1 puntos por GN⁺ 2024-07-25 | 1 comentarios | Compartir por WhatsApp
  • Button Stealer es una extensión de navegador que “roba” y recopila, uno por uno, los botones de los sitios web que visita el usuario
  • Se parece más a una herramienta de broma que, con solo usar la web como siempre, hace crecer automáticamente una colección de botones
  • El producto se presenta como una extensión divertida, inútil y gratis
  • Como métricas públicas, se muestran Chrome Web Store 4.9/5, Product Hunt #3 Product of the Day y ↑492 Featured Product
  • Funciona de manera local y no envía datos al exterior, por lo que los datos del usuario se mantienen privados

Cómo recopila botones de sitios web

  • Button Stealer es una extensión de navegador que “roba” un botón de los sitios web que abre el usuario
  • Aunque el usuario no haga nada aparte, la colección de botones robados crece con su actividad normal en línea
  • El producto en sí se presenta como una herramienta divertida, inútil y gratis

Insignias y métricas públicas

  • Chrome Web Store

    • Calificación: 4.9/5
    • Se muestra la insignia Featured
  • Product Hunt

    • #3 Product of the Day
    • ↑492 Featured Product

Manejo de privacidad e instalación

  • Button Stealer funciona localmente
  • Como no envía datos a ningún lado, los datos del usuario se mantienen privados
  • En la página se ofrece un botón para instalar Button Stealer

1 comentarios

 
GN⁺ 2024-07-25
Opiniones en Hacker News
  • El problema con esta extensión “inofensiva” es que termina usando host_permissions en el manifiesto.
    En la práctica puede hacer casi cualquier cosa en todas las páginas web que visitas, e incluso extraer datos.
    Como desarrollador de extensiones, paso. Que una extensión así, sin utilidad práctica y solo divertida, pida permisos tan amplios es peligroso.

    • No parece haber forma de implementarla sin esos permisos.
      Si revisas el código en GitHub e instalas la extensión localmente, puedes evitar el riesgo de que después le metan cambios maliciosos.
    • Se me hace raro que las extensiones no tengan un permiso aparte para solicitudes de red.
      Aunque le des acceso al DOM de todas las páginas que visitas, estaría bien si no tuviera forma de enviar eso hacia afuera.
      1. Esperar a que la extensión se vuelva popular.
      2. Venderla a una empresa maliciosa.
      3. El navegador termina con anuncios/spyware/malware.
    • Los permisos tienen que volverse más granulares de alguna manera.
      Creo que el enfoque correcto sería permitir definir una función aislada del resto del código y pagarle a un tercero confiable para que revise lo que hace esa función.
      En este caso, esa función solo podría 1) acceder al HTML del sitio web, 2) encontrar botones y 3) devolver únicamente lo que compone el botón.
      Entonces el aviso de permisos redactado por la entidad de confianza también podría ser preciso, algo como “esta extensión quiere copiar botones de sitios web”.
      Me gustaría llamar a esto computación DEWISOTT: que significa que hace exactamente lo que dice en la etiqueta.
      Mientras no toques esa función, podrías actualizar la extensión 1000 veces al día.
    • ¿Cómo podría el autor original crear la extensión sin este enfoque?
  • Esto parece la versión app de un correo de phishing.
    Básicamente pide acceso a todo en cada sitio web que visitas solo por algo vistoso.

    • Me da vibes de Bonzi Buddy.
  • Me preocupa instalar este tipo de extensiones.
    Porque alguien podría ofrecerle mucho dinero al desarrollador para comprarla y luego usarla con fines menos divertidos.
    No sé si necesita permisos adicionales, pero al menos el script de contenido actual ya se ejecuta para “[https:///\](https://*/\)”.

  • Me pregunto si hay alguna razón especial para usar APIs exclusivas de Chrome en lugar de la API estándar de WebExtensions.
    Estaba pensando en experimentar con extensiones web, pero quisiera saber qué limitaciones reales tiene la API estándar frente a las APIs específicas de cada navegador.

    • Hay diferencias, pero muchas funciones básicas se solapan.
      Firefox es compatible con las llamadas a la API chrome.* que uso en mi propia extensión.
    • Chrome no soporta la API de WebExtensions.
  • GitHub: https://github.com/anatolyzenkov/button-stealer

    • Ahora estaría bueno agregar una tabla de clasificación de quienes hayan recolectado más.
      Vi el código y parece inofensivo. Aunque no sé si hay forma de verificar que el código subido a Chrome Extension Store sea el mismo.
  • Me recuerda a la vista de anuncios clicados de https://adnauseam.io/: https://adnauseam.io/img/adnauseam_vault.png

    • Me gusta ver mi pantalla, y también ver cómo se les acumulan costos a los anunciantes.
      Los problemas modernos requieren soluciones modernas.
  • Me gusta la idea, pero los permisos de acceso dan un poco de miedo.
    Idealmente, creo que se podría rehacer como bookmarklet. Aunque habría que guardar el fragmento HTML del botón en un archivo, así que probablemente habría que hacer alguna vuelta con Blob para permitir la descarga.

  • Hace tiempo hice una herramienta con un propósito parecido.
    Solo que en vez de robar botones, roba CSS/SCSS, y no es una extensión sino una herramienta CLI. Se puede encontrar en GitHub como coalio/rfscss.

  • Me pregunto si guarda el HTML/CSS para que sea fácil reutilizar los botones, o si los guarda como imágenes.
    Si es lo primero, sería bastante útil; si es lo segundo, sería divertido pero menos útil. Si son imágenes, también me pregunto qué tan difícil sería extraerlas desde una página que muestre todos los botones.

  • Suena como una muy buena forma de encontrar inspiración para diseño UI/UX