El caso de Button Stealer
(anatolyzenkov.com)- Button Stealer es una extensión de navegador que “roba” y recopila, uno por uno, los botones de los sitios web que visita el usuario
- Se parece más a una herramienta de broma que, con solo usar la web como siempre, hace crecer automáticamente una colección de botones
- El producto se presenta como una extensión divertida, inútil y gratis
- Como métricas públicas, se muestran Chrome Web Store 4.9/5, Product Hunt
#3 Product of the Dayy↑492 Featured Product - Funciona de manera local y no envía datos al exterior, por lo que los datos del usuario se mantienen privados
Cómo recopila botones de sitios web
- Button Stealer es una extensión de navegador que “roba” un botón de los sitios web que abre el usuario
- Aunque el usuario no haga nada aparte, la colección de botones robados crece con su actividad normal en línea
- El producto en sí se presenta como una herramienta divertida, inútil y gratis
Insignias y métricas públicas
-
Chrome Web Store
- Calificación: 4.9/5
- Se muestra la insignia Featured
-
Product Hunt
#3 Product of the Day↑492 Featured Product
Manejo de privacidad e instalación
- Button Stealer funciona localmente
- Como no envía datos a ningún lado, los datos del usuario se mantienen privados
- En la página se ofrece un botón para instalar Button Stealer
1 comentarios
Opiniones en Hacker News
El problema con esta extensión “inofensiva” es que termina usando
host_permissionsen el manifiesto.En la práctica puede hacer casi cualquier cosa en todas las páginas web que visitas, e incluso extraer datos.
Como desarrollador de extensiones, paso. Que una extensión así, sin utilidad práctica y solo divertida, pida permisos tan amplios es peligroso.
Si revisas el código en GitHub e instalas la extensión localmente, puedes evitar el riesgo de que después le metan cambios maliciosos.
Aunque le des acceso al DOM de todas las páginas que visitas, estaría bien si no tuviera forma de enviar eso hacia afuera.
Creo que el enfoque correcto sería permitir definir una función aislada del resto del código y pagarle a un tercero confiable para que revise lo que hace esa función.
En este caso, esa función solo podría 1) acceder al HTML del sitio web, 2) encontrar botones y 3) devolver únicamente lo que compone el botón.
Entonces el aviso de permisos redactado por la entidad de confianza también podría ser preciso, algo como “esta extensión quiere copiar botones de sitios web”.
Me gustaría llamar a esto computación DEWISOTT: que significa que hace exactamente lo que dice en la etiqueta.
Mientras no toques esa función, podrías actualizar la extensión 1000 veces al día.
Esto parece la versión app de un correo de phishing.
Básicamente pide acceso a todo en cada sitio web que visitas solo por algo vistoso.
Me preocupa instalar este tipo de extensiones.
Porque alguien podría ofrecerle mucho dinero al desarrollador para comprarla y luego usarla con fines menos divertidos.
No sé si necesita permisos adicionales, pero al menos el script de contenido actual ya se ejecuta para “[https:///\](https://*/\)”.
Me pregunto si hay alguna razón especial para usar APIs exclusivas de Chrome en lugar de la API estándar de WebExtensions.
Estaba pensando en experimentar con extensiones web, pero quisiera saber qué limitaciones reales tiene la API estándar frente a las APIs específicas de cada navegador.
Firefox es compatible con las llamadas a la API
chrome.*que uso en mi propia extensión.GitHub: https://github.com/anatolyzenkov/button-stealer
Vi el código y parece inofensivo. Aunque no sé si hay forma de verificar que el código subido a Chrome Extension Store sea el mismo.
Me recuerda a la vista de anuncios clicados de https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png
Los problemas modernos requieren soluciones modernas.
Me gusta la idea, pero los permisos de acceso dan un poco de miedo.
Idealmente, creo que se podría rehacer como bookmarklet. Aunque habría que guardar el fragmento HTML del botón en un archivo, así que probablemente habría que hacer alguna vuelta con Blob para permitir la descarga.
Hace tiempo hice una herramienta con un propósito parecido.
Solo que en vez de robar botones, roba CSS/SCSS, y no es una extensión sino una herramienta CLI. Se puede encontrar en GitHub como
coalio/rfscss.Me pregunto si guarda el HTML/CSS para que sea fácil reutilizar los botones, o si los guarda como imágenes.
Si es lo primero, sería bastante útil; si es lo segundo, sería divertido pero menos útil. Si son imágenes, también me pregunto qué tan difícil sería extraerlas desde una página que muestre todos los botones.
Suena como una muy buena forma de encontrar inspiración para diseño UI/UX