ethical Hacker”
    • Fico curioso para saber o que essas pessoas têm na cabeça
      Operadores do TOR conhecem os riscos de compartilhar conexão, especialmente o risco de pedófilos usarem esse serviço para compartilhar CSAM
      Mas pessoas comuns não sabem
      Não sabem de nada até o dia em que são presas
    • Eu gostaria de deixar uma tag de contato funcional no site, mas parece que isso atrai uma enxurrada de spam desse tipo ou propostas de grupos aleatórios de desenvolvedores web querendo “melhorar” meu site simples e sem firulas
    • Isso me poupou uma tarefa
      Eu também recebo esses e-mails, mas como mantenho um site WordPress, tinha certeza de que eles faziam fingerprint do site e enviavam e-mail só para sites WordPress
      Então estava na minha lista de tarefas verificar se dava para esconder o fingerprint do WordPress
      Mas, vendo este relato, fica claro que isso não teria muito efeito
      Pensando bem, dava para perceber que esses spammers simplesmente disparariam para todo mundo em massa
  • O problema fundamental aqui é que não há uma forma legítima de monetizar extensões de navegador
    Como extensões são feitas para serem simples, é difícil vender recursos premium, e normalmente elas também não têm um espaço próprio onde inserir anúncios

    • Antigamente havia uma forma
      https://developer.chrome.com/docs/webstore/money/
      “Nos 11 anos desde o lançamento da Chrome Web Store, a web evoluiu muito. Na época, queríamos oferecer aos desenvolvedores uma forma de monetizar os itens da Web Store. Mas, desde então, o ecossistema cresceu, e hoje os desenvolvedores têm muitas opções de processamento de pagamento à disposição.”
    • Usuários de extensões, em teoria, podem estar dispostos a pagar pelo valor que a extensão oferece
      Os agentes mal-intencionados que enviam esses e-mails estão dispostos a pagar pelo valor que os dados dos usuários oferecem a eles
      Esses dois números não têm nenhuma relação entre si, e o valor dos dados dos usuários muitas vezes é muito maior que o valor da funcionalidade da extensão
      Não há como resolver esse problema com monetização
      Porque os dois clientes potenciais não estão comprando o mesmo produto
    • Fico curioso se alguém acredita que, se houvesse uma forma de monetizar extensões, os desenvolvedores não seriam abordados por ladrões de dados
    • Se os usuários pudessem desativar atualizações de extensões, ou tivessem que consentir explicitamente com as atualizações, isso ao menos poderia dificultar esse tipo de ataque
      A maioria das extensões é simples e, na verdade, não precisa de atualizações
      Só que o mecanismo de atualização é silencioso, totalmente automático e sem rollback
      Nem a Steam me vem à cabeça como tendo atualizações tão agressivas
    • Não acho necessariamente que seja assim
      Eu opero uma API de licenciamento de software e tenho vários clientes que são extensões de navegador com uma base de usuários bastante razoável
      Assim como em outros canais de distribuição, existem oportunidades de monetização
  • Esta proposta parece inofensiva e até possivelmente útil, então é interessante
    Dizem que é monitoramento de erros de DNS; o que estou deixando passar?
    “Imagino que você receba propostas de negócios com frequência, então vou direto ao ponto. A minha proposta é um pouco diferente, e espero que possa ser realmente interessante. Considero o Hover Zoom+ uma ótima alternativa ao seu irmão maior, o Hover Zoom, que perdeu apelo nos últimos meses.
    Estamos conduzindo uma pesquisa sobre erros de DNS e temos interesse em uma pequena quantidade de dados anônimos que talvez possamos obter por meio da sua extensão do Chrome. Nossa pesquisa já vem sendo realizada há anos, e o Google nunca levantou qualquer problema.

    • Compatível com as políticas rígidas do Google
    • Sem dados pessoais de usuários
    • Sem anúncios, sem malware
      Os dados que nos interessam são basicamente apenas erros de DNS:
    • NXD – domínio inexistente – domínios digitados pelo usuário que resultaram em erro de DNS
    • Timestamp – horário da ocorrência
    • GEO – local da ocorrência (USA, UK, RU etc.)
    • ID de usuário único gerado aleatoriamente (pode ser hash, não rastreável de volta ao usuário). Por favor, não confunda com o endereço IP do usuário.
      É só isso. Você pode usar nosso script, ou coletar os dados por conta própria e enviá-los para um servidor FTP, API etc. Há várias formas. Pagamos mensalmente, e o valor varia conforme a GEO dos usuários, mas ficaria na casa de alguns milhares de dólares por ano.
      Valeria a pena conversarmos brevemente? Aguardo sua resposta.
      Entrei em contato há algum tempo a respeito da pesquisa sobre erros de DNS que nossa empresa está conduzindo. O Hover Zoom+ seria um meio ideal para nossa pesquisa. Em troca, isso poderia se tornar uma nova fonte de receita sólida para você.
      Nosso método já existe há anos, e nunca tivemos nenhum problema com o Google. Fazemos pagamentos recorrentes mensais. Para você, seria algo na casa de dezenas de milhares de dólares por ano, e o valor depende da sua base de usuários e da qualidade dos dados.
      Se a inclusão de um script de terceiros for uma preocupação, ainda há muitas maneiras de viabilizar isso.
      Avise se vale a pena conversarmos brevemente.”
    • Meu palpite é que talvez queiram comprar nomes de domínio que recebem consultas, mas ainda podem ser registrados
      Por exemplo, domínios que são digitados incorretamente com frequência
      Não é proibido, mas ainda assim é um pouco suspeito
    • É pesquisa de typosquatting
      Eles veem domínios que usuários digitam errado com frequência e que recebem resposta NX, depois registram esses domínios para exibir anúncios, fazer phishing etc.
    • É muito provável que queiram encontrar domínios que as pessoas costumam digitar errado, comprá-los e rodar anúncios
    • Eu apostaria que querem descobrir quais domínios as pessoas digitam errado ou pelos quais demonstram interesse, para aplicar golpes de forma mais eficiente
    • Há dinheiro envolvido, mas eles não deixam clara nenhuma intenção benigna
      Portanto, no melhor dos casos há algum interesse comercial, e no pior caso é provável que seja algo prejudicial aos usuários
      Não é difícil escrever um script que, por fora, pareça fazer uma coisa, mas carregue secretamente outras informações
      Por exemplo, escrever uma função hash ruim? Moleza
      É preciso sempre seguir o gradiente do ATP
  • Se até uma extensão com cerca de 300 mil usuários recebe tantas propostas agressivas assim, fico imaginando quão pesadas devem ser as abordagens para extensões que chegam a milhões de usuários
    Os incentivos no ecossistema de extensões parecem completamente desalinhados

  • A caixa de entrada oficial do Ruffle também está cheia dessas propostas
    Os valores oferecidos por uma extensão gratuita e de software livre são tão altos que só consigo imaginar que os compradores queiram enfiar nela um monte de malware que não seja bloqueado imediatamente pelo Google ou pela Mozilla[0]
    Pessoalmente, acho que não deveria ser permitido transferir a propriedade de uma extensão sem aprovação e verificação prévias da nova estrutura de propriedade
    Novos itens cadastrados não têm avaliações nem confiança; portanto, transferir uma extensão existente deveria ser intencionalmente mais difícil do que criar uma nova extensão
    Digo isso como alguém que às vezes sente na pele a dor prática desse tipo de política[1], e sei bem como é irritante passar por processos burocráticos
    O mercado clandestino de compra e venda de extensões é inacreditavelmente suspeito, e trata a confiança dos usuários com leveza demais
    [0] Infelizmente, nosso cadastro no AMO já está marcado por código gerado por máquina, por usarmos Rust/WASM. Por isso, a submissão da extensão só é aprovada quando a Mozilla consegue reproduzir nosso build byte a byte
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Isso me lembra um plano sujo que imaginei quando estava no ensino fundamental II

    1. Criar um plugin do Minecraft Bukkit que fosse de fato útil
    2. Esperar até ele ter muitas instalações
    3. Adicionar um backdoor bem escondido que me tornasse “op”, ou seja, administrador, no servidor que eu quisesse
    4. Surpreender administradores maldosos de servidores públicos banindo-os de repente
      Cheguei até a etapa 2 e decidi parar por ali
    • Plugins do Minecraft Bukkit são praticamente uma terra sem lei
      É realmente difícil distinguir que comportamento é intencional e qual não é
      Lembro que, anos atrás, tentei encontrar um plugin de motd que apenas exibisse uma mensagem ao entrar no servidor
      Encontrei um plugin simples o suficiente, mas ele fazia ping para casa para verificar atualizações
      O desenvolvedor talvez estivesse tentando incluir um recurso útil, mas meu lado cínico acredita que ele queria obter os endereços IP dos servidores que executavam aquele plugin
      Também havia um comando de debug não autenticado, que podia imprimir o conteúdo de qualquer arquivo motd dentro da pasta
      Só que ele não fazia o escape correto das strings, então era possível sair do diretório com ../... e imprimir qualquer arquivo
      Não sei se o autor realmente explorou isso ou se era apenas um garoto ingênuo de 14 anos escrevendo seu primeiro plugin
      Se a intenção era explorar, também não sei quais arquivos ele queria imprimir, mas certamente era muito suspeito
    • O 2b2t sofreu backdoors várias vezes dessa forma
      Várias pessoas conseguiram acesso ao WorldEdit, ao modo criativo, a comandos de administrador etc.
      Para além de antigos servidores anárquicos, a comunidade atual de mods do Minecraft vem enfrentando vários ataques à cadeia de suprimentos, vulnerabilidades de desserialização e afins
    • Backdoors direcionados a servidores Minecraft de fato acontecem de vez em quando