Die Versuchung für Entwickler von Open-Source-Chrome-Erweiterungen
(github.com/extesy)- Der Maintainer von Hover Zoom+ hat Angebote zur Monetarisierung und Übernahme der Erweiterung veröffentlicht, die er von 2015 bis 2026 erhalten hat, und erklärt, dass er sie abgelehnt habe, um seine Nutzer nicht zu verkaufen
- Die Angebote liefen immer wieder darauf hinaus, Browser-Berechtigungen und Nutzerbasis zu Geld zu machen: Verkauf anonymer Nutzerdaten, Monetarisierung von Such-Traffic, Einfügen von Affiliate-Links, Anzeigen von Werbung und Coupons, Installation von SDKs oder Übernahme der Erweiterung
- In den Angeboten wurde zwar „anonym“, „keine personenbezogenen Daten“, „keine UX-Auswirkung“ und „konform mit Google-Richtlinien“ betont, zugleich wurden aber Verhaltensdaten wie DNS-Fehler, GEO, DAU/MAU, URLs, Referrer, Browsing Behavior, Clickstream und Suchanfragen verlangt
- Der Maintainer erklärt, Hover Zoom+ habe über mehrere Browser hinweg rund 400.000 Nutzer und laufe auf allen Seiten; dadurch entstehe für böswillige Akteure eine große Angriffsfläche und Erlöschance
- In der Kommentardiskussion wurden Quellcode-Prüfung, Kontrolle der Berechtigungsliste, der Tab „privacy practices“ im Chrome Web Store, aktuelle Bewertungen, Netzwerk-Requests sowie die Beschränkung von Site Access auf „On Click“ als praktische Wege genannt, um Risiken durch Erweiterungen zu senken
Vom Maintainer öffentlich gemachte Bedenken
- Der Maintainer von Hover Zoom+ erklärt, er habe über Jahre hinweg viele Angebote erhalten, die Erweiterung zu monetarisieren, und veröffentliche sie „zum Spaß, aber nicht für Profit“
- Als wichtigsten Grund für die fortgesetzte Wartung nennt er, dass es schwer sei, darauf zu vertrauen, dass eine andere Person solchen Angeboten nicht nachgeben würde
- Er selbst habe einen ausreichend gut bezahlten Job und könne deshalb seinen „moralischen Kompass“ bewahren und die Angebote ignorieren
- Da nicht alle Entwickler dieselbe finanzielle Stabilität hätten, hoffe er, dass der Thread den finanziellen Druck zeige, dem Entwickler von Erweiterungen ausgesetzt sind
Wiederkehrende Arten von Monetarisierungsangeboten
- Viele Angebote verwiesen auf die Nutzerbasis von Hover Zoom+ im Chrome Web Store und stellten „erhebliche Einnahmen“ in Aussicht
- Wiederholt tauchten folgende Modelle auf
- Sammlung anonymer Nutzerdaten und Verkauf für Ad Targeting, Marktforschung, Business Intelligence oder Clickstream-Daten
- Hinzufügen von Bing-, Yahoo- oder Google-Suche beziehungsweise Search-Lander/-Feeds, um an Suchanfragen und Anzeigenklicks mitzuverdienen
- Einfügen von Store-Logos, Affiliate-Links oder „Sponsored“-Links in organische Suchergebnisse, mit Provision bei Käufen
- Einbau von Werbeformaten wie Coupons, Cashback, PopUnder, In-Text, New Tab, Search Injection oder In-Image-Monetarisierung
- Hinzufügen eines SDKs oder weniger Zeilen JavaScript, um Datenerfassung oder Werbeausspielung in die Erweiterung zu integrieren
- Übernahme der Erweiterung selbst oder Übertragung der Chrome-Extension-Ownership ohne Übertragung des Google-Kontos
- Einige Angebote betonten mit Formulierungen wie „soft to hard methods“, „invisible monetization methods“ oder „does not interfere with UX“ eine für Nutzer kaum sichtbare Monetarisierung
In den Angeboten genannte Daten und Beträge
- Eines der Angebote aus dem Jahr 2015 erklärte, man lasse „viel Geld liegen“, wenn man anonymous user data nicht monetarisiere, und verwies auf von NAI und IAB genehmigte Werbenetzwerke
- Ein Angebot von 2016 zur Untersuchung von DNS-Fehlern verlangte folgende Daten
- NXD, also Domains, die Nutzer eingegeben haben, die aber nicht existieren
- Zeitpunkt des Auftretens
- GEO
- Eine eindeutige zufällige Nutzer-ID, die angeblich gehasht werden könne und kein Nutzer-Tracking erlaube
- In Angeboten ab 2020 tauchten wiederholt Angaben wie GEO, täglich und monatlich aktive Nutzer, Interessenskategorien, URL, Referrer, Country, Timestamp, Browsing Behavior, Clickstream und Browser History auf
- Die genannten Beträge variierten stark
- Kaufangebot für die Erweiterung 2016: $14,500
- Angebot zur Integration einer Analytics Platform 2020: $2,000/Monat
- Angebot zur Such-Monetarisierung 2020: angeblich bis zu $9,000 pro Tag bei 300.000 Nutzern möglich
- Angebot zur Integration eines Data-Marketplace-SDKs 2021: $30,000/Jahr
- Datenangebot 2023: bis zu $20K/Monat
- Angebot für eine Clickstream-Data-Partnership 2024: $30,000~$40,000/Monat
- Kaufangebot 2024: $30,000
- Kaufangebot 2025: $0.05~$0.15 pro Nutzer
- Ende 2024 rechnete ein Angebot zur Abo-Monetarisierung bei einer Nutzerbasis von über 400.000 und angenommener 5-%-Conversion vor, dass $0.99/Monat etwa $19,800/Monat, $4.99/Monat etwa $99,800/Monat und $9.99/Monat etwa $199,800/Monat ergeben würden
Reaktion und Bewertungskriterien des Maintainers
- Auf die Frage, warum er die Firmennamen nicht offenlege, antwortete er, einige Firmen könnten vermögend sein und legal operieren; er wolle kein Klagerisiko eingehen
- Pop-up-Werbung werde von Nutzern bemerkt, und sie könnten die verantwortliche Erweiterung leicht deaktivieren; verdeckte Methoden könnten dagegen lange bestehen bleiben
- Zur Telemetrie sagt der Maintainer, aus Nutzersicht müsse man zwischen Nützlichkeit und Eingriffsintensität von Tracking abwägen; aus Entwicklersicht erreiche man aber die breiteste Nutzerbasis, wenn man gar kein Tracking einbaue, und vermeide zudem Debatten über den Grad der Anonymisierung
- Auf den Hinweis, der Name Hover Zoom+ werde mit dem früher wegen Malware-Vorwürfen umstrittenen Hover Zoom verwechselt, antwortete er, es sei nicht sein Ziel, alle Nutzer zu gewinnen; über 300.000 Menschen sähen bereits einen Wert darin, und da die Erweiterung kostenlos und nicht gewinnorientiert sei, wolle er keine Zeit in eine Umbenennung oder zusätzliche Nachweise investieren
- In einem Kommentar von 2023 fasste der Maintainer zwei Gründe zusammen, warum Hover Zoom+ wertvoll sei
- Rund 400.000 Nutzer über alle Browser hinweg
- Aktivierung nicht nur auf bestimmten Websites, sondern auf allen Seiten
- Zusammengenommen entstünden dadurch eine große potenzielle Angriffsfläche gegenüber Endnutzern und entsprechend hohe potenzielle Erlöse für böswillige Akteure
Warnsignale für Nutzer und Entwickler
- Ein Kommentar wies darauf hin, dass nach einer Übernahme einer Erweiterung in der nächsten Version Adware oder ein Botnet-Script landen könne und aufgrund bestehender Berechtigungen ohne zusätzlichen Berechtigungs-Popup funktionieren könne
- Ein anderer Kommentar erklärte, einige Datenangebote könnten mit dem Verkauf von Nutzerdaten für AdTech/RTB-Zwecke zusammenhängen, und verlinkte Material von Privacy International zu AdTech
- Zu Angeboten, die DNS-Fehlerdaten verlangen, deutete ein Kommentar an, dass damit gewöhnliche Tippfehler-Domains oder abgelaufene Domains registriert werden könnten, um Nutzer umzuleiten
- Ein Kommentar mit Verweis auf The Great Suspender merkte an, dass manche Deals nicht auf die Installation eines SDKs, sondern auf die Übertragung des Repositorys oder der Eigentümerschaft an der Erweiterung abzielten
- Eines der Angebote von 2026 erwähnte Berechtigungen für you.com, das Lesen von Seiteninhalten, das Erfassen von Keystrokes, die Übertragung an externe Server, Zugriff auf Session-Cookies und Muster zur Erfassung der Browsing History; die Notiz des Maintainers ergänzt jedoch, dass Hover Zoom+ so etwas nicht tue und dies nur zeige, welche Daten diese Firma kaufen wolle
Wie man erkennt, ob eine Erweiterung monetarisiert wurde
- Der Maintainer sagt, die verlässlichste Methode sei, den Quellcode zu lesen
- Als weitere Prüfsignale nennt er
- Im Tab „privacy practices“ des Chrome Web Store prüfen, ob der Entwickler offenlegt, dass keine Daten gesammelt oder verwendet werden
- Prüfen, ob es einen öffentlichen Quellcode gibt
- Prüfen, ob die Berechtigungsliste einer Erweiterung verdächtige Berechtigungen verlangt, die nicht zu ihrer Funktion passen
- In aktuellen Nutzerbewertungen nach wiederkehrenden Beschwerdemustern über das Verhalten suchen
- Risikoeinschätzungen von Websites wie chrome-stats heranziehen
- Der Maintainer ergänzt, dass all diese Signale manipulierbar seien und daher eher der Problemerkennung dienten als einem „Unschuldsbeweis“
- Ein anderer Kommentar schlägt vor, dass wegen Webpack und ähnlichen Tools das Lesen des Quellcodes schwierig sein könne; einfacher sei es möglicherweise, die Netzwerk-Requests der Erweiterung zu prüfen
- Derselbe Kommentar erklärt, dass man auch Requests von Background- oder Service-Workern prüfen sollte und dass viele Erweiterungen unnötigerweise auf allen Seiten laufen; daher könne man Site Access in Chrome auf „On Click“ beschränken
Reaktionen der Community und weitere Diskussion
- Mehrere Kommentare unterstützen den Maintainer dafür, dass er seine Nutzer nicht verkauft und die Angebote veröffentlicht hat
- Ein Nutzer sagte, Nutzer und Entwickler von Erweiterungen müssten stärker für solche Praktiken sensibilisiert werden
- Der Maintainer antwortete, die Lage rund um bösartige Erweiterungen sei bereits schlimm genug, und mehr Menschen müssten davon erfahren
- Auf einen Kommentar, dass der Thread auf Hacker News erschienen sei, sagte der Maintainer, er hoffe, andere Entwickler würden sich inspiriert fühlen, „stand“ zu beziehen
- Ein Entwickler einer Erweiterung mit 170.000 Nutzern berichtete, auch er habe viele ähnliche Angebote erhalten; als armer Student seien sie verlockend gewesen, er habe die Erweiterung aber auf andere, nicht invasive Weise monetarisiert
1 Kommentare
Meinungen auf Hacker News
ChatGPT for Google war Anfang dieses Jahres auf Platz 1 bei HN, aber wenn man sich jetzt das GitHub-Repository ansieht, ist diese Erweiterung bereits verkauft worden.
Ich hatte selbst ein kostenloses Side-Project als Erweiterung mit rund 25.000 Installationen und bekam ziemlich viele Anfragen, man wolle mir „bei der Monetarisierung helfen“.
Deshalb fand ich es sinnvoll, all die unangenehmen Monetarisierungswege einmal zusammenzufassen: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
Die Ad-Tech-Branche ist wirklich insgesamt ein widerliches Feld.
Mit dem Geld wird das Problem mit der Anzahlung für ein Haus deutlich kleiner.
Es ist immer gut, sich vorher zu überlegen, wo die eigene ethische Grenze verläuft.
Ein großer Teil dieser schrottigen Angebote ist ganz sicher automatisiert.
Etwa so: „Ich bin ein Fan von [extension name] und finde es wirklich toll, wie praktisch und nützlich sie ist.
Haben Sie schon einmal darüber nachgedacht, Werbeflächen für Leute anzubieten, die ihr Produkt in der Erweiterung bewerben möchten? Ich würde meine Erweiterung gern in [extension name] bewerben und würde diese Möglichkeit gern mit Ihnen besprechen.
Lassen Sie es mich wissen, falls Sie Interesse haben.“
Zur Einordnung: Die JSON Formatter-Erweiterung [0], die einige hier vermutlich nutzen, gehört mir.
Ich habe sie vor 12 Jahren gebaut, als Open Source veröffentlicht und seitdem gepflegt; [1] aktuell hat sie 2 Millionen Nutzer.
Ich schwöre feierlich, dass ich niemals Code hinzufügen werde, der irgendwelche Daten irgendwohin sendet, und sie auch nicht an jemanden übergeben werde, der so etwas tun würde.
Ich habe mehrfach verlockende Barangebote von dubiosen Leuten erhalten, die offenbar die Daten aller stehlen oder Schlimmeres vorhatten.
Manchmal denke ich, ich hätte besser nicht meinen Namen daruntergesetzt. Dann hätte ich das Geld nehmen können, ohne meinem Ruf zu schaden.
Aber da mein Name nun daran hängt, bleibt mir nur, ehrenhaft zu bleiben. Der Vorteil ist immerhin, dass ich jederzeit sagen kann, ich habe sie nie verkauft.
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Ehrlich gesagt war der Aufwand ziemlich gering.
Sie bestand nur aus einer einzigen Zeile, also gab es nichts, was sich hätte ändern können.
Dann hat der Chrome Web Store sie nach mehr als fünf Jahren entfernt, vermutlich weil ich nie ein Update veröffentlicht hatte und deshalb inzwischen verpflichtende Eingabefelder leer waren.
Respekt, dass du sie nicht verkauft hast.
Ich frage mich, ob du nicht darüber nachdenken willst, solche Übernahmeangebote öffentlich zu machen, so wie ich es tue.
Du schaffst offensichtlich Wert, und nach meinem moralischen Verständnis solltest du Anspruch darauf haben, einen Teil dieses Werts zurückzuholen, ohne zwielichtige Dinge zu tun.
Ich bin Gründer von Streak, und wir monetarisieren unsere Erweiterung direkt, wie Grammarly und andere auch.
Ich frage mich, ob du die Nutzer schon einmal direkt um Geld für den investierten Aufwand gebeten hast.
In dieser Branche scheint es von Tag zu Tag schwieriger zu werden, ein starkes ethisches Bewusstsein zu bewahren.
Oder ob das einfach heimlich eingeschleust wird.
Zumindest würde ich gern eine Popup-Benachrichtigung sehen, die als Warnsignal dienen könnte.
Ich bin Maintainer.
Meine Erweiterung lässt sich praktisch kaum monetarisieren, daher würde jedes Angebot, das ich bekäme, ein gewisses Maß an moralischem Opfer erfordern.
Das bisher am wenigsten invasive Angebot, das ich gesehen habe, war, in meiner Erweiterung einen gegenseitigen Link zu einer anderen Erweiterung einzubauen, ähnlich wie DarkReader es auf seiner Website macht.
Auch wenn das keine Nutzerdaten verletzen würde, mache ich es nicht, weil es einer indirekten Empfehlung dieser anderen Erweiterung gleichkäme und ich nicht kontrollieren kann, wie sie mit Nutzerdaten umgehen.
Wenn es größer wird, hilft es, die unausgesprochene, aber verbreitete Vorstellung zu widerlegen, dass „am Ende sowieso alle verkaufen“.
Ich nutze Chrome inzwischen nicht mehr, aber früher mochte ich Hover Zoom+ wirklich sehr, und meine Frau nutzt es immer noch gern.
Es ist eine hervorragende Erweiterung, und nachdem ich diesen Kommentar und das verlinkte GitHub-Issue gelesen habe, bin ich noch beruhigter.
Damals bin ich zu imagus gewechselt und habe mich daran gewöhnt.
Jedenfalls danke, dass du die Monetarisierungsversuche abgelehnt hast.
Ich kenne keine Lösung für dieses Problem, aber ich kenne einige vertrauenswürdige, legale Unternehmen, die bereits echtes Geld mit Nutzern verdienen und trotzdem Nutzerdaten für etwa 20 Pfund pro Jahr verkaufen.
Ich würde das nie tun, weil ein Eingriff in die Privatsphäre meinen Grundüberzeugungen widerspricht, aber es gibt hier einen ungelösten Konflikt.
Einerseits weiß ich, dass die große Mehrheit der Nutzer lieber ihre Privatsphäre verkauft, als auch nur einen Cent zu zahlen.
Sie würden jederzeit eher auf den Button „Meine Daten verkaufen“ klicken als auf „Bezahlen“.
Ich hatte mit genügend vielen Nutzern zu tun, um sagen zu können, dass ich das weiß.
Viele Nutzer machen einen Aufstand, wenn etwas nicht kostenlos ist, verlieren aber keinen Schlaf darüber, persönliche Daten herauszugeben.
Natürlich spreche ich hier im Allgemeinen über die Mehrheit.
Andererseits wünsche ich mir, dass das Internet ein Ort ist, an dem skrupellose Akteure nicht florieren.
In der realen Welt erwartet kaum jemand, etwas umsonst zu bekommen – warum sollte das Internet anders sein?
Warum suchen alle, mich eingeschlossen, im Internet immer nach kostenlosen Angeboten?
Das Schlimmste ist, dass am Ende online offenbar nur Datendiebe und Werbetreibende bereit sind, Geld auszugeben.
Alle anderen geben ihre Seele her.
Von Entwicklern wird erwartet, dass sie kostenlos arbeiten, damit diese ganze Struktur weiterbesteht.
Außerdem ist der Begriff „Daten“ für normale Nutzer meist undurchsichtig.
Genau so etwas sollten Regulierungen wie in der EU und Kalifornien erzwingen.
Wenn man die Wahl so darstellen würde: „Das sind die Daten, die wir über Sie haben: einschließlich der Ergebnisse von gruseligem Tracking a, b, c, d ... Wenn Sie uns erlauben, auf verschiedene Weise in Ihre Privatsphäre einzugreifen, bekommen Sie dieses kleine Schmuckstück gratis. Oder zahlen Sie x Euro“, wie viele Menschen würden sich dann wohl für die Verletzung ihrer Privatsphäre entscheiden?
Ein erheblicher Teil des Internets ist in irgendeiner Form Kommunikation.
Auch in der realen Welt ist viel Kommunikation kostenlos.
Ich frage mich eher, warum alle das Internet als Plattform betrachten, um reich zu werden, indem man unwissenden Einheimischen Tand verkauft.
Manche Dinge wären vielleicht besser als Non-Profit-Angebote aufgehoben.
Für Firefox scheint es so etwas bereits zu geben (https://mzl.la/3Acn4DU).
Für Chrome-Erweiterungen kenne ich keine Auditoren.
Man könnte vertrauenswürdige Organisationen oder Gruppen wie Google oder Mozilla Erweiterungen auditieren und als „frei von Malware“ zertifizieren lassen.
Zusätzlich müssten die Erweiterungen zu 100 % Open Source sein; selbst wenn die vertrauenswürdige Organisation kompromittiert wird oder ihre Arbeit schlecht macht, würde es letztlich auffliegen und die Leute würden die Nutzung einstellen.
Natürlich ist das nicht perfekt.
Adware könnte auch vor Auditoren verborgen werden, und ein kompromittierter Auditor könnte unbemerkt bleiben.
Je mehr komplexen Code eine Erweiterung enthält, desto mehr Kosten und Zeit verursacht das, sodass selbst völlig unproblematische populäre Erweiterungen möglicherweise nicht zertifiziert werden.
Änderungen müssten ebenfalls immer auditiert werden, was Updates verzögert und hemmt.
Ein letztes, leicht zu übersehendes Problem ist, dass Auditoren bei der Freigabe bestimmter Erweiterungen voreingenommen sein könnten – etwa zugunsten derjenigen, die bezahlen.
Wenn Code zu schwer zu lesen ist oder weit hinten in der Review-Warteschlange steht, wird er vielleicht nicht freigegeben; aber die Schwelle für „zu schwer zu lesen“ und die Position in der Warteschlange lassen sich leicht durch Geld beeinflussen.
Trotzdem sind Web-Erweiterungen im Vergleich zu anderen Apps gut auditierbare Software.
Sie sind meist viel kleiner und einfacher, benötigen weniger Nutzer und laufen in einem sehr vertrauenssensiblen Bereich: dem gesamten Web-Browsing, einschließlich Banking und vertraulicher Websites.
Verglichen mit sandboxed Smartphone-Apps oder User-Mode-Programmen auf Computern ist der mögliche Schaden zwar weiterhin vorhanden, aber deutlich geringer.
Wenn man für etwas bezahlt, gibt man ohnehin Identitätsinformationen preis.
Der Wertaustausch ist eindeutig zu einer Seite hin verschoben, aber wenn man für X sowohl seine Identität teilen als auch Geld zahlen muss, hat man Geld verloren und seine Identität geteilt.
Wenn man seine Identität teilt und X kostenlos bekommt, verliert man immerhin kein Geld.
In der Realität steht man meist zwischen den Optionen, zu bezahlen und trotzdem Daten zu verkaufen, oder kostenlos zu nutzen und wirklich sehr viele Daten zu verkaufen.
Die meisten kostenpflichtigen Dienste schreiben in ihre Datenschutzerklärung, AGB und Nutzervereinbarungen genauso hinein, wie sie Daten verkaufen.
Im besten Fall kann man nur hoffen, dass sie beim Verkauf etwas selektiver sind, weil sie beim Cashflow weniger verzweifelt sind.
Aber die Auswirkungen auf Nutzer sind größer.
Jetzt haben sie Kreditkarte, Adresse, echten Namen und Telefonnummer, und all das ist anfällig für Hacks und Leaks.
Weil es außerdem schwieriger ist, solche Informationen zu fälschen als bei einem kostenlosen Konto, sind die gesammelten Daten wertvoller und damit auch die Versuchung größer.
Zudem haben kostenpflichtige Dienste verbraucherfeindliche Abo-Systeme, in denen Dark Patterns allgegenwärtig sind.
Wenn man unzufrieden ist und kündigen will, ist das unnötig umständlich, und selbst kostenlose Testphasen verlangen eine Kreditkarte.
Auch darüber, wohin das Geld tatsächlich fließt, gibt es sehr wenig Transparenz.
Viele Dienste laufen defizitär, Kundengebühren sind nur Fassade; das echte Geld kommt von Investoren.
Für manche Unternehmen ist das Bezahlmodell eher Tarnung, und der eigentliche Exit könnte darin bestehen, nach Jahren des Datensammelns von einem Datenaggregator übernommen zu werden.
Am anderen Ende gibt es Leute, die mit absurd überhöhten Preisen Deppen ködern.
Aus diesen Gründen ist die Option, zu bezahlen, von Misstrauen belastet – nicht nur, weil Verbraucher knauserig und anspruchsverwöhnt wären.
Misstrauen kann jeden Markt schnell zum Stillstand bringen.
Trotzdem gebe ich der Branche nicht allzu sehr die Schuld.
Wie in Kalifornien 1848 ist es schwer, Menschen dafür zu tadeln, dass sie herumliegendes Gold aufsammeln.
Das eigentliche Problem ist, dass es keine Werkzeuge, Infrastruktur und Regulierungssysteme gibt, mit denen Nutzer sehen und kontrollieren können, wie ihre Daten verwendet werden.
Wenn Menschen wirklich lieber ihre Daten verkaufen wollen, statt zu bezahlen, dann sollte man sie das tun lassen.
Aber derzeit wissen die meisten Nutzer nicht, welche Daten genau gesammelt werden und welchen Wert sie haben.
Sie sind nicht in der Lage, rational zu entscheiden, ob es besser ist, eine 5-Dollar-App zu kaufen, als Daten im Wert von 20 Dollar minen zu lassen.
Was mich stört, sind Fälle, in denen Apps Datenmonetarisierung verbergen, zur Pflicht machen oder keine Möglichkeit bieten, den Dienst ohne Zustimmung zu nutzen.
Besonders schlimm sind Dienste, bei denen man nicht einmal die Wahl hat, nicht mitzumachen.
Zum Beispiel hat mein Arbeitgeber gerade den Dienst „The Work Number“ von Equifax eingeführt; ob ich nun ein Konto anlege oder nicht, meine Daten sind dort bereits vorhanden
Schlimmer noch: Wenn ich kein Konto anlege, bleibt die Möglichkeit, dass jemand ohne mein Einverständnis versucht, ein Konto zu erstellen, um noch mehr Informationen zu sammeln
Was Menschen mit ihren eigenen Daten entscheiden, ist ihre Sache; ich empfinde keine moralische Pflicht, ihnen meine Sichtweise aufzuzwingen
Wenn sie wirklich zustimmen und 20 Dollar sparen wollen, oder den Betrag, den diese Daten in der App wert sind, dann ist es aus demselben Grund kaum etwas anderes als Bevormundung, ihnen diese Option zu nehmen, nur weil ich nicht damit einverstanden bin, wie mit ihren Privacy-Informationen umgegangen wird
Der für mich wichtige Unterschied ist, ob ich davon profitiere, aber wenn es in jedem Fall eine Wahlmöglichkeit gibt, ist das für die Art, wie der Nutzer die Situation abwägt, eigentlich nicht relevant
Wenn man eine Website betreibt, bekommt man ständig solche E-Mails:
„Hallo,
ich wollte fragen, ob Sie Gastbeiträge oder das Einfügen von Links in bestehende Artikel akzeptieren. Falls ja, würde ich gern mehr über Ihre Richtlinien und Themen erfahren, die für Sie interessant sind.
Vielen Dank für Ihre Zeit. Ich freue mich auf Ihre Antwort.
Mit freundlichen Grüßen.“
Das ist ganz eindeutig Massen-Spam. Meine Website hat nicht einmal einen Blog.
Auf meiner Website gibt es auch ein paar Downloads für Windows-Software, und gelegentlich bekomme ich auch verdächtige E-Mails mit Angeboten für Installer-Bundles.
Meistens geht es dabei um Residential-Proxy-Dienste, die den Zugriff auf die Internetverbindung der Nutzer verkaufen wollen.
Es wird so viel Kontext eingebaut, dass es wie von einer echten Person wirkt, am Ende viel Zeit verschwendet und ehrlich gesagt ziemlich verletzt.
Wir investieren viel Zeit darin, Materialien zu teilen, und solche vorgetäuschten Kontakte stoßen uns stark ab.
In letzter Zeit kamen massenhaft KI-geschriebene E-Mails nach dem Muster „Shortlist für eine Auszeichnung“, mit tief eingebautem Kontext.
Nach dem Motto: Mit einer einfachen Zahlung wird man als Kandidat für einen Preis berücksichtigt.
Allerdings vergessen sie immer, das Thema anzupassen: Wir betreiben keinen Software-Sicherheitsdienst, sondern befassen uns mit Web Scraping.
KI wird wohl die E-Mail-Kommunikation zwischen Fremden zerstören.
Es wird zunehmend ermüdend.
Die Berufsbezeichnung am Ende ist lustig.
„Betreff: Ich habe eine Sicherheitslücke auf Ihrer Website gefunden.
Hallo Team,
ich bin Harris, Sicherheitsforscher, und habe außerhalb eines Bug-Bounty-Programms eine Sicherheitslücke auf Ihrer Website entdeckt.
Ich kann alle gefundenen Schwachstellen offenlegen und auch die passenden Maßnahmen zur Behebung nennen, damit Ihre Website sicherer wird.
Die Unternehmen, denen ich geholfen habe, waren immer großzügig und haben mich mit einem Betrag belohnt, den sie für die von mir gefundenen Probleme als angemessen ansahen. Wenn Sie meine Hilfe positiv bewerten, würde ich mich über eine Bonuszahlung per PayPal, Bitcoin, Payoneer oder Banküberweisung freuen.
Ich freue mich auf eine positive Antwort.
Vielen Dank,
Harris A
Certified Ethical Hacker“
TOR-Betreiber kennen die Risiken des Teilens von Verbindungen, insbesondere das Risiko, dass Pädophile den Dienst nutzen, um CSAM zu teilen.
Normale Menschen wissen das aber nicht.
Sie wissen es überhaupt nicht, bis sie eines Tages verhaftet werden.
Ich bekomme solche E-Mails auch, betreibe aber eine WordPress-Seite und war überzeugt, dass sie Websites fingerprinten und nur WordPress-Seiten anschreiben.
Deshalb stand auf meiner To-do-Liste, zu prüfen, ob ich den WordPress-Fingerabdruck verbergen kann.
Aber wenn ich das hier lese, ist ziemlich klar, dass das kaum etwas bringen würde.
Rückblickend hätte klar sein müssen, dass solche Spammer einfach massenhaft an alle verschicken.
Das grundlegende Problem hier ist, dass es keine Möglichkeit gibt, Browser-Erweiterungen legal zu monetarisieren.
Erweiterungen sind darauf ausgelegt, simpel zu sein, deshalb ist es schwer, Premium-Funktionen zu verkaufen, und normalerweise haben sie auch keinen eigenen Platz, um Werbung einzubauen.
https://developer.chrome.com/docs/webstore/money/
„In den elf Jahren seit dem Start des Chrome Web Store hat sich das Web stark weiterentwickelt. Damals wollten wir Entwicklern eine Möglichkeit bieten, ihre Einträge im Web Store zu monetarisieren. Seitdem ist das Ökosystem jedoch gewachsen, und Entwickler haben heute viele Optionen für die Zahlungsabwicklung zur Verfügung.“
Die böswilligen Akteure, die solche E-Mails verschicken, sind bereit, für den Wert zu zahlen, den Nutzerdaten ihnen bieten.
Diese beiden Zahlen haben nichts miteinander zu tun, und der Wert der Nutzerdaten ist oft viel höher als der Wert der Funktionen einer Erweiterung.
Dieses Problem lässt sich nicht durch Monetarisierung lösen.
Denn die beiden potenziellen Kunden kaufen nicht dasselbe Produkt.
Die meisten Erweiterungen sind simpel und brauchen eigentlich keine Updates.
Der Update-Mechanismus ist aber still, vollständig automatisch und bietet kein Rollback.
Selbst Steam fällt mir nicht als so aggressiv bei Updates ein.
Ich betreibe eine Software-Lizenz-API und habe nicht wenige Kunden mit Browser-Erweiterungen, die eine ziemlich ordentliche Nutzerbasis haben.
Wie bei anderen Vertriebskanälen gibt es auch hier Monetarisierungsmöglichkeiten.
Dieses Angebot wirkt harmlos und sogar potenziell nützlich, was es interessant macht.
Es soll um DNS-Fehlermonitoring gehen – was übersehe ich da?
„Sie bekommen vermutlich häufig Geschäftsangebote, daher komme ich direkt zur Sache. Mein Vorschlag ist etwas anders, und ich hoffe, vielleicht tatsächlich interessant. Ich denke, Hover Zoom+ ist eine hervorragende Alternative zu seinem größeren Bruder Hover Zoom, der in den letzten Monaten an Attraktivität verloren hat.
Wir führen eine Studie zu DNS-Fehlern durch und sind an einer kleinen Menge anonymisierter Daten interessiert, die wir möglicherweise über Ihre Chrome-Erweiterung erhalten könnten. Unsere Forschung läuft seit Jahren, und Google hatte damit nie ein Problem.
Die Daten, die uns interessieren, sind im Grunde nur DNS-Fehler:
Das ist alles. Sie können unser Skript verwenden oder die Daten selbst erfassen und an einen FTP-Server, eine API usw. senden. Es gibt viele Möglichkeiten. Wir zahlen monatlich; die Höhe hängt vom GEO der Nutzer ab, dürfte aber bei mehreren Tausend Dollar pro Jahr liegen.
Wäre das eine kurze Besprechung wert? Ich freue mich auf Ihre Antwort.
Vor einiger Zeit habe ich Sie wegen der DNS-Fehlerstudie unseres Unternehmens kontaktiert. Hover Zoom+ wäre ein ideales Medium für unsere Forschung. Im Gegenzug könnte es für Sie eine solide neue Einnahmequelle sein.
Unser Verfahren läuft seit Jahren, und wir hatten nie Probleme mit Google. Wir zahlen regelmäßig monatlich. Für Sie würde es sich auf mehrere Zehntausend Dollar pro Jahr belaufen; der Betrag hängt von Ihrer Nutzerbasis und der Datenqualität ab.
Falls Sie Bedenken haben, ein Drittanbieter-Skript einzubinden, gibt es immer noch viele Wege, das umzusetzen.
Lassen Sie mich wissen, ob es zumindest eine kurze Besprechung wert ist.“
Zum Beispiel häufig falsch getippte Domains.
Nicht verboten, aber trotzdem etwas verdächtig.
Sie sehen sich Domains an, die Nutzer häufig falsch eingeben und für die sie eine NX-Antwort erhalten, und registrieren sie dann, um Werbung zu schalten oder Phishing zu betreiben.
Daher steckt selbst im besten Fall ein geschäftliches Interesse dahinter, und im schlimmsten Fall handelt es sich wahrscheinlich um ein für Nutzer schädliches Verhalten.
Es ist nicht schwer, ein Skript zu schreiben, das nach außen so aussieht, als täte es eine Sache, während es heimlich andere Informationen transportiert.
Zum Beispiel eine schlechte Hashfunktion schreiben? Kinderleicht.
Man sollte immer dem ATP-Gradienten folgen.
Wenn selbst eine Erweiterung mit etwa 300.000 Nutzern so viele aggressive Angebote bekommt, frage ich mich, wie heftig die Angebote für Erweiterungen sein müssen, die Millionen erreichen.
Die Anreize im Erweiterungs-Ökosystem wirken völlig aus dem Ruder gelaufen.
Auch das offizielle Postfach von Ruffle ist voll mit solchen Angeboten.
Die Beträge, die für kostenlose und freie Software-Erweiterungen geboten werden, sind so hoch, dass man kaum anders kann, als anzunehmen, dass die Käufer jede Menge Malware einbauen wollen, gerade so weit, dass Google oder Mozilla[0] sie nicht sofort blockieren.
Persönlich finde ich, dass Eigentumsübertragungen von Erweiterungen ohne vorherige Genehmigung und Prüfung der neuen Eigentümerstruktur nicht erlaubt sein sollten.
Neue Einträge haben keine Reviews und kein Vertrauen, daher sollte die Übertragung bestehender Erweiterungen absichtlich schwieriger sein, als einfach eine neue Erweiterung zu erstellen.
Als jemand, der den praktischen Schmerz solcher Richtlinien gelegentlich selbst erlebt[1], sage ich das im Wissen, wie lästig es ist, durch bürokratische Verfahren zu kommen.
Der Untergrundmarkt für den Handel mit Erweiterungen ist unglaublich dubios und geht viel zu leichtfertig mit dem Vertrauen der Nutzer um.
[0] Leider ist unser AMO-Eintrag bereits wegen maschinell generierten Codes markiert. Das liegt daran, dass wir Rust/WASM verwenden. Deshalb wird die Einreichung unserer Erweiterung nur genehmigt, wenn Mozilla unseren Build bytegenau reproduzieren kann.
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Das erinnert mich an einen schmutzigen Plan, den ich mir in der Mittelstufe ausgedacht hatte:
Ich kam bis Schritt 2 und beschloss dann, dort aufzuhören.
Es ist wirklich schwer zu unterscheiden, welches Verhalten beabsichtigt ist und welches nicht.
Ich erinnere mich, dass ich vor Jahren ein motd-Plugin suchte, das beim Betreten eines Servers nur eine Nachricht anzeigt.
Ich fand ein ausreichend simples Plugin, aber es pingte für Update-Prüfungen nach Hause.
Vielleicht wollte der Entwickler eine nützliche Funktion einbauen, aber mein zynischer Teil glaubt, dass er die IP-Adressen der Server bekommen wollte, auf denen das Plugin lief.
Es gab auch einen nicht authentifizierten Debug-Befehl, der den Inhalt beliebiger motd-Dateien im Ordner ausgeben konnte.
Allerdings wurden Strings nicht ordentlich escaped, sodass man mit
../...aus dem Verzeichnis ausbrechen und beliebige Dateien ausgeben konnte.Ich weiß nicht, ob der Autor das tatsächlich ausgenutzt hat oder ob es ein naiver 14-Jähriger war, der sein erstes Plugin schrieb.
Falls er es ausnutzen wollte, weiß ich auch nicht, welche Datei er ausgeben lassen wollte, aber es war definitiv sehr verdächtig.
Mehrere Personen hatten Zugriff auf WorldEdit, Creative Mode, Admin-Befehle usw.
Über alte Anarchie-Server hinaus erlebt die Minecraft-Modding-Community derzeit mehrere Supply-Chain-Angriffe, Deserialisierungs-Schwachstellen und Ähnliches.