La extensión de Chrome JSON Formatter pasa a ser cerrada e incluye código publicitario

 (github.com/callumlocke)
2 puntos por GN⁺ 17 일 전 | 1 comentarios | Compartir por WhatsApp
  • La extensión que permitía visualizar datos JSON de forma estructurada en Chrome ya no se mantendrá como open source
  • El proyecto está cambiando a un modelo comercial cerrado, y la nueva versión se está desarrollando como una herramienta de exploración de APIs con funciones premium
  • Para los usuarios actuales, se publicó JSON Formatter Classic como la versión final open source, ofrecida solo como un formateador local
  • La versión Classic dejará de recibir actualizaciones y puede instalarse desde Chrome Web Store o desde el código fuente
  • A raíz de este cambio, surgieron preocupaciones por la inserción de código publicitario y la pérdida de confianza

Anuncio del cierre y transición del proyecto

  • JSON Formatter finaliza su desarrollo open source y pasa a un modelo comercial cerrado
    • La nueva versión se está desarrollando como una herramienta de exploración de APIs con funciones premium
  • Para los usuarios del proyecto open source existente, se publicó la versión final open source como JSON Formatter Classic
    • Puede instalarse desde Chrome Web Store y se mantiene como una extensión de formateo JSON solo local
    • Ya no se ofrecerán más actualizaciones

Resumen de JSON Formatter

  • Una extensión para el navegador Chrome que visualiza de forma estructurada las respuestas JSON de APIs
  • Ofrece procesamiento rápido incluso en páginas JSON largas y soporte para Dark Mode y resaltado de sintaxis
  • Incluye funciones de plegar/desplegar estructura en árbol, guías de sangrado y URLs clicables
  • En páginas que no son JSON, el impacto en el rendimiento es de menos de 1 milisegundo
  • Incluye un botón para cambiar entre Raw / Parsed JSON; al JSON parseado se puede acceder desde la consola mediante la variable global json

Lecturas relacionadas

1 comentarios

 
GN⁺ 17 일 전
Comentarios en Hacker News

  • Hoy encontré un elemento sospechoso llamado give-freely-root-bcjindcccaagfpapjjmafapmmgkkhgoa en Chrome Inspector
    Revisando, resultó que la popular extensión de código abierto JSON Formatter se volvió de código cerrado hace aproximadamente un mes y empezó a insertar código publicitario y rastreo de ubicación en la página de pago
    Ya da la impresión de que el mercado de extensiones del navegador fue un experimento fallido. Hasta dan ganas de hacer y usar tu propio formateador de JSON

    • Es irónico que, según la política de Google, insertar anuncios esté permitido pero quitarlos esté prohibido
    • La función de filtrado de seguridad de las tiendas de aplicaciones todavía tiene cierto valor. No es perfecta, pero sigue siendo mejor que un entorno sin ningún control
    • Engañar a los usuarios existentes e insertar anuncios fue una acción realmente antiética. Pasarse a una versión comercial cerrada está bien, pero meter anuncios sin aviso previo ya es cruzar la línea
    • Este tipo de conducta debería recibir críticas públicas y exigencia de responsabilidades. Obviamente lo digo medio en broma, pero este tipo de “venta” también necesita algún tipo de sanción social
    • Me da curiosidad cómo detectó ese elemento sospechoso. Quisiera preguntar si normalmente revisa mucho el DOM

  • Es interesante que el autor de este caso, Callum Locke, sea una persona real
    Antes este tipo de “desarrollador con nombre real” era una señal de confianza, pero ahora queda claro que no necesariamente lo es

    • Cuando tienes cientos de miles o millones de usuarios, la tentación de vender es bastante grande. Yo también administro una extensión con unos 300 mil usuarios, y solo con las ofertas que he recibido en estos años ya habría sido mucho dinero
      La discusión relacionada está en HoverZoom GitHub discussion
    • Si eres desarrollador de una extensión popular, sabes perfectamente lo difícil que es resistirse a esa tentación
    • Los encargados de mantener extensiones de navegador suelen recibir correos con ofertas sospechosas. Este caso también parece ser uno donde cayó en una de esas propuestas
    • De cualquier modo, Callum Locke básicamente perdió por completo su reputación con esto

  • Si uno mira este comentario en HN que el autor dejó hace dos años,
    juraba que él era el creador de JSON Formatter y que jamás enviaría ni vendería datos de los usuarios
    Dijo además que había recibido varias ofertas de compra por grandes sumas, pero que las rechazó para preservar su honor

    • Hace pensar en la frase: “Mueres como héroe o vives lo suficiente para convertirte en villano”
    • Hoy en día el costo de hacer tus propias herramientas es casi cero, así que no veo mucha razón para confiar en terceros
    • Al final, ese tipo de promesas también pudo haber sido solo una estrategia de venta. El código abierto necesita una estructura de financiamiento sostenible de verdad
    • Aun así, si hubiera mantenido sus principios hasta el final, habría sido algo admirable

  • Según esta respuesta del autor a una reseña en Chrome Web Store,
    ‘Give Freely’ no es spyware, sino un sistema de enlaces de afiliados para donaciones
    Explica que, cuando el usuario hace clic al pagar en una tienda afiliada, una parte de los ingresos se dona a organizaciones como Code.org
    También insiste en que no recopila información personal ni datos de navegación, y que si el usuario no lo quiere, puede desactivarlo completamente desde la configuración
    Dice además que también ofrece una versión clásica de JSON Formatter sin el código de ‘Give Freely’

    • Más allá de la intención, la forma de implementarlo fue torpe, y terminó exponiendo una debilidad de seguridad en el modelo de distribución de extensiones del navegador

  • Creo que el problema central está en la ideología de las actualizaciones automáticas
    Las actualizaciones corrigen vulnerabilidades de seguridad, pero al mismo tiempo introducen cambios no deseados y riesgo de ataques a la cadena de suministro
    Sobre todo en extensiones hechas por desarrolladores individuales, habría que desactivar las actualizaciones automáticas. Pero Chrome no lo permite
    Por su filosofía centrada en la publicidad, Google ni siquiera parece reconocer este tipo de conversión a adware como un problema
    Firefox está un poco mejor, aunque sigue siendo una lástima que no permita instalar permanentemente extensiones compiladas por uno mismo

    • En Firefox tampoco es completamente imposible. Se puede cargar temporalmente desde about:debugging, o hacerlo desactivando xpinstall.signatures.required
    • Personalmente, mi principio es que todo programa que se ejecute localmente debería tener las actualizaciones automáticas desactivadas. De lo contrario, no deja de ser una especie de backdoor RCE socialmente aceptado
    • En extensiones con funciones fijas como JSON Formatter, lo mejor sería desactivar las actualizaciones justo después de instalarlas.
      Aunque extensiones como uBlock, que actualizan periódicamente sus listas de filtros, podrían ser una excepción

  • Creo que el mayor problema es la falta de coincidencia entre el binario y el código fuente público en Chrome Web Store
    La tienda simplemente confía en el paquete que sube el desarrollador y no verifica si realmente coincide con el código publicado
    Yo mismo he intentado hacer builds reproducibles de varias extensiones, y la mayoría no coincidía
    Firefox AMO sí compara (diff) contra un build limpio después de recibir el código fuente, pero Chrome no hace eso
    Sin builds reproducibles y una vinculación con commits firmados, no hay forma de detectar con anticipación la inserción de código malicioso

  • Google sigue empujando Manifest V3 mientras deja este tipo de problemas sin atender
    Encima les pone la insignia de ‘Featured’ a extensiones maliciosas como Blaze VPN, Safum VPN, Snap VPN
    Son copias del grupo PDF Toolbox, que ya había creado extensiones maliciosas en el pasado, y en realidad ni siquiera funcionan
    Es un caso que muestra lo desastroso que es el sistema de verificación de Chrome Web Store

  • Lo mismo pasó con la extensión ModHeader
    Enlace de ModHeader
    Empezó a insertar anuncios en cada resultado de búsqueda de Google, y aunque se reportó, sigue en la tienda

  • Me di cuenta de este problema hace una semana, y junté las funciones que me gustaban para hacer un nuevo formateador de JSON
    GitHub - JSON Alexander

    • Le hicieron un cumplido diciendo que el nombre está buenísimo

  • Este incidente terminó siendo una buena oportunidad para limpiar las extensiones instaladas
    Voy a dejar solo las realmente necesarias y borrar el resto