A tentação dos desenvolvedores de extensões open source para Chrome
(github.com/extesy)- O mantenedor do Hover Zoom+ divulgou as propostas de monetização e aquisição de extensões que recebeu entre 2015 e 2026, afirmando que as recusou para não vender seus usuários
- As propostas repetidamente transformavam permissões do navegador e base de usuários em dinheiro, por meio de venda de dados anônimos de usuários, monetização de tráfego de busca, inserção de links de afiliados, exibição de anúncios e cupons, instalação de SDKs e aquisição da extensão
- Embora os documentos enfatizassem termos como “anônimo”, “sem dados pessoais”, “sem impacto na UX” e “em conformidade com as políticas do Google”, também pediam dados comportamentais como erros de DNS, localização geográfica, DAU/MAU, URLs, referrers, browsing behavior, clickstream e consultas de busca
- O mantenedor explicou que, como o Hover Zoom+ tem cerca de 400 mil usuários em vários navegadores e funciona em todas as páginas, ele cria uma grande superfície de ataque e potencial de receita para agentes mal-intencionados
- Nas discussões dos comentários, foram apresentados como formas práticas de reduzir riscos de extensões: verificar o código-fonte, revisar a lista de permissões, consultar a aba de privacy practices da Chrome Web Store, ler avaliações recentes, verificar requisições de rede e limitar o Site Access para “On Click”
A preocupação divulgada pelo mantenedor
- O mantenedor do Hover Zoom+ contou que, ao longo de vários anos, recebeu muitas propostas para monetizar a extensão e disse que estava publicando isso “por diversão, mas não por lucro”
- Ele explicou que o principal motivo para continuar fazendo a manutenção é que seria difícil confiar que outra pessoa não cairia nessas propostas caso assumisse o projeto
- Ele disse ter um emprego suficientemente bem remunerado, o que lhe permitiu manter uma “bússola moral” e ignorar as ofertas
- Como nem todo desenvolvedor tem a mesma estabilidade financeira, ele disse esperar que a thread mostre a pressão financeira que desenvolvedores de extensões recebem
Tipos recorrentes de propostas de monetização
- Muitas propostas abordavam o mantenedor dizendo que a base de usuários do Hover Zoom+ na Chrome Web Store poderia gerar uma “receita significativa”
- Os métodos que apareciam repetidamente eram os seguintes
- Coletar dados anônimos de usuários e vendê-los para segmentação de anúncios, pesquisa de mercado, business intelligence e dados de clickstream
- Adicionar busca do Bing, Yahoo ou Google, ou um search lander/feed, para repartir receita de consultas de busca e cliques em anúncios
- Inserir store logo, affiliate link ou links “Sponsored” nos resultados de organic search, pagando comissão quando uma compra ocorresse
- Inserir formatos de anúncio como coupon, cashback, PopUnder, in-text, new tab, search injection e in-image monetization
- Adicionar um SDK ou algumas linhas de JS para integrar coleta de dados ou exibição de anúncios à extensão
- Comprar a própria extensão ou transferir a Chrome extension ownership sem transferir a conta Google
- Algumas propostas enfatizavam monetização pouco visível ao usuário, com expressões como “soft to hard methods”, “invisible monetization methods” e “does not interfere with UX”
Dados e valores mencionados nas propostas
- Uma proposta de 2015 dizia que ele poderia estar “deixando muito dinheiro na mesa” se não monetizasse anonymous user data, mencionando redes de anúncios aprovadas pela NAI e pela IAB
- Uma proposta de pesquisa sobre erros de DNS, em 2016, pedia os seguintes dados
- NXD, ou seja, domínios que o usuário digitou, mas que não existem
- Horário da ocorrência
- GEO
- Um ID de usuário aleatório único que, segundo a proposta, poderia ser hasheado e não permitiria rastrear o usuário
- Em propostas posteriores a 2020, itens como GEO, usuários ativos diários e mensais, classificação de interesses, URL, referrer, country, timestamp, browsing behavior, clickstream e browser history apareciam repetidamente
- Os valores oferecidos variavam bastante
- Proposta de compra da extensão em 2016: US$ 14.500
- Proposta de integração com analytics platform em 2020: US$ 2.000/mês
- Proposta de monetização de buscas em 2020: alegava ser possível chegar a US$ 9.000 por dia com base em 300.000 usuários
- Proposta de integração com SDK de data marketplace em 2021: US$ 30.000/ano
- Proposta de dados em 2023: até US$ 20 mil/mês
- Proposta de parceria de clickstream data em 2024: US$ 30.000 a US$ 40.000/mês
- Proposta de compra em 2024: US$ 30.000
- Proposta de compra em 2025: US$ 0,05 a US$ 0,15 por usuário
- No fim de 2024, uma proposta de monetização por assinatura apresentou exemplos assumindo conversão de 5% sobre uma base de mais de 400.000 usuários: a US$ 0,99/mês seriam cerca de US$ 19.800/mês; a US$ 4,99/mês, cerca de US$ 99.800/mês; e a US$ 9,99/mês, cerca de US$ 199.800/mês
Respostas e critérios do mantenedor
- Sobre o motivo de não divulgar os nomes das empresas, ele respondeu que algumas delas podem ser ricas e operar legalmente, e que não quer assumir risco de processos
- Ele explicou que pop-ups de anúncios são fáceis de o usuário perceber e desativar a extensão causadora, mas que métodos discretos podem durar muito tempo
- Sobre telemetria, o mantenedor disse que, do ponto de vista do usuário, há um equilíbrio entre utilidade e invasividade do rastreamento; mas, do ponto de vista do desenvolvedor, não incluir rastreamento nenhum permite alcançar a base de usuários mais ampla e também evita debates sobre o grau de anonimização
- À observação de que o nome Hover Zoom+ pode ser confundido com o Hover Zoom, que teve controvérsias de comportamento malicioso no passado, ele respondeu que seu objetivo não é conquistar todos os usuários; mais de 300 mil pessoas já veem valor na extensão, que é gratuita e não gera receita, então ele não pretende gastar tempo mudando o nome ou fornecendo mais provas
- Em um comentário de 2023, o mantenedor resumiu em dois pontos por que o Hover Zoom+ é valioso
- Cerca de 400 mil usuários somando todos os navegadores
- Ele é ativado em todas as páginas, não apenas em sites específicos
- Ele explicou que a combinação desses dois fatores cria uma grande superfície potencial de ataque contra usuários finais e, para agentes mal-intencionados, significa um grande potencial de receita
Sinais de risco para usuários e desenvolvedores
- Um comentário apontou que, depois de uma extensão ser adquirida, a versão seguinte pode incluir adware ou um botnet script e, por causa das permissões já existentes, funcionar sem um novo pop-up pedindo permissões adicionais
- Outro comentário explicou que algumas propostas de dados podem estar ligadas à venda de dados de usuários para fins de AdTech/RTB e linkou materiais da Privacy International sobre adtech
- Sobre a proposta que pedia dados de erros de DNS, um comentário interpretou que a intenção poderia ser registrar domínios de erros de digitação comuns ou domínios expirados para interceptar a navegação do usuário
- Um comentário que mencionou o caso The Great Suspender apontou que algumas transações não buscam instalar um SDK, mas sim transferir o repositório ou a propriedade da extensão
- Uma das propostas de 2026 mencionava permissões do you.com, leitura do conteúdo da página, captura de keystrokes, envio para servidores externos, acesso a session cookies e padrões de coleta de browsing history; mas a nota do mantenedor acrescenta que o Hover Zoom+ não faz esse tipo de operação e que isso mostra quais dados essa empresa quer comprar
Como verificar se uma extensão foi monetizada
- O mantenedor disse que o método mais confiável é ler o código-fonte
- Ele também apresentou os seguintes sinais para verificação
- Verificar, na aba de privacy practices da Chrome Web Store, se o desenvolvedor declara que não coleta nem usa dados
- Verificar se existe public source
- Conferir se a lista de permissões da extensão pede permissões suspeitas que não combinam com sua funcionalidade
- Verificar avaliações recentes de usuários em busca de padrões repetidos de reclamações sobre o comportamento
- Consultar estimativas de risco em sites como chrome-stats
- O mantenedor acrescentou que todos esses sinais podem ser manipulados, então eles servem mais para identificar problemas do que para “provar inocência”
- Outro comentário sugeriu que, como ferramentas como Webpack podem dificultar a leitura do código, pode ser mais fácil verificar as requisições de rede feitas pela extensão
- O mesmo comentário explicou que também é preciso verificar requisições do background ou service worker e que, como muitas extensões rodam em todas as páginas além do necessário, uma medida é limitar o Site Access do Chrome para “On Click”
Reação da comunidade e discussões posteriores
- Vários comentários apoiaram o fato de o mantenedor não ter vendido os usuários e ter divulgado as propostas
- Um usuário disse que é preciso haver mais conscientização de usuários e desenvolvedores de extensões sobre essa prática
- O mantenedor respondeu que a situação envolvendo extensões maliciosas já é ruim o bastante e que mais pessoas precisam saber disso
- A um comentário dizendo que o assunto tinha chegado ao Hacker News, o mantenedor respondeu que espera inspirar outros desenvolvedores a tomar uma “stand”
- Um desenvolvedor de extensão disse que ele próprio, com 170 mil usuários, também recebeu muitas propostas parecidas e que, embora fossem tentadoras para um universitário pobre, monetizou de outras formas não invasivas
1 comentários
Opiniões no Hacker News
O ChatGPT for Google ficou em 1º lugar no HN no começo deste ano, mas, olhando agora o repositório no GitHub, a extensão já foi vendida
Eu também tinha uma extensão gratuita de projeto paralelo com cerca de 25.000 instalações, e recebi muitos contatos dizendo que “ajudariam na monetização”
Por isso achei que valia a pena organizar todos os caminhos duvidosos de monetização: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
O setor de ad tech é realmente nojento de modo geral
Com esse dinheiro, o problema da entrada de uma casa ficaria bem menor
É sempre bom pensar em onde fica o limite da sua própria ética
É claro que boa parte dessas propostas lixo é automatizada
Era algo como: “Sou fã de [extension name] e gosto muito de como ela é prática e útil.
Você já considerou oferecer espaço promocional para pessoas que queiram promover seus produtos na extensão? Quero divulgar minha extensão em [extension name] e gostaria de discutir essa possibilidade.
Se tiver interesse, me avise.”
Para referência, a extensão JSON Formatter [0], que alguns aqui provavelmente usam, é minha
Eu a criei há 12 anos, publiquei como open source e a mantive até hoje; [1] atualmente ela tem 2 milhões de usuários
Juro solenemente que nunca vou adicionar código que envie qualquer dado para qualquer lugar, nem passá-la para as mãos de alguém que faria isso
Já recebi várias ofertas tentadoras em dinheiro de pessoas suspeitas que pareciam querer roubar os dados de todo mundo ou fazer algo ainda pior
Às vezes penso que não deveria ter colocado meu nome nela. Se não tivesse, talvez eu pudesse aceitar o dinheiro sem prejudicar minha reputação
Mas coloquei meu nome, então só me resta manter a honra. Ainda assim, a vantagem é que sempre posso dizer que nunca a vendi
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Para ser sincero, nem exigiu muito esforço
Porque era só uma linha e não havia absolutamente nada que pudesse mudar
Só que a Chrome Web Store a removeu depois de mais de 5 anos, provavelmente porque ele nunca publicou nenhuma atualização e alguns campos que passaram a ser obrigatórios estavam vazios
É admirável que você não a tenha vendido
Fico curioso se você já pensou em começar a publicar essas propostas de compra, como eu faço
Você claramente está oferecendo valor ao mundo e, pela minha visão moral, deveria ter o direito de recuperar parte desse valor sem fazer nada suspeito
Sou fundador do Streak, e nós monetizamos nossa extensão diretamente, como fazem outros lugares, por exemplo o Grammarly
Fico curioso se você já tentou pedir dinheiro diretamente aos usuários pelo esforço investido
Parece que, neste setor, fica mais difícil a cada dia manter uma ética forte
Ou se simplesmente enfiam isso lá de forma escondida
Eu gostaria pelo menos de ver uma notificação pop-up que servisse como sinal de alerta
Sou mantenedor
Minha extensão é praticamente impossível de monetizar, então qualquer proposta que eu receba exige algum grau de sacrifício moral
A proposta menos invasiva que vi até agora foi colocar, dentro da minha extensão, links recíprocos para outras extensões, algo parecido com o que o DarkReader faz no próprio site
Mesmo que isso não viole os dados dos usuários, não faço isso porque seria uma espécie de endosso indireto daquela outra extensão, e eu não tenho controle sobre como eles lidam com os dados dos usuários
Se isso crescer, ajuda a quebrar a percepção comum, embora pouco explicitada, de que “todo mundo acaba vendendo”
Hoje não uso Chrome, mas antigamente eu gostava muito do Hover Zoom+, e minha esposa ainda usa
É uma ótima extensão, e depois de ler este comentário e a issue do GitHub linkada, fico ainda mais tranquilo
Na época migrei para o imagus e me acostumei
De qualquer forma, obrigado por recusar as tentativas de monetização
Não sei qual é a solução para esse problema, mas conheço algumas empresas legítimas e confiáveis que já monetizam usuários com dinheiro de verdade e ainda vendem dados dos usuários por cerca de 20 libras por ano
Eu jamais faria isso, porque violar a privacidade vai contra o núcleo das minhas convicções, mas há um conflito sem solução
Por um lado, sei que a grande maioria dos usuários prefere vender a própria privacidade a pagar um único centavo
Eles apertariam de bom grado o botão “vender meus dados” em vez do botão “pagar”, sempre
Posso dizer que sei disso porque já tive contato com usuários em número suficiente
Muitos usuários fazem um escândalo se algo não for grátis, mas nem perdem o sono ao entregar dados pessoais
Claro, estou falando da maioria em termos gerais
Por outro lado, quero que a internet seja um lugar onde atores sem escrúpulos não prosperem
No mundo real, em geral não esperamos ganhar coisas de graça; por que a internet deveria ser diferente?
Por que todo mundo, inclusive eu, está sempre procurando algo grátis na internet?
O pior é que, no fim, os únicos dispostos a gastar dinheiro online são ladrões de dados e anunciantes
O restante está entregando a própria alma
Espera-se que os desenvolvedores trabalhem de graça para sustentar toda essa estrutura
Além disso, a expressão “dados” também é opaca para usuários comuns
Regulamentações como as da UE e da Califórnia deveriam justamente obrigar esse tipo de coisa
Se a escolha fosse apresentada assim: “Estes são os dados que temos sobre você: incluindo os frutos de rastreamento assustador a,b,c,d... Se você nos permitir violar sua privacidade de várias maneiras, lhe damos este pequeno enfeite de graça. Ou então pague x”, quantas pessoas escolheriam a violação de privacidade?
Uma parte considerável da internet é comunicação de alguma forma
No mundo real, muita comunicação também é obtida gratuitamente
Na verdade, fico me perguntando por que todo mundo assume que a internet é uma plataforma para enriquecer vendendo bugigangas a nativos ignorantes
Talvez algumas coisas funcionem melhor como organizações sem fins lucrativos
Parece que o Firefox já tem algo assim (https://mzl.la/3Acn4DU)
Não conheço nenhum auditor para extensões do Chrome
Bastaria fazer uma organização ou grupo confiável, como Google ou Mozilla, auditar extensões e “certificar” que elas não têm malware
Além disso, as extensões teriam de ser 100% open source e, mesmo que a organização confiável fosse comprometida ou não fizesse seu trabalho, isso acabaria vindo à tona e as pessoas parariam de usá-las
Claro que não é perfeito
Adware poderia ficar escondido até dos auditores, e um auditor poderia ser comprometido sem ninguém perceber
Quanto mais código complexo uma extensão tiver, mais caro e demorado será, então até uma extensão popular sem nenhum problema pode acabar não sendo certificada
As alterações também precisariam ser sempre auditadas, o que atrasaria e inibiria atualizações
Um último problema fácil de ignorar é que o auditor pode ter viés para aprovar certas extensões, por exemplo as que pagam
Se o código for difícil demais de ler ou estiver no fim da fila de revisão, ele pode não ser aprovado, e o critério para “difícil demais de ler” e a posição na fila são coisas que dinheiro pode influenciar facilmente
Ainda assim, extensões web são um tipo de software bom para auditoria em comparação com outros apps
Em geral são muito menores e mais simples, exigem menos usuários e rodam em um domínio altamente confiável: toda a navegação web, inclusive bancos e sites confidenciais
Em comparação com apps de celular em sandbox ou programas em modo de usuário no computador, o dano ainda existe, mas é bem menor
Se você paga por algo, acaba entregando informações de identidade de qualquer forma
A troca de valor claramente pende para um lado, mas se, para obter X, você precisa compartilhar sua identidade e também pagar, então perdeu dinheiro e compartilhou sua identidade
Se compartilhar a identidade e obter X de graça, pelo menos não perde dinheiro
Na realidade, normalmente você fica entre pagar e ainda assim ter seus dados vendidos, ou usar de graça e ter muitos dados vendidos
A maioria dos serviços pagos também descreve, na política de privacidade, nos termos e no contrato de usuário, como vende seus dados
Na melhor das hipóteses, você só pode esperar que, por estarem menos desperate por fluxo de caixa, sejam um pouco mais seletivos quanto a para quem vendem
Mas o impacto sobre o usuário é maior
Agora eles têm seu cartão de crédito, endereço, nome real e telefone, e tudo isso é vulnerável a hacks e vazamentos
Como também é mais difícil mentir sobre essas informações do que em uma conta gratuita, os dados coletados valem mais, e a tentação aumenta na mesma medida
Além disso, serviços pagos têm sistemas de assinatura hostis ao consumidor, cheios de dark patterns
Se você não gosta e quer cancelar, é desnecessariamente trabalhoso, e até testes grátis exigem cartão de crédito
Também há pouquíssima transparência sobre para onde o dinheiro realmente vai
Muitos serviços operam no prejuízo, e as mensalidades dos clientes são só fachada; o dinheiro de verdade vem de investidores
Para algumas empresas, o modelo pago é quase uma camuflagem, e a saída real pode ser ser adquirida por um agregador de dados depois de anos coletando informações
No outro extremo, há gente fisgando trouxas com preços ridiculamente inflados
Por esses motivos, a opção de pagar está contaminada pela desconfiança, e não é apenas porque consumidores são mesquinhos e se acham no direito
A desconfiança pode estagnar rapidamente qualquer mercado
Mesmo assim, não culpo muito a indústria
Como na Califórnia de 1848, é difícil culpar quem recolhe ouro espalhado pelo chão
O verdadeiro problema é a falta de ferramentas, infraestrutura e estruturas regulatórias que permitam aos usuários ver e controlar como seus dados são usados
Se as pessoas realmente querem vender seus dados em vez de pagar, que façam isso
Mas hoje a maioria dos usuários não sabe exatamente quais dados são coletados nem quanto eles valem
Elas não estão em condições de decidir racionalmente que é melhor comprar um app de 5 dólares do que sofrer mineração de dados no valor de 20 dólares
O que incomoda é quando os apps escondem a monetização de dados, a tornam obrigatória ou não oferecem uma forma de usar o serviço sem consentir
Pior ainda são serviços em que você nem pode escolher não participar
Por exemplo, meu local de trabalho acabou de adotar o serviço “The Work Number”, da Equifax, então, quer eu crie uma conta ou não, meus dados já estão lá
O pior é que, se eu não criar uma conta, fica aberta a possibilidade de alguém tentar criar uma para coletar ainda mais informações sem o meu consentimento
Independentemente do que as pessoas escolham fazer com seus próprios dados, não sinto uma obrigação moral de impor minha visão
Se elas realmente concordam e querem economizar 20 dólares, ou o valor que esses dados valem no app, tirar essa opção só porque não concordo com a forma como eles lidam com informações de privacidade não é muito diferente de impor minha opinião pelo mesmo motivo
Para mim, a diferença importante é se eu lucro com isso, mas, se em cada caso houver escolha, isso na verdade não importa para a forma como o usuário avalia a situação
Ao operar um site, você acaba recebendo e-mails assim o tempo todo
“Olá,
Gostaria de saber se vocês aceitam guest posts ou inserção de links em artigos existentes. Se for possível, gostaria de conhecer melhor as diretrizes e os temas de interesse.
Obrigado pelo seu tempo. Fico aguardando sua resposta.
Atenciosamente.”
Isso é claramente spam em massa. Meu site nem sequer tem blog
Meu site também tem alguns downloads de software para Windows, e às vezes recebo e-mails suspeitos oferecendo pacotes com instaladores
A maioria é de serviços de proxy residencial querendo vender acesso à conexão de internet dos usuários
Eles colocam tanto contexto que parecem pessoas reais e, no fim, acabam fazendo a gente perder muito tempo; sinceramente, isso machuca bastante
Gastamos muito tempo compartilhando materiais, e essas conexões falsas dão uma enorme sensação de repulsa
Recentemente, fomos inundados por e-mails do tipo “lista de indicados a prêmio”, escritos por IA, com muito contexto aprofundado
É algo como: com um pagamento fácil, eles nos considerariam como candidatos ao prêmio
Só que eles sempre se esquecem de ajustar o tema: nós não operamos um serviço de segurança de software, tratamos de web scraping
Acho que a IA vai matar a comunicação por e-mail entre desconhecidos
Está ficando cada vez mais exaustivo
O cargo no final é engraçado
“Assunto: Encontrei uma vulnerabilidade de segurança no seu site.
Olá, equipe,
Sou Harris, pesquisador de segurança, e encontrei uma vulnerabilidade de segurança no seu site fora de um programa de bug bounty.
Posso revelar todas as vulnerabilidades que encontrei e também as formas adequadas de corrigi-las, para tornar seu site mais seguro.
As empresas que ajudei sempre foram generosas e me recompensaram com um valor que consideraram adequado para os problemas que encontrei. Se vocês virem minha ajuda com bons olhos, ficarei feliz em receber um bônus via PayPal, Bitcoin, Payoneer ou transferência bancária.
Aguardo uma resposta positiva.
Obrigado,
Harris A
Certified Ethical Hacker”
Operadores do TOR conhecem os riscos de compartilhar conexão, especialmente o risco de pedófilos usarem esse serviço para compartilhar CSAM
Mas pessoas comuns não sabem
Não sabem de nada até o dia em que são presas
Eu também recebo esses e-mails, mas como mantenho um site WordPress, tinha certeza de que eles faziam fingerprint do site e enviavam e-mail só para sites WordPress
Então estava na minha lista de tarefas verificar se dava para esconder o fingerprint do WordPress
Mas, vendo este relato, fica claro que isso não teria muito efeito
Pensando bem, dava para perceber que esses spammers simplesmente disparariam para todo mundo em massa
O problema fundamental aqui é que não há uma forma legítima de monetizar extensões de navegador
Como extensões são feitas para serem simples, é difícil vender recursos premium, e normalmente elas também não têm um espaço próprio onde inserir anúncios
https://developer.chrome.com/docs/webstore/money/
“Nos 11 anos desde o lançamento da Chrome Web Store, a web evoluiu muito. Na época, queríamos oferecer aos desenvolvedores uma forma de monetizar os itens da Web Store. Mas, desde então, o ecossistema cresceu, e hoje os desenvolvedores têm muitas opções de processamento de pagamento à disposição.”
Os agentes mal-intencionados que enviam esses e-mails estão dispostos a pagar pelo valor que os dados dos usuários oferecem a eles
Esses dois números não têm nenhuma relação entre si, e o valor dos dados dos usuários muitas vezes é muito maior que o valor da funcionalidade da extensão
Não há como resolver esse problema com monetização
Porque os dois clientes potenciais não estão comprando o mesmo produto
A maioria das extensões é simples e, na verdade, não precisa de atualizações
Só que o mecanismo de atualização é silencioso, totalmente automático e sem rollback
Nem a Steam me vem à cabeça como tendo atualizações tão agressivas
Eu opero uma API de licenciamento de software e tenho vários clientes que são extensões de navegador com uma base de usuários bastante razoável
Assim como em outros canais de distribuição, existem oportunidades de monetização
Esta proposta parece inofensiva e até possivelmente útil, então é interessante
Dizem que é monitoramento de erros de DNS; o que estou deixando passar?
“Imagino que você receba propostas de negócios com frequência, então vou direto ao ponto. A minha proposta é um pouco diferente, e espero que possa ser realmente interessante. Considero o Hover Zoom+ uma ótima alternativa ao seu irmão maior, o Hover Zoom, que perdeu apelo nos últimos meses.
Estamos conduzindo uma pesquisa sobre erros de DNS e temos interesse em uma pequena quantidade de dados anônimos que talvez possamos obter por meio da sua extensão do Chrome. Nossa pesquisa já vem sendo realizada há anos, e o Google nunca levantou qualquer problema.
Os dados que nos interessam são basicamente apenas erros de DNS:
É só isso. Você pode usar nosso script, ou coletar os dados por conta própria e enviá-los para um servidor FTP, API etc. Há várias formas. Pagamos mensalmente, e o valor varia conforme a GEO dos usuários, mas ficaria na casa de alguns milhares de dólares por ano.
Valeria a pena conversarmos brevemente? Aguardo sua resposta.
Entrei em contato há algum tempo a respeito da pesquisa sobre erros de DNS que nossa empresa está conduzindo. O Hover Zoom+ seria um meio ideal para nossa pesquisa. Em troca, isso poderia se tornar uma nova fonte de receita sólida para você.
Nosso método já existe há anos, e nunca tivemos nenhum problema com o Google. Fazemos pagamentos recorrentes mensais. Para você, seria algo na casa de dezenas de milhares de dólares por ano, e o valor depende da sua base de usuários e da qualidade dos dados.
Se a inclusão de um script de terceiros for uma preocupação, ainda há muitas maneiras de viabilizar isso.
Avise se vale a pena conversarmos brevemente.”
Por exemplo, domínios que são digitados incorretamente com frequência
Não é proibido, mas ainda assim é um pouco suspeito
Eles veem domínios que usuários digitam errado com frequência e que recebem resposta NX, depois registram esses domínios para exibir anúncios, fazer phishing etc.
Portanto, no melhor dos casos há algum interesse comercial, e no pior caso é provável que seja algo prejudicial aos usuários
Não é difícil escrever um script que, por fora, pareça fazer uma coisa, mas carregue secretamente outras informações
Por exemplo, escrever uma função hash ruim? Moleza
É preciso sempre seguir o gradiente do ATP
Se até uma extensão com cerca de 300 mil usuários recebe tantas propostas agressivas assim, fico imaginando quão pesadas devem ser as abordagens para extensões que chegam a milhões de usuários
Os incentivos no ecossistema de extensões parecem completamente desalinhados
A caixa de entrada oficial do Ruffle também está cheia dessas propostas
Os valores oferecidos por uma extensão gratuita e de software livre são tão altos que só consigo imaginar que os compradores queiram enfiar nela um monte de malware que não seja bloqueado imediatamente pelo Google ou pela Mozilla[0]
Pessoalmente, acho que não deveria ser permitido transferir a propriedade de uma extensão sem aprovação e verificação prévias da nova estrutura de propriedade
Novos itens cadastrados não têm avaliações nem confiança; portanto, transferir uma extensão existente deveria ser intencionalmente mais difícil do que criar uma nova extensão
Digo isso como alguém que às vezes sente na pele a dor prática desse tipo de política[1], e sei bem como é irritante passar por processos burocráticos
O mercado clandestino de compra e venda de extensões é inacreditavelmente suspeito, e trata a confiança dos usuários com leveza demais
[0] Infelizmente, nosso cadastro no AMO já está marcado por código gerado por máquina, por usarmos Rust/WASM. Por isso, a submissão da extensão só é aprovada quando a Mozilla consegue reproduzir nosso build byte a byte
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Isso me lembra um plano sujo que imaginei quando estava no ensino fundamental II
Cheguei até a etapa 2 e decidi parar por ali
É realmente difícil distinguir que comportamento é intencional e qual não é
Lembro que, anos atrás, tentei encontrar um plugin de motd que apenas exibisse uma mensagem ao entrar no servidor
Encontrei um plugin simples o suficiente, mas ele fazia ping para casa para verificar atualizações
O desenvolvedor talvez estivesse tentando incluir um recurso útil, mas meu lado cínico acredita que ele queria obter os endereços IP dos servidores que executavam aquele plugin
Também havia um comando de debug não autenticado, que podia imprimir o conteúdo de qualquer arquivo motd dentro da pasta
Só que ele não fazia o escape correto das strings, então era possível sair do diretório com
../...e imprimir qualquer arquivoNão sei se o autor realmente explorou isso ou se era apenas um garoto ingênuo de 14 anos escrevendo seu primeiro plugin
Se a intenção era explorar, também não sei quais arquivos ele queria imprimir, mas certamente era muito suspeito
Várias pessoas conseguiram acesso ao WorldEdit, ao modo criativo, a comandos de administrador etc.
Para além de antigos servidores anárquicos, a comunidade atual de mods do Minecraft vem enfrentando vários ataques à cadeia de suprimentos, vulnerabilidades de desserialização e afins