[ru] Браузерное расширение BPIP

[Balthazar]

Для хрома кто не запасётся своим личным расширением скоро обновят правила https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html

Это не про расширения, а приложения. Разные вещи. Расширений изменения никак не коснутся:

This change does not impact support for Chrome Extensions. Google will continue to support and invest in Chrome Extensions on all existing platforms.

[1714908294]

1714908294

[1714908294]

1714908294

[1714908294]

1714908294

[FontSeli]

С другой стороны: да и нафига им сдались эти логи? Что с ними можно сделать реально, я не представляю?

"Новая версия" при желании может легко начать собирать пароли и логины, переправлять налево данные сессий и куки, дублировать содержимое личных сообщений. Причем, не только с этого ресурса, но и всего остального, что открывается в браузере.

Учитывая направленность форума, для которого сделано расширение, вероятность этого достаточно высока. Так что данный продукт - это анальный зонд с капсюлем, могущим сдетонировать в любой момент. Причем, произойти это может даже без ведома автора расширения, если его аккаунт на addons.mozilla.org взломают и выложат "новую версию" за него.

А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?

[Balthazar]

А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?

Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.

[FontSeli]

А может ли разработчик расширения заложить в него функцию самостоятельного обновления с различного списка серверов, не только официальных гугловских или мозилловских, но и личных серверов автора?
Или если скачал с сервера мозиллы, то и обновляться будет только оттуда?

Автообновление происходит только с репозитория разработчиков браузера. Если расширение скачано откуда-то ещё, то оно обновляться не будет.

Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

[kzv]

Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.
Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.

[FontSeli]

Так а команда разработчиков браузера наверняка проверяет код расширений чтобы выявить в нем "не задокументированные возможности", и в случае чего отказывает в размещении в своем репозитории. Или это фантастика и весь код досконально не проверишь?

Перед размещением на сайте, расширения проверяют. Но там проверки идут в основном на всякие вызовы запрещенных функций которые позволят например внедрять на страницы посторонний код. Понятно, что если разрешить расширению загружать и внедрять посторонний код, то расширение в любой момент может сделать с пользовательской системой все что угодно.

Разве применение скриптов в браузере не ограничено средой самого браузера?

Но никаких проверок на "недокументированные возможности" не проводится. Ибо зачастую вся документация это собственно само описание, а описание почти всегда одно и то же типа: "расширение добавляет три кнопки на сайт и все этому радуются".
Технически, чтобы забрать ваш пароль, расширению всего-то нужно читать события от одного единственного поля ввода. Не думаю, что чтение событий от полей ввода является запрещенным функционалом в расширениях.

Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?

[kzv]

Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Про поля ввода это понятно. Но ведь помимо того что нужно считать информацию из полей её же нужно отправить разработчику расширения. Неужели именно этот код не может вызвать подозрений. Или все это легко маскируется под отправку заранее предусмотренных запросов?

Ну как видно - не вызывает подозрений. Откуда расширение из сабжа берет информацию о пользователях? Оно обращается за этой информацией на сайт BPIP ! А в строке обращения можно послать все что угодно.

[Virsec]

А вот и сачмун проговорился намекнув что в будущем встроит в свое расширение следящие компоненты

Also keep in mind that it would still need access to BPIP APIs, which are not documented and subject to change.

Тут видно что KZV заодно с сачмуном

Hi suchmoon!
I have downloaded, unpacked and published on github your extension https://github.com/3s3s/bpip

И странно еще что reddish11 поставил этому калу мерит. Все это странно очень

[fxpc]

Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

[kzv]

Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.

[Balthazar]

Разве применение скриптов в браузере не ограничено средой самого браузера?

Может сейчас это и пофиксили, но в былые времена был такой тип расширений XPCOM (у мозилы, у хрома не помню как называлось). Эти расширения могли делать все. что может любой другой исполняемый файл.

Уже давно удалили поддержку этого API из FF и похожего из хрома.
https://habr.com/ru/post/368031/
Вроде как расширения XPCOM только внутри браузера могли делать всё. Вирусов в расширениях FF я не припомню, а они должны были существовать, если расширения могли делать на машине всё что и любой другой исполняемый файл.

Это были обычные dll-ки на c++. Никто им не запрещал вызывать любые системные функции. У вирусописателей не получили широкого распространения из-за сложностями со скрытой установкой и простотой отключения/удаления. Но раз удалили эту фичу, значит оффтоп.

Не оффтоп. В расширениях Firefox можно вызывать функции нативных библиотек из Javascript. Никаких проблем с этим и сейчас нет, если надо. Там своя реализация FFI, похожая на питоновскую, называется js-ctypes. Пиши обертки для любой библиотеки и вызывай.  Её вроде бы собрались удалять, но пока работает по-моему.

Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.

[Virsec]

Короче минус в траст сачмуну за троянское расширение. К маднесу и его переводу - претензии нет

Ну и да, для вредоносных действий расширению совсем необязательно вылезать за пределы браузера, в нем самом по себе очень много интересного.

О чем и речь

Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.

Даже Ратимов не доверяет сачмуну.

Вердикт: данное расширение является эксплойтом эксплуатирующее уязвимость к социальной инженерии методом внушения полезности расширения при помощи мнимого авторитета сачмуна

минус в траст сачмуну

[bitcoinbrother]

После прочтения данного пункта отпадает всякое желание добавлять такие левые расширения к этому форуму.

Расширение может технически считывать любые данные с вашей сессии BitcoinTalk, включая ваши ЛС, но оно этого не делает.

Променять вероятность, что кто-то потом будет копаться в твоих ЛС на красивые значки (которые тут как бы и так должны были быть, уже сколько просили за них)-это сомнительное удовольствие.

Ну и автор расширения также не вызывает у меня доверия, чтобы ему теоретически сливать свои данные. За перевод спасибо, но сама тема-неуд.

еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?

Пока нет факта сбора данных то как можно разработчика наказывать трастом?
Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.

[Virsec]

еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?

Вот вот вот. Я тут с пелосой согласен.

Пока нет факта сбора данных то как можно разработчика наказывать трастом?

А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.

Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.

Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные

[reddish111]

еще учитывая то чье детище это расширение) как вообще можно доверять лицемерному сучкамуну что бы еще и его говно юзать?

и вообще за данный софт его ( сучкамуна ) надо бы задистрастить и обвинить в потенциальном сборе данных, т.е этот выродок под благороднымы деяниями пытается всучить хрень которую возможно в будущем будет использовать в мошеннических целях, да другим за такое дело флагшток вставляют в жопу, почему сучкамуну все сходит с рук?

Вот вот вот. Я тут с пелосой согласен.

Пока нет факта сбора данных то как можно разработчика наказывать трастом?

А ты предпочитаешь дождаться пока хомяки будут палить свои IP сачмуну? Так тогда поздно будет боржоми пить.

Если честно, то я думаю что через какое-то время(когда все станут пользоваться расширением), плагин обновится и сольет данные разработчику.

Так сачмун в этом и признался сам того не заметив. Сам себе дистраст заработал короче. Там даже обфускации не нужно, там и так по коду понятно что технически расширение будет собирать данные

В какой строке какого файла это смотреть?
И если поставить скачанный из  https://github.com/3s3s/bpip тоже будет тянуть обновления? Откуда? В какой строчке это поправить.

[kzv]

1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

[Virsec]

Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело

Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT

SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ

[reddish111]

1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

а если я скачал с гитхаба и установил распакованное то как оно будет обновляться?
в манифесте есть  

Code:

   "browser_specific_settings": {
        "gecko": {
            "id": "{87c4d097-3748-4fea-b234-29aff57a5843}",
            "strict_min_version": "57.0"
        }

Но мой браузер сказал что это ошибка  


Всё короче упирается в обращение к сайту BPIP и недоверию у некоторых к нему...
Что туда отправляется всегда можно посмотреть в коде... и даже поправить если есть желание.

Cачмуну - ноль доверия.
Свое очко открывать всем в обмен на красивые значки - такое себе дело

Надо будет - в Лойсе посмотрю кто там в DT, а кто не в DT. Лойс чаще обновляется - а значит и данные там более актуальные. А bpipe устаревшие данные довольно долго висят. Там я видел одного чела давно из DT выперли, а он в Bpipe отображался что он до сих пор в DT

SUCHMOON - СКАМ. СБОР ДАННЫХ НЕ ПРОЙДЕТ

Чего ты истиришь как вРотимов? Он тебя укусил?
А тут смотри лосев сам мерит даёт в этой теме  https://bitcointalk.org/index.php?topic=5224821.msg53827039#msg53827039

[FontSeli]

1. Обращение к сайту BPIP идет тут https://github.com/3s3s/bpip/blob/master/js/background.js#L116
Без этого обращения ничего работать не будет, расширение будет бесполезно.
2. Чтобы расширение не обновлялось, его надо упаковать и подписать на сайте мозиллы/хрома с опцией "буду распространять на собственном сайте".
Для мозиллы страница регистрации тут https://addons.mozilla.org/en-US/developers/
Для хрома тут https://chrome.google.com/webstore/developer/dashboard

Но я думаю, что если автора попросить, то он сам переподпишет и выложит куда-нибудь локальную версию своего расширения.

Но в любом случае будет риск, что изначально в расширение встроена функция отправки того что вы набираете в полях ввода. Ведь не обязательно включать это только после установки при обновлении.

[suchmoon]

Где гарантий что он и в будущем не будет обфусцирован?

Google и Mozilla не позволяют обфусцированного кода в расширениях.

Загрузка чего бы то ни было в свой браузер, а не только этого расширения - строго на свой страх и риск. Если есть основания беспокоиться о приватности, то подобные расширения можно использовать в отдельном браузере с залогиненным альт аккаунтом. И комбинировать с расширением вроде ZenMate.

Альт аккаунт не нужен. Расширение может работать без логина.

Могу но не буду?
А вдруг когда нибудь захочется?
Очень сильное искушение.

Это просто факт, так работают разрешения. Если расширение может добавить HTML на страницу, оно также может читать HTML. Но это расширение не читает ваши ЛС, и вы можете проверить это в исходном коде.

Аддон, загруженный с сайта хрома или лисы, будет автоматически обновляться на новые версии. Это не очень хорошо для безопасности приватных данных конечно.

В Мозиле это можно отключить. Про Chrome не знаю.

Но мой браузер сказал что это ошибка 

Если вы используете Chrome, не обращайте внимания на эту ошибку. Это настройка для Firefox.