1 pontos por GN⁺ 2024-07-25 | 1 comentários | Compartilhar no WhatsApp
  • Button Stealer é uma extensão de navegador que “rouba” e coleciona, um a um, botões dos sites visitados pelo usuário
  • É mais uma ferramenta de brincadeira, em que a coleção de botões cresce automaticamente enquanto você usa a web normalmente
  • O produto é apresentado como uma extensão divertida, inútil e gratuita
  • Entre os indicadores públicos exibidos estão 4,9/5 na Chrome Web Store, #3 Product of the Day no Product Hunt e ↑492 Featured Product
  • Como funciona localmente e não envia dados para fora, a estrutura mantém os dados do usuário privados

Como ele coleciona botões de sites

  • Button Stealer é uma extensão de navegador que “rouba” um botão dos sites abertos pelo usuário
  • Mesmo sem o usuário realizar nenhuma ação extra, a coleção de botões roubados cresce conforme ele realiza suas atividades online normalmente
  • O produto em si é apresentado como uma ferramenta divertida, inútil e gratuita

Badges e indicadores divulgados

  • Chrome Web Store

    • Avaliação: 4,9/5
    • Exibe Featured Badge
  • Product Hunt

    • #3 Product of the Day
    • ↑492 Featured Product

Tratamento de dados pessoais e instalação

  • Button Stealer funciona localmente
  • Como não envia dados a nenhum lugar, os dados do usuário permanecem privados
  • A página oferece um botão para instalar o Button Stealer

1 comentários

 
GN⁺ 2024-07-25
Opiniões no Hacker News
  • O problema desta extensão “inofensiva” é que ela acaba usando host_permissions no manifesto.
    Na prática, ela pode fazer praticamente qualquer coisa em todas as páginas que você visita, inclusive coletar dados.
    Como desenvolvedor de extensões, eu passo. É perigoso uma extensão dessas, sem utilidade prática e só divertida, exigir permissões amplas.

    • Não parece haver uma forma de implementar isso sem essas permissões.
      Se você verificar o código no GitHub e instalar a extensão localmente, dá para evitar o risco de uma alteração maliciosa entrar depois.
    • Acho estranho extensões não terem uma permissão de requisições de rede separada.
      Mesmo que eu dê permissão para acessar o DOM de todas as páginas que visito, estaria tudo bem se não houvesse como enviar isso para fora.
      1. Espere até a extensão ficar popular.
      2. Venda para uma empresa mal-intencionada.
      3. Publicidade/spyware/malware entra no navegador.
    • As permissões precisam ser mais granulares de algum jeito.
      Acho que a abordagem correta seria permitir uma função isolada do restante do código e pagar a um terceiro confiável para revisar o que essa função faz.
      Neste caso, essa função poderia apenas 1) acessar o HTML do site, 2) encontrar botões e 3) retornar somente os elementos que compõem o botão.
      Assim, o aviso de permissão escrito por uma entidade confiável também poderia ser preciso, algo como “esta extensão quer copiar botões de sites”.
      Eu chamaria isso de computação DEWISOTT: faz exatamente o que está escrito por fora.
      Desde que não mexa nessa função, a extensão poderia ser atualizada 1000 vezes por dia.
    • Como o autor do post original poderia criar a extensão sem esse método?
  • Isto parece a versão em app de um e-mail de phishing.
    É como pedir acesso a tudo em todos os sites que você visita só por causa de um agrado visual.

    • Tem um ar de Bonzi Buddy.
  • Fico preocupado em instalar esse tipo de extensão.
    Alguém poderia oferecer muito dinheiro ao desenvolvedor, comprá-la e usá-la para fins menos divertidos.
    Não sei se permissões adicionais seriam necessárias, mas pelo menos o script de conteúdo atual já é executado em “[https:///\](https://*/\)”.

  • Fico curioso se há algum motivo especial para usar APIs específicas do Chrome em vez da API padrão WebExtensions.
    Eu estava pensando em experimentar extensões web, mas queria saber quais limitações reais a API padrão tem em comparação com as APIs específicas de cada navegador.

    • Há diferenças, mas muita funcionalidade básica se sobrepõe.
      O Firefox é compatível com chamadas da API chrome.* que uso em extensões que eu mesmo criei.
    • O Chrome não oferece suporte à API WebExtensions.
  • GitHub: https://github.com/anatolyzenkov/button-stealer

    • Agora seria legal adicionar também um ranking de quem mais coletou.
      Dei uma olhada no código e parece inofensivo. Só não sei se existe um jeito de verificar se o código publicado na Chrome Extension Store é o mesmo.
  • Isso me lembrou a visualização de anúncios clicados do https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png

    • É bom olhar para a minha tela, e também é bom ver os custos se acumulando para os anunciantes.
      Problemas modernos exigem soluções modernas.
  • Gosto da ideia, mas as permissões de acesso dão um pouco de medo.
    Idealmente, acho que daria para refazer isso como um bookmarklet. Mas, como seria preciso salvar o trecho de HTML do botão em um arquivo, provavelmente teria que usar algum contorno envolvendo Blob para permitir o download.

  • Há algum tempo fiz uma ferramenta com um propósito parecido.
    Só que ela rouba CSS/SCSS, não botões, e é uma ferramenta CLI, não uma extensão. Dá para encontrá-la no GitHub como coalio/rfscss.

  • Fico curioso se ela salva HTML/CSS para facilitar a reutilização dos botões ou se salva como imagem.
    Se for o primeiro caso, seria bem útil; se for o segundo, seria divertido, mas menos útil. Se for imagem, também fico curioso sobre quão difícil seria extrair isso de uma página que mostra todos os botões.

  • Parece uma ótima forma de encontrar inspiração para design de UI/UX.