Feedlyに追加は、Feedlyサービス(故人のGoogleリーダーの一般的な代替手段)を介して現在のページのRSSフィードを購読するための便利なボタンを追加した拡張機能です。 拡張は1時間でAmitによって行われ、Chromeストアで30,000人のユーザーを獲得しました。 拡張機能は販売され、PayPalを通じて受け取ったお金は、Amit が拡張機能の権利を別のGoogleアカウントに譲渡しました 。
1か月後、新しい所有者が更新をChromeストアに送信しました。 新機能もバグ修正もありません。 ユーザーが表示するすべてのページにのみ広告を追加します。 各サイトのすべてのリンクは、広告がスローされた紹介リンクに変わりました。 さらに、新しい所有者はすべてのユーザーの移行を追跡できました。 簡単に言うと、Chromeの自動更新は30,000個のアカウントに悪意のあるコードを直接ダウンロードし、Chrome SyncはGoogle Chrome、Chromium、またはChrome OSがインストールされているすべての接続コンピューターにそれを配布しました。
マルウェアの更新の問題は長い間存在しており、Chromeに限定されません。 Mozilla Firefoxにも同様のスキャンダルがありました。 ただし、大きな違いがあります。Mozilla拡張機能セクションでは、各更新プログラムはモデレーターによって手動でチェックされますが、Chromeストアは、開発者が既にアプリケーション開発者を信頼していると想定しています。 さらに、Chromeストアのルールとは異なり、Mozillaのルールでは、レビューのために拡張機能のソースコードを送信する必要があります。 また、Chromeの拡張機能には、コンパイル済みのネイティブクライアントコードが既に含まれている場合があります。
または正直な収益化
GoogleがGoogleストアに送信される悪意のあるコードと戦っており、戦うことを確信できます。また、お気に入りの音楽グラバーがフィッシングページから離れることはありません。 しかし、まだ広告の問題があります。
開発者が自分の拡張機能でお金を稼ぐことにしたと想像してください。 彼は広告ネットワークと交渉し、広告または(匿名の)統計のコレクションを含む更新を出します。 彼が拡張機能を販売してから、他の誰かが広告または統計情報の収集を含めるか、これはユーザーにとってそれほど重要ではありません。 重要なことは、明日、ブラウザを開いて、使い慣れたサイトに新しい広告を表示することです。 Chromeでは、以前のバージョンにロールバックしたり、更新を禁止したりすることはできません;使い慣れたスクリプトを完全に無効にすることしかできません。
広告による拡張機能の収益化は、開発で積極的に使用されている安全で合法的な方法です。 Googleの拡張機能での広告の禁止はないと自信を持って言えます。多くのアプリケーションと拡張機能がこれに基づいています。 しかし、便利で使い慣れた機能のために、いくつのリンクとバナーに耐えることができますか?
Redditユーザーは、ページに広告を挿入する(ネイティブバナーを独自のバナーに置き換えることを含む)、ユーザーを監視する(匿名または明示的に)、または単に「意味」で動作する拡張機能のリストを作成しました。 リストの一部(Feedlyに追加など)は既にChromeストアから削除されています。
Neat Bookmarks拡張機能を見てみましょう。 ブラウザでブックマークを便利に管理できますが、視覚障害者やキーボードコントロールのインターフェイスをサポートしています。 アフィリエイト広告とともに配信されることに興味があります。 広告はデフォルトで有効になっており、拡張機能のインストール後に開くページで、これについて別の段落で通知されます。
きちんとしたブックマークの設定には、広告を無効にするチェックマークもありますが、クリックしようとすると、寄付を求めるページが開きます。 その上でのみ、ユーザーは、PayPalを介して(任意の金額の)寄付が行われた後にのみ広告が無効になることを学習します。 したがって、ユーザーはインストール後 、開発者に直接または間接的に収入をもたらします。 インストール後にページを読んでおらず、拡張機能の設定を確認していない場合、この組み込まれたコードが機能するまで学習しません。 拡張による収益は、昨年拡張機能を購入した未知の個人に送られます。
Neater Bookmarksと呼ばれる広告なしのオープンソースフォークがありますが、ユーザー数ははるかに少ないため、検索結果では2番目になります。
どうする
拡張機能は、インストール後にソースコードを表示することによってのみ確認できます。ユーザーは、圧縮されたJavaScriptファイルを復号化するタスクに直面します-多くの場合、変更されていない文字列変数(「呼び出し」のアドレスが格納される) Native Clientを使用する拡張機能(および今後さらに追加される機能)には、特別な調査とデバッグが必要になります。 FirefoxおよびChrome用の拡張機能もあり、インストールされた「ローション」の新しいバージョンを通知します。
Javascriptを理解している人は、Userscripts.orgアーカイブを代替拡張のソースとして使用できます。 このサイトのスクリプトはフィルターを通過しません(つまり、多くの危険なコードがあり、自分が置いたすべてのコードを個人的に読むことを想定しています)が、インストール前にコードを読むことができます。 TamperMonkey拡張機能を使用してスクリプトをインストールする場合、自動更新を設定できます(TMは新しいバージョンについて警告し、インストール前に確認する場合があります)。
残念ながら、これは上級ユーザーができることのすべてです。 GoogleストアはGoogle Chromeと密接に連携しています。 自動更新プロセスをオフにしません(拡張機能を手動で更新するオプションがあるMozilla Firefoxとは異なります)。 拡張機能をインストールすると、その開発者を無条件に信頼することになります-現在および将来、現在および将来の開発者。 habr.ruのデータを要求された場合は、habr.ruのすべてのデータを提供する準備を整えてください。 例外なし。