O caso do Button Stealer
(anatolyzenkov.com)- Button Stealer é uma extensão de navegador que “rouba” e coleciona, um a um, botões dos sites visitados pelo usuário
- É mais uma ferramenta de brincadeira, em que a coleção de botões cresce automaticamente enquanto você usa a web normalmente
- O produto é apresentado como uma extensão divertida, inútil e gratuita
- Entre os indicadores públicos exibidos estão 4,9/5 na Chrome Web Store,
#3 Product of the Dayno Product Hunt e↑492 Featured Product - Como funciona localmente e não envia dados para fora, a estrutura mantém os dados do usuário privados
Como ele coleciona botões de sites
- Button Stealer é uma extensão de navegador que “rouba” um botão dos sites abertos pelo usuário
- Mesmo sem o usuário realizar nenhuma ação extra, a coleção de botões roubados cresce conforme ele realiza suas atividades online normalmente
- O produto em si é apresentado como uma ferramenta divertida, inútil e gratuita
Badges e indicadores divulgados
-
Chrome Web Store
- Avaliação: 4,9/5
- Exibe Featured Badge
-
Product Hunt
#3 Product of the Day↑492 Featured Product
Tratamento de dados pessoais e instalação
- Button Stealer funciona localmente
- Como não envia dados a nenhum lugar, os dados do usuário permanecem privados
- A página oferece um botão para instalar o Button Stealer
1 comentários
Opiniões no Hacker News
O problema desta extensão “inofensiva” é que ela acaba usando
host_permissionsno manifesto.Na prática, ela pode fazer praticamente qualquer coisa em todas as páginas que você visita, inclusive coletar dados.
Como desenvolvedor de extensões, eu passo. É perigoso uma extensão dessas, sem utilidade prática e só divertida, exigir permissões amplas.
Se você verificar o código no GitHub e instalar a extensão localmente, dá para evitar o risco de uma alteração maliciosa entrar depois.
Mesmo que eu dê permissão para acessar o DOM de todas as páginas que visito, estaria tudo bem se não houvesse como enviar isso para fora.
Acho que a abordagem correta seria permitir uma função isolada do restante do código e pagar a um terceiro confiável para revisar o que essa função faz.
Neste caso, essa função poderia apenas 1) acessar o HTML do site, 2) encontrar botões e 3) retornar somente os elementos que compõem o botão.
Assim, o aviso de permissão escrito por uma entidade confiável também poderia ser preciso, algo como “esta extensão quer copiar botões de sites”.
Eu chamaria isso de computação DEWISOTT: faz exatamente o que está escrito por fora.
Desde que não mexa nessa função, a extensão poderia ser atualizada 1000 vezes por dia.
Isto parece a versão em app de um e-mail de phishing.
É como pedir acesso a tudo em todos os sites que você visita só por causa de um agrado visual.
Fico preocupado em instalar esse tipo de extensão.
Alguém poderia oferecer muito dinheiro ao desenvolvedor, comprá-la e usá-la para fins menos divertidos.
Não sei se permissões adicionais seriam necessárias, mas pelo menos o script de conteúdo atual já é executado em “[https:///\](https://*/\)”.
Fico curioso se há algum motivo especial para usar APIs específicas do Chrome em vez da API padrão WebExtensions.
Eu estava pensando em experimentar extensões web, mas queria saber quais limitações reais a API padrão tem em comparação com as APIs específicas de cada navegador.
O Firefox é compatível com chamadas da API
chrome.*que uso em extensões que eu mesmo criei.GitHub: https://github.com/anatolyzenkov/button-stealer
Dei uma olhada no código e parece inofensivo. Só não sei se existe um jeito de verificar se o código publicado na Chrome Extension Store é o mesmo.
Isso me lembrou a visualização de anúncios clicados do https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png
Problemas modernos exigem soluções modernas.
Gosto da ideia, mas as permissões de acesso dão um pouco de medo.
Idealmente, acho que daria para refazer isso como um bookmarklet. Mas, como seria preciso salvar o trecho de HTML do botão em um arquivo, provavelmente teria que usar algum contorno envolvendo Blob para permitir o download.
Há algum tempo fiz uma ferramenta com um propósito parecido.
Só que ela rouba CSS/SCSS, não botões, e é uma ferramenta CLI, não uma extensão. Dá para encontrá-la no GitHub como
coalio/rfscss.Fico curioso se ela salva HTML/CSS para facilitar a reutilização dos botões ou se salva como imagem.
Se for o primeiro caso, seria bem útil; se for o segundo, seria divertido, mas menos útil. Se for imagem, também fico curioso sobre quão difícil seria extrair isso de uma página que mostra todos os botões.
Parece uma ótima forma de encontrar inspiração para design de UI/UX.