4 Punkte von GN⁺ 2023-08-10 | 1 Kommentare | Auf WhatsApp teilen
  • Der Maintainer von Hover Zoom+ hat Angebote zur Monetarisierung und Übernahme der Erweiterung veröffentlicht, die er von 2015 bis 2026 erhalten hat, und erklärt, dass er sie abgelehnt habe, um seine Nutzer nicht zu verkaufen
  • Die Angebote liefen immer wieder darauf hinaus, Browser-Berechtigungen und Nutzerbasis zu Geld zu machen: Verkauf anonymer Nutzerdaten, Monetarisierung von Such-Traffic, Einfügen von Affiliate-Links, Anzeigen von Werbung und Coupons, Installation von SDKs oder Übernahme der Erweiterung
  • In den Angeboten wurde zwar „anonym“, „keine personenbezogenen Daten“, „keine UX-Auswirkung“ und „konform mit Google-Richtlinien“ betont, zugleich wurden aber Verhaltensdaten wie DNS-Fehler, GEO, DAU/MAU, URLs, Referrer, Browsing Behavior, Clickstream und Suchanfragen verlangt
  • Der Maintainer erklärt, Hover Zoom+ habe über mehrere Browser hinweg rund 400.000 Nutzer und laufe auf allen Seiten; dadurch entstehe für böswillige Akteure eine große Angriffsfläche und Erlöschance
  • In der Kommentardiskussion wurden Quellcode-Prüfung, Kontrolle der Berechtigungsliste, der Tab „privacy practices“ im Chrome Web Store, aktuelle Bewertungen, Netzwerk-Requests sowie die Beschränkung von Site Access auf „On Click“ als praktische Wege genannt, um Risiken durch Erweiterungen zu senken

Vom Maintainer öffentlich gemachte Bedenken

  • Der Maintainer von Hover Zoom+ erklärt, er habe über Jahre hinweg viele Angebote erhalten, die Erweiterung zu monetarisieren, und veröffentliche sie „zum Spaß, aber nicht für Profit“
  • Als wichtigsten Grund für die fortgesetzte Wartung nennt er, dass es schwer sei, darauf zu vertrauen, dass eine andere Person solchen Angeboten nicht nachgeben würde
  • Er selbst habe einen ausreichend gut bezahlten Job und könne deshalb seinen „moralischen Kompass“ bewahren und die Angebote ignorieren
  • Da nicht alle Entwickler dieselbe finanzielle Stabilität hätten, hoffe er, dass der Thread den finanziellen Druck zeige, dem Entwickler von Erweiterungen ausgesetzt sind

Wiederkehrende Arten von Monetarisierungsangeboten

  • Viele Angebote verwiesen auf die Nutzerbasis von Hover Zoom+ im Chrome Web Store und stellten „erhebliche Einnahmen“ in Aussicht
  • Wiederholt tauchten folgende Modelle auf
    • Sammlung anonymer Nutzerdaten und Verkauf für Ad Targeting, Marktforschung, Business Intelligence oder Clickstream-Daten
    • Hinzufügen von Bing-, Yahoo- oder Google-Suche beziehungsweise Search-Lander/-Feeds, um an Suchanfragen und Anzeigenklicks mitzuverdienen
    • Einfügen von Store-Logos, Affiliate-Links oder „Sponsored“-Links in organische Suchergebnisse, mit Provision bei Käufen
    • Einbau von Werbeformaten wie Coupons, Cashback, PopUnder, In-Text, New Tab, Search Injection oder In-Image-Monetarisierung
    • Hinzufügen eines SDKs oder weniger Zeilen JavaScript, um Datenerfassung oder Werbeausspielung in die Erweiterung zu integrieren
    • Übernahme der Erweiterung selbst oder Übertragung der Chrome-Extension-Ownership ohne Übertragung des Google-Kontos
  • Einige Angebote betonten mit Formulierungen wie „soft to hard methods“, „invisible monetization methods“ oder „does not interfere with UX“ eine für Nutzer kaum sichtbare Monetarisierung

In den Angeboten genannte Daten und Beträge

  • Eines der Angebote aus dem Jahr 2015 erklärte, man lasse „viel Geld liegen“, wenn man anonymous user data nicht monetarisiere, und verwies auf von NAI und IAB genehmigte Werbenetzwerke
  • Ein Angebot von 2016 zur Untersuchung von DNS-Fehlern verlangte folgende Daten
    • NXD, also Domains, die Nutzer eingegeben haben, die aber nicht existieren
    • Zeitpunkt des Auftretens
    • GEO
    • Eine eindeutige zufällige Nutzer-ID, die angeblich gehasht werden könne und kein Nutzer-Tracking erlaube
  • In Angeboten ab 2020 tauchten wiederholt Angaben wie GEO, täglich und monatlich aktive Nutzer, Interessenskategorien, URL, Referrer, Country, Timestamp, Browsing Behavior, Clickstream und Browser History auf
  • Die genannten Beträge variierten stark
    • Kaufangebot für die Erweiterung 2016: $14,500
    • Angebot zur Integration einer Analytics Platform 2020: $2,000/Monat
    • Angebot zur Such-Monetarisierung 2020: angeblich bis zu $9,000 pro Tag bei 300.000 Nutzern möglich
    • Angebot zur Integration eines Data-Marketplace-SDKs 2021: $30,000/Jahr
    • Datenangebot 2023: bis zu $20K/Monat
    • Angebot für eine Clickstream-Data-Partnership 2024: $30,000~$40,000/Monat
    • Kaufangebot 2024: $30,000
    • Kaufangebot 2025: $0.05~$0.15 pro Nutzer
  • Ende 2024 rechnete ein Angebot zur Abo-Monetarisierung bei einer Nutzerbasis von über 400.000 und angenommener 5-%-Conversion vor, dass $0.99/Monat etwa $19,800/Monat, $4.99/Monat etwa $99,800/Monat und $9.99/Monat etwa $199,800/Monat ergeben würden

Reaktion und Bewertungskriterien des Maintainers

  • Auf die Frage, warum er die Firmennamen nicht offenlege, antwortete er, einige Firmen könnten vermögend sein und legal operieren; er wolle kein Klagerisiko eingehen
  • Pop-up-Werbung werde von Nutzern bemerkt, und sie könnten die verantwortliche Erweiterung leicht deaktivieren; verdeckte Methoden könnten dagegen lange bestehen bleiben
  • Zur Telemetrie sagt der Maintainer, aus Nutzersicht müsse man zwischen Nützlichkeit und Eingriffsintensität von Tracking abwägen; aus Entwicklersicht erreiche man aber die breiteste Nutzerbasis, wenn man gar kein Tracking einbaue, und vermeide zudem Debatten über den Grad der Anonymisierung
  • Auf den Hinweis, der Name Hover Zoom+ werde mit dem früher wegen Malware-Vorwürfen umstrittenen Hover Zoom verwechselt, antwortete er, es sei nicht sein Ziel, alle Nutzer zu gewinnen; über 300.000 Menschen sähen bereits einen Wert darin, und da die Erweiterung kostenlos und nicht gewinnorientiert sei, wolle er keine Zeit in eine Umbenennung oder zusätzliche Nachweise investieren
  • In einem Kommentar von 2023 fasste der Maintainer zwei Gründe zusammen, warum Hover Zoom+ wertvoll sei
    • Rund 400.000 Nutzer über alle Browser hinweg
    • Aktivierung nicht nur auf bestimmten Websites, sondern auf allen Seiten
  • Zusammengenommen entstünden dadurch eine große potenzielle Angriffsfläche gegenüber Endnutzern und entsprechend hohe potenzielle Erlöse für böswillige Akteure

Warnsignale für Nutzer und Entwickler

  • Ein Kommentar wies darauf hin, dass nach einer Übernahme einer Erweiterung in der nächsten Version Adware oder ein Botnet-Script landen könne und aufgrund bestehender Berechtigungen ohne zusätzlichen Berechtigungs-Popup funktionieren könne
  • Ein anderer Kommentar erklärte, einige Datenangebote könnten mit dem Verkauf von Nutzerdaten für AdTech/RTB-Zwecke zusammenhängen, und verlinkte Material von Privacy International zu AdTech
  • Zu Angeboten, die DNS-Fehlerdaten verlangen, deutete ein Kommentar an, dass damit gewöhnliche Tippfehler-Domains oder abgelaufene Domains registriert werden könnten, um Nutzer umzuleiten
  • Ein Kommentar mit Verweis auf The Great Suspender merkte an, dass manche Deals nicht auf die Installation eines SDKs, sondern auf die Übertragung des Repositorys oder der Eigentümerschaft an der Erweiterung abzielten
  • Eines der Angebote von 2026 erwähnte Berechtigungen für you.com, das Lesen von Seiteninhalten, das Erfassen von Keystrokes, die Übertragung an externe Server, Zugriff auf Session-Cookies und Muster zur Erfassung der Browsing History; die Notiz des Maintainers ergänzt jedoch, dass Hover Zoom+ so etwas nicht tue und dies nur zeige, welche Daten diese Firma kaufen wolle

Wie man erkennt, ob eine Erweiterung monetarisiert wurde

  • Der Maintainer sagt, die verlässlichste Methode sei, den Quellcode zu lesen
  • Als weitere Prüfsignale nennt er
    • Im Tab „privacy practices“ des Chrome Web Store prüfen, ob der Entwickler offenlegt, dass keine Daten gesammelt oder verwendet werden
    • Prüfen, ob es einen öffentlichen Quellcode gibt
    • Prüfen, ob die Berechtigungsliste einer Erweiterung verdächtige Berechtigungen verlangt, die nicht zu ihrer Funktion passen
    • In aktuellen Nutzerbewertungen nach wiederkehrenden Beschwerdemustern über das Verhalten suchen
    • Risikoeinschätzungen von Websites wie chrome-stats heranziehen
  • Der Maintainer ergänzt, dass all diese Signale manipulierbar seien und daher eher der Problemerkennung dienten als einem „Unschuldsbeweis“
  • Ein anderer Kommentar schlägt vor, dass wegen Webpack und ähnlichen Tools das Lesen des Quellcodes schwierig sein könne; einfacher sei es möglicherweise, die Netzwerk-Requests der Erweiterung zu prüfen
  • Derselbe Kommentar erklärt, dass man auch Requests von Background- oder Service-Workern prüfen sollte und dass viele Erweiterungen unnötigerweise auf allen Seiten laufen; daher könne man Site Access in Chrome auf „On Click“ beschränken

Reaktionen der Community und weitere Diskussion

  • Mehrere Kommentare unterstützen den Maintainer dafür, dass er seine Nutzer nicht verkauft und die Angebote veröffentlicht hat
  • Ein Nutzer sagte, Nutzer und Entwickler von Erweiterungen müssten stärker für solche Praktiken sensibilisiert werden
  • Der Maintainer antwortete, die Lage rund um bösartige Erweiterungen sei bereits schlimm genug, und mehr Menschen müssten davon erfahren
  • Auf einen Kommentar, dass der Thread auf Hacker News erschienen sei, sagte der Maintainer, er hoffe, andere Entwickler würden sich inspiriert fühlen, „stand“ zu beziehen
  • Ein Entwickler einer Erweiterung mit 170.000 Nutzern berichtete, auch er habe viele ähnliche Angebote erhalten; als armer Student seien sie verlockend gewesen, er habe die Erweiterung aber auf andere, nicht invasive Weise monetarisiert

1 Kommentare

 
GN⁺ 2023-08-10
Meinungen auf Hacker News
  • ChatGPT for Google war Anfang dieses Jahres auf Platz 1 bei HN, aber wenn man sich jetzt das GitHub-Repository ansieht, ist diese Erweiterung bereits verkauft worden.
    Ich hatte selbst ein kostenloses Side-Project als Erweiterung mit rund 25.000 Installationen und bekam ziemlich viele Anfragen, man wolle mir „bei der Monetarisierung helfen“.
    Deshalb fand ich es sinnvoll, all die unangenehmen Monetarisierungswege einmal zusammenzufassen: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • Das unglaublichste Angebot, das ich im Mobile-App-Bereich gesehen habe, war, das Mikrofon der Nutzer einzuschalten, um TV-Werbung in der Umgebung mitzuhören und zu verfolgen, welchen Anzeigen sie offline ausgesetzt waren.
      Die Ad-Tech-Branche ist wirklich insgesamt ein widerliches Feld.
    • Wenn man 11.000 Dollar für eine Erweiterung angeboten bekommt, wäre es wohl ziemlich schwer, abzulehnen.
      Mit dem Geld wird das Problem mit der Anzahlung für ein Haus deutlich kleiner.
      Es ist immer gut, sich vorher zu überlegen, wo die eigene ethische Grenze verläuft.
    • Es überrascht mich überhaupt nicht, dass eine der E-Mails, die ich bekommen habe, bis auf den Wortlaut im verlinkten Artikel und den Namen der Erweiterung vollständig identisch war.
      Ein großer Teil dieser schrottigen Angebote ist ganz sicher automatisiert.
      Etwa so: „Ich bin ein Fan von [extension name] und finde es wirklich toll, wie praktisch und nützlich sie ist.
      Haben Sie schon einmal darüber nachgedacht, Werbeflächen für Leute anzubieten, die ihr Produkt in der Erweiterung bewerben möchten? Ich würde meine Erweiterung gern in [extension name] bewerben und würde diese Möglichkeit gern mit Ihnen besprechen.
      Lassen Sie es mich wissen, falls Sie Interesse haben.“
  • Zur Einordnung: Die JSON Formatter-Erweiterung [0], die einige hier vermutlich nutzen, gehört mir.
    Ich habe sie vor 12 Jahren gebaut, als Open Source veröffentlicht und seitdem gepflegt; [1] aktuell hat sie 2 Millionen Nutzer.
    Ich schwöre feierlich, dass ich niemals Code hinzufügen werde, der irgendwelche Daten irgendwohin sendet, und sie auch nicht an jemanden übergeben werde, der so etwas tun würde.
    Ich habe mehrfach verlockende Barangebote von dubiosen Leuten erhalten, die offenbar die Daten aller stehlen oder Schlimmeres vorhatten.
    Manchmal denke ich, ich hätte besser nicht meinen Namen daruntergesetzt. Dann hätte ich das Geld nehmen können, ohne meinem Ruf zu schaden.
    Aber da mein Name nun daran hängt, bleibt mir nur, ehrenhaft zu bleiben. Der Vorteil ist immerhin, dass ich jederzeit sagen kann, ich habe sie nie verkauft.
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Ehrlich gesagt war der Aufwand ziemlich gering.

    • Früher gab es eine Erweiterung, bei der ich versprochen hatte, sie niemals zu verkaufen und sie nach dem ersten Release auch nie zu aktualisieren.
      Sie bestand nur aus einer einzigen Zeile, also gab es nichts, was sich hätte ändern können.
      Dann hat der Chrome Web Store sie nach mehr als fünf Jahren entfernt, vermutlich weil ich nie ein Update veröffentlicht hatte und deshalb inzwischen verpflichtende Eingabefelder leer waren.
    • Wenn Barangebote linear mit der Nutzerzahl skalieren, muss diese Erweiterung wirklich verführerisch gewesen sein.
      Respekt, dass du sie nicht verkauft hast.
      Ich frage mich, ob du nicht darüber nachdenken willst, solche Übernahmeangebote öffentlich zu machen, so wie ich es tue.
    • Das fühlt sich wirklich seltsam an.
      Du schaffst offensichtlich Wert, und nach meinem moralischen Verständnis solltest du Anspruch darauf haben, einen Teil dieses Werts zurückzuholen, ohne zwielichtige Dinge zu tun.
      Ich bin Gründer von Streak, und wir monetarisieren unsere Erweiterung direkt, wie Grammarly und andere auch.
      Ich frage mich, ob du die Nutzer schon einmal direkt um Geld für den investierten Aufwand gebeten hast.
    • Als jemand, der diese Erweiterung täglich nutzt, bin ich dir für diese starke Haltung wirklich dankbar.
      In dieser Branche scheint es von Tag zu Tag schwieriger zu werden, ein starkes ethisches Bewusstsein zu bewahren.
    • Ich frage mich, ob man gefragt wird, wenn sich die Berechtigungen ändern, nachdem eine Erweiterung, die ich nutze, verkauft wurde.
      Oder ob das einfach heimlich eingeschleust wird.
      Zumindest würde ich gern eine Popup-Benachrichtigung sehen, die als Warnsignal dienen könnte.
  • Ich bin Maintainer.
    Meine Erweiterung lässt sich praktisch kaum monetarisieren, daher würde jedes Angebot, das ich bekäme, ein gewisses Maß an moralischem Opfer erfordern.
    Das bisher am wenigsten invasive Angebot, das ich gesehen habe, war, in meiner Erweiterung einen gegenseitigen Link zu einer anderen Erweiterung einzubauen, ähnlich wie DarkReader es auf seiner Website macht.
    Auch wenn das keine Nutzerdaten verletzen würde, mache ich es nicht, weil es einer indirekten Empfehlung dieser anderen Erweiterung gleichkäme und ich nicht kontrollieren kann, wie sie mit Nutzerdaten umgehen.

    • Das ist wirklich respektabel.
      Wenn es größer wird, hilft es, die unausgesprochene, aber verbreitete Vorstellung zu widerlegen, dass „am Ende sowieso alle verkaufen“.
    • Danke für die Transparenz.
      Ich nutze Chrome inzwischen nicht mehr, aber früher mochte ich Hover Zoom+ wirklich sehr, und meine Frau nutzt es immer noch gern.
      Es ist eine hervorragende Erweiterung, und nachdem ich diesen Kommentar und das verlinkte GitHub-Issue gelesen habe, bin ich noch beruhigter.
    • Ich mochte Hover Zoom früher wirklich sehr, bin mir aber nicht sicher, ob es damals tatsächlich eine Malware-Kontroverse gab oder ob ich es mit einem Plugin mit ähnlich klingendem Namen verwechsle.
      Damals bin ich zu imagus gewechselt und habe mich daran gewöhnt.
      Jedenfalls danke, dass du die Monetarisierungsversuche abgelehnt hast.
  • Ich kenne keine Lösung für dieses Problem, aber ich kenne einige vertrauenswürdige, legale Unternehmen, die bereits echtes Geld mit Nutzern verdienen und trotzdem Nutzerdaten für etwa 20 Pfund pro Jahr verkaufen.
    Ich würde das nie tun, weil ein Eingriff in die Privatsphäre meinen Grundüberzeugungen widerspricht, aber es gibt hier einen ungelösten Konflikt.
    Einerseits weiß ich, dass die große Mehrheit der Nutzer lieber ihre Privatsphäre verkauft, als auch nur einen Cent zu zahlen.
    Sie würden jederzeit eher auf den Button „Meine Daten verkaufen“ klicken als auf „Bezahlen“.
    Ich hatte mit genügend vielen Nutzern zu tun, um sagen zu können, dass ich das weiß.
    Viele Nutzer machen einen Aufstand, wenn etwas nicht kostenlos ist, verlieren aber keinen Schlaf darüber, persönliche Daten herauszugeben.
    Natürlich spreche ich hier im Allgemeinen über die Mehrheit.
    Andererseits wünsche ich mir, dass das Internet ein Ort ist, an dem skrupellose Akteure nicht florieren.
    In der realen Welt erwartet kaum jemand, etwas umsonst zu bekommen – warum sollte das Internet anders sein?
    Warum suchen alle, mich eingeschlossen, im Internet immer nach kostenlosen Angeboten?
    Das Schlimmste ist, dass am Ende online offenbar nur Datendiebe und Werbetreibende bereit sind, Geld auszugeben.
    Alle anderen geben ihre Seele her.
    Von Entwicklern wird erwartet, dass sie kostenlos arbeiten, damit diese ganze Struktur weiterbesteht.

    • Du sagst, Menschen würden jederzeit lieber „Meine Daten verkaufen“ als „Bezahlen“ anklicken, aber so eine klare Wahlmöglichkeit wurde ihnen in der Praxis nie wirklich gegeben, daher kann man das nicht wissen.
      Außerdem ist der Begriff „Daten“ für normale Nutzer meist undurchsichtig.
      Genau so etwas sollten Regulierungen wie in der EU und Kalifornien erzwingen.
      Wenn man die Wahl so darstellen würde: „Das sind die Daten, die wir über Sie haben: einschließlich der Ergebnisse von gruseligem Tracking a, b, c, d ... Wenn Sie uns erlauben, auf verschiedene Weise in Ihre Privatsphäre einzugreifen, bekommen Sie dieses kleine Schmuckstück gratis. Oder zahlen Sie x Euro“, wie viele Menschen würden sich dann wohl für die Verletzung ihrer Privatsphäre entscheiden?
      Ein erheblicher Teil des Internets ist in irgendeiner Form Kommunikation.
      Auch in der realen Welt ist viel Kommunikation kostenlos.
      Ich frage mich eher, warum alle das Internet als Plattform betrachten, um reich zu werden, indem man unwissenden Einheimischen Tand verkauft.
      Manche Dinge wären vielleicht besser als Non-Profit-Angebote aufgehoben.
    • Eine Lösung könnten Open-Source-Erweiterungen sein, die auditiert wurden.
      Für Firefox scheint es so etwas bereits zu geben (https://mzl.la/3Acn4DU).
      Für Chrome-Erweiterungen kenne ich keine Auditoren.
      Man könnte vertrauenswürdige Organisationen oder Gruppen wie Google oder Mozilla Erweiterungen auditieren und als „frei von Malware“ zertifizieren lassen.
      Zusätzlich müssten die Erweiterungen zu 100 % Open Source sein; selbst wenn die vertrauenswürdige Organisation kompromittiert wird oder ihre Arbeit schlecht macht, würde es letztlich auffliegen und die Leute würden die Nutzung einstellen.
      Natürlich ist das nicht perfekt.
      Adware könnte auch vor Auditoren verborgen werden, und ein kompromittierter Auditor könnte unbemerkt bleiben.
      Je mehr komplexen Code eine Erweiterung enthält, desto mehr Kosten und Zeit verursacht das, sodass selbst völlig unproblematische populäre Erweiterungen möglicherweise nicht zertifiziert werden.
      Änderungen müssten ebenfalls immer auditiert werden, was Updates verzögert und hemmt.
      Ein letztes, leicht zu übersehendes Problem ist, dass Auditoren bei der Freigabe bestimmter Erweiterungen voreingenommen sein könnten – etwa zugunsten derjenigen, die bezahlen.
      Wenn Code zu schwer zu lesen ist oder weit hinten in der Review-Warteschlange steht, wird er vielleicht nicht freigegeben; aber die Schwelle für „zu schwer zu lesen“ und die Position in der Warteschlange lassen sich leicht durch Geld beeinflussen.
      Trotzdem sind Web-Erweiterungen im Vergleich zu anderen Apps gut auditierbare Software.
      Sie sind meist viel kleiner und einfacher, benötigen weniger Nutzer und laufen in einem sehr vertrauenssensiblen Bereich: dem gesamten Web-Browsing, einschließlich Banking und vertraulicher Websites.
      Verglichen mit sandboxed Smartphone-Apps oder User-Mode-Programmen auf Computern ist der mögliche Schaden zwar weiterhin vorhanden, aber deutlich geringer.
    • Im Internet gibt es kein leicht nutzbares vollständig anonymes Bargeldäquivalent.
      Wenn man für etwas bezahlt, gibt man ohnehin Identitätsinformationen preis.
      Der Wertaustausch ist eindeutig zu einer Seite hin verschoben, aber wenn man für X sowohl seine Identität teilen als auch Geld zahlen muss, hat man Geld verloren und seine Identität geteilt.
      Wenn man seine Identität teilt und X kostenlos bekommt, verliert man immerhin kein Geld.
    • Die Wahl zwischen „Meine Daten verkaufen“ und „Bezahlen“ kommt in der Praxis fast nie vor.
      In der Realität steht man meist zwischen den Optionen, zu bezahlen und trotzdem Daten zu verkaufen, oder kostenlos zu nutzen und wirklich sehr viele Daten zu verkaufen.
      Die meisten kostenpflichtigen Dienste schreiben in ihre Datenschutzerklärung, AGB und Nutzervereinbarungen genauso hinein, wie sie Daten verkaufen.
      Im besten Fall kann man nur hoffen, dass sie beim Verkauf etwas selektiver sind, weil sie beim Cashflow weniger verzweifelt sind.
      Aber die Auswirkungen auf Nutzer sind größer.
      Jetzt haben sie Kreditkarte, Adresse, echten Namen und Telefonnummer, und all das ist anfällig für Hacks und Leaks.
      Weil es außerdem schwieriger ist, solche Informationen zu fälschen als bei einem kostenlosen Konto, sind die gesammelten Daten wertvoller und damit auch die Versuchung größer.
      Zudem haben kostenpflichtige Dienste verbraucherfeindliche Abo-Systeme, in denen Dark Patterns allgegenwärtig sind.
      Wenn man unzufrieden ist und kündigen will, ist das unnötig umständlich, und selbst kostenlose Testphasen verlangen eine Kreditkarte.
      Auch darüber, wohin das Geld tatsächlich fließt, gibt es sehr wenig Transparenz.
      Viele Dienste laufen defizitär, Kundengebühren sind nur Fassade; das echte Geld kommt von Investoren.
      Für manche Unternehmen ist das Bezahlmodell eher Tarnung, und der eigentliche Exit könnte darin bestehen, nach Jahren des Datensammelns von einem Datenaggregator übernommen zu werden.
      Am anderen Ende gibt es Leute, die mit absurd überhöhten Preisen Deppen ködern.
      Aus diesen Gründen ist die Option, zu bezahlen, von Misstrauen belastet – nicht nur, weil Verbraucher knauserig und anspruchsverwöhnt wären.
      Misstrauen kann jeden Markt schnell zum Stillstand bringen.
      Trotzdem gebe ich der Branche nicht allzu sehr die Schuld.
      Wie in Kalifornien 1848 ist es schwer, Menschen dafür zu tadeln, dass sie herumliegendes Gold aufsammeln.
      Das eigentliche Problem ist, dass es keine Werkzeuge, Infrastruktur und Regulierungssysteme gibt, mit denen Nutzer sehen und kontrollieren können, wie ihre Daten verwendet werden.
      Wenn Menschen wirklich lieber ihre Daten verkaufen wollen, statt zu bezahlen, dann sollte man sie das tun lassen.
      Aber derzeit wissen die meisten Nutzer nicht, welche Daten genau gesammelt werden und welchen Wert sie haben.
      Sie sind nicht in der Lage, rational zu entscheiden, ob es besser ist, eine 5-Dollar-App zu kaufen, als Daten im Wert von 20 Dollar minen zu lassen.
    • Gegen eine ausreichend informierte Entscheidung an sich hätte ich kein großes Problem.
      Was mich stört, sind Fälle, in denen Apps Datenmonetarisierung verbergen, zur Pflicht machen oder keine Möglichkeit bieten, den Dienst ohne Zustimmung zu nutzen.
      Besonders schlimm sind Dienste, bei denen man nicht einmal die Wahl hat, nicht mitzumachen.

Zum Beispiel hat mein Arbeitgeber gerade den Dienst „The Work Number“ von Equifax eingeführt; ob ich nun ein Konto anlege oder nicht, meine Daten sind dort bereits vorhanden
Schlimmer noch: Wenn ich kein Konto anlege, bleibt die Möglichkeit, dass jemand ohne mein Einverständnis versucht, ein Konto zu erstellen, um noch mehr Informationen zu sammeln
Was Menschen mit ihren eigenen Daten entscheiden, ist ihre Sache; ich empfinde keine moralische Pflicht, ihnen meine Sichtweise aufzuzwingen
Wenn sie wirklich zustimmen und 20 Dollar sparen wollen, oder den Betrag, den diese Daten in der App wert sind, dann ist es aus demselben Grund kaum etwas anderes als Bevormundung, ihnen diese Option zu nehmen, nur weil ich nicht damit einverstanden bin, wie mit ihren Privacy-Informationen umgegangen wird
Der für mich wichtige Unterschied ist, ob ich davon profitiere, aber wenn es in jedem Fall eine Wahlmöglichkeit gibt, ist das für die Art, wie der Nutzer die Situation abwägt, eigentlich nicht relevant

  • Wenn man eine Website betreibt, bekommt man ständig solche E-Mails:
    „Hallo,
    ich wollte fragen, ob Sie Gastbeiträge oder das Einfügen von Links in bestehende Artikel akzeptieren. Falls ja, würde ich gern mehr über Ihre Richtlinien und Themen erfahren, die für Sie interessant sind.
    Vielen Dank für Ihre Zeit. Ich freue mich auf Ihre Antwort.
    Mit freundlichen Grüßen.“
    Das ist ganz eindeutig Massen-Spam. Meine Website hat nicht einmal einen Blog.
    Auf meiner Website gibt es auch ein paar Downloads für Windows-Software, und gelegentlich bekomme ich auch verdächtige E-Mails mit Angeboten für Installer-Bundles.
    Meistens geht es dabei um Residential-Proxy-Dienste, die den Zugriff auf die Internetverbindung der Nutzer verkaufen wollen.

    • Wir betreiben einen Bildungsblog für ein SaaS-Produkt, und obwohl es echte E-Mails von Lesern gibt, kommt auch viel Spam rein; manches davon ist erschreckend gut gemacht.
      Es wird so viel Kontext eingebaut, dass es wie von einer echten Person wirkt, am Ende viel Zeit verschwendet und ehrlich gesagt ziemlich verletzt.
      Wir investieren viel Zeit darin, Materialien zu teilen, und solche vorgetäuschten Kontakte stoßen uns stark ab.
      In letzter Zeit kamen massenhaft KI-geschriebene E-Mails nach dem Muster „Shortlist für eine Auszeichnung“, mit tief eingebautem Kontext.
      Nach dem Motto: Mit einer einfachen Zahlung wird man als Kandidat für einen Preis berücksichtigt.
      Allerdings vergessen sie immer, das Thema anzupassen: Wir betreiben keinen Software-Sicherheitsdienst, sondern befassen uns mit Web Scraping.
      KI wird wohl die E-Mail-Kommunikation zwischen Fremden zerstören.
      Es wird zunehmend ermüdend.
    • Das ist meine Lieblingsart von E-Mail, die ich ungefähr einmal im Monat in verschiedenen Formen bekomme.
      Die Berufsbezeichnung am Ende ist lustig.
      „Betreff: Ich habe eine Sicherheitslücke auf Ihrer Website gefunden.
      Hallo Team,
      ich bin Harris, Sicherheitsforscher, und habe außerhalb eines Bug-Bounty-Programms eine Sicherheitslücke auf Ihrer Website entdeckt.
      Ich kann alle gefundenen Schwachstellen offenlegen und auch die passenden Maßnahmen zur Behebung nennen, damit Ihre Website sicherer wird.
      Die Unternehmen, denen ich geholfen habe, waren immer großzügig und haben mich mit einem Betrag belohnt, den sie für die von mir gefundenen Probleme als angemessen ansahen. Wenn Sie meine Hilfe positiv bewerten, würde ich mich über eine Bonuszahlung per PayPal, Bitcoin, Payoneer oder Banküberweisung freuen.
      Ich freue mich auf eine positive Antwort.
      Vielen Dank,
      Harris A
      Certified Ethical Hacker“
    • Ich frage mich, was solche Leute sich dabei denken.
      TOR-Betreiber kennen die Risiken des Teilens von Verbindungen, insbesondere das Risiko, dass Pädophile den Dienst nutzen, um CSAM zu teilen.
      Normale Menschen wissen das aber nicht.
      Sie wissen es überhaupt nicht, bis sie eines Tages verhaftet werden.
    • Ich würde gern ein funktionierendes Kontakt-Tag auf meiner Website lassen, aber dann scheint eine enorme Flut solcher Spam-Nachrichten zu kommen, oder Angebote von zufälligen Webentwickler-Gruppen, die meine einfache, schlichte Website „verbessern“ wollen.
    • Dadurch ist ein Punkt von meiner To-do-Liste verschwunden.
      Ich bekomme solche E-Mails auch, betreibe aber eine WordPress-Seite und war überzeugt, dass sie Websites fingerprinten und nur WordPress-Seiten anschreiben.
      Deshalb stand auf meiner To-do-Liste, zu prüfen, ob ich den WordPress-Fingerabdruck verbergen kann.
      Aber wenn ich das hier lese, ist ziemlich klar, dass das kaum etwas bringen würde.
      Rückblickend hätte klar sein müssen, dass solche Spammer einfach massenhaft an alle verschicken.
  • Das grundlegende Problem hier ist, dass es keine Möglichkeit gibt, Browser-Erweiterungen legal zu monetarisieren.
    Erweiterungen sind darauf ausgelegt, simpel zu sein, deshalb ist es schwer, Premium-Funktionen zu verkaufen, und normalerweise haben sie auch keinen eigenen Platz, um Werbung einzubauen.

    • Früher gab es eine Möglichkeit.
      https://developer.chrome.com/docs/webstore/money/
      „In den elf Jahren seit dem Start des Chrome Web Store hat sich das Web stark weiterentwickelt. Damals wollten wir Entwicklern eine Möglichkeit bieten, ihre Einträge im Web Store zu monetarisieren. Seitdem ist das Ökosystem jedoch gewachsen, und Entwickler haben heute viele Optionen für die Zahlungsabwicklung zur Verfügung.“
    • Nutzer von Erweiterungen wären theoretisch vielleicht bereit, für den Wert zu zahlen, den eine Erweiterung bietet.
      Die böswilligen Akteure, die solche E-Mails verschicken, sind bereit, für den Wert zu zahlen, den Nutzerdaten ihnen bieten.
      Diese beiden Zahlen haben nichts miteinander zu tun, und der Wert der Nutzerdaten ist oft viel höher als der Wert der Funktionen einer Erweiterung.
      Dieses Problem lässt sich nicht durch Monetarisierung lösen.
      Denn die beiden potenziellen Kunden kaufen nicht dasselbe Produkt.
    • Ich frage mich, ob man wirklich glaubt, dass Entwickler nicht von Datendieben kontaktiert würden, wenn es eine Möglichkeit gäbe, Erweiterungen zu monetarisieren.
    • Wenn Nutzer Updates für Erweiterungen deaktivieren könnten oder Updates ausdrücklich zustimmen müssten, würde das solche Angriffe zumindest erschweren.
      Die meisten Erweiterungen sind simpel und brauchen eigentlich keine Updates.
      Der Update-Mechanismus ist aber still, vollständig automatisch und bietet kein Rollback.
      Selbst Steam fällt mir nicht als so aggressiv bei Updates ein.
    • Das glaube ich nicht unbedingt.
      Ich betreibe eine Software-Lizenz-API und habe nicht wenige Kunden mit Browser-Erweiterungen, die eine ziemlich ordentliche Nutzerbasis haben.
      Wie bei anderen Vertriebskanälen gibt es auch hier Monetarisierungsmöglichkeiten.
  • Dieses Angebot wirkt harmlos und sogar potenziell nützlich, was es interessant macht.
    Es soll um DNS-Fehlermonitoring gehen – was übersehe ich da?
    „Sie bekommen vermutlich häufig Geschäftsangebote, daher komme ich direkt zur Sache. Mein Vorschlag ist etwas anders, und ich hoffe, vielleicht tatsächlich interessant. Ich denke, Hover Zoom+ ist eine hervorragende Alternative zu seinem größeren Bruder Hover Zoom, der in den letzten Monaten an Attraktivität verloren hat.
    Wir führen eine Studie zu DNS-Fehlern durch und sind an einer kleinen Menge anonymisierter Daten interessiert, die wir möglicherweise über Ihre Chrome-Erweiterung erhalten könnten. Unsere Forschung läuft seit Jahren, und Google hatte damit nie ein Problem.

    • Mit den strengen Richtlinien von Google kompatibel
    • Keine persönlichen Nutzerdaten
    • Keine Werbung, keine Malware
      Die Daten, die uns interessieren, sind im Grunde nur DNS-Fehler:
    • NXD – nicht existierende Domain – eine Domain, die der Nutzer eingegeben hat und die zu einem DNS-Fehler geführt hat
    • Timestamp – Zeitpunkt des Auftretens
    • GEO – Ort des Auftretens (USA, UK, RU usw.)
    • Zufällig generierte eindeutige Nutzer-ID (hashbar, nicht auf den Nutzer zurückführbar). Bitte nicht mit der IP-Adresse des Nutzers verwechseln.
      Das ist alles. Sie können unser Skript verwenden oder die Daten selbst erfassen und an einen FTP-Server, eine API usw. senden. Es gibt viele Möglichkeiten. Wir zahlen monatlich; die Höhe hängt vom GEO der Nutzer ab, dürfte aber bei mehreren Tausend Dollar pro Jahr liegen.
      Wäre das eine kurze Besprechung wert? Ich freue mich auf Ihre Antwort.
      Vor einiger Zeit habe ich Sie wegen der DNS-Fehlerstudie unseres Unternehmens kontaktiert. Hover Zoom+ wäre ein ideales Medium für unsere Forschung. Im Gegenzug könnte es für Sie eine solide neue Einnahmequelle sein.
      Unser Verfahren läuft seit Jahren, und wir hatten nie Probleme mit Google. Wir zahlen regelmäßig monatlich. Für Sie würde es sich auf mehrere Zehntausend Dollar pro Jahr belaufen; der Betrag hängt von Ihrer Nutzerbasis und der Datenqualität ab.
      Falls Sie Bedenken haben, ein Drittanbieter-Skript einzubinden, gibt es immer noch viele Wege, das umzusetzen.
      Lassen Sie mich wissen, ob es zumindest eine kurze Besprechung wert ist.“
    • Meine Vermutung: Sie wollen Domainnamen kaufen, für die Anfragen eingehen, die aber noch registrierbar sind.
      Zum Beispiel häufig falsch getippte Domains.
      Nicht verboten, aber trotzdem etwas verdächtig.
    • Das ist Forschung zu Typosquatting.
      Sie sehen sich Domains an, die Nutzer häufig falsch eingeben und für die sie eine NX-Antwort erhalten, und registrieren sie dann, um Werbung zu schalten oder Phishing zu betreiben.
    • Sehr wahrscheinlich wollen sie herausfinden, welche Domains Leute typischerweise vertippen, sie aufkaufen und dann Werbung darüber laufen lassen.
    • Ich würde darauf wetten, dass sie herausfinden wollen, welche Domains Leute falsch eingeben oder für welche sie sich interessieren, um effizienter betrügen zu können.
    • Obwohl Geld fließt, legen sie keine eindeutig wohlwollende Absicht offen.
      Daher steckt selbst im besten Fall ein geschäftliches Interesse dahinter, und im schlimmsten Fall handelt es sich wahrscheinlich um ein für Nutzer schädliches Verhalten.
      Es ist nicht schwer, ein Skript zu schreiben, das nach außen so aussieht, als täte es eine Sache, während es heimlich andere Informationen transportiert.
      Zum Beispiel eine schlechte Hashfunktion schreiben? Kinderleicht.
      Man sollte immer dem ATP-Gradienten folgen.
  • Wenn selbst eine Erweiterung mit etwa 300.000 Nutzern so viele aggressive Angebote bekommt, frage ich mich, wie heftig die Angebote für Erweiterungen sein müssen, die Millionen erreichen.
    Die Anreize im Erweiterungs-Ökosystem wirken völlig aus dem Ruder gelaufen.

  • Auch das offizielle Postfach von Ruffle ist voll mit solchen Angeboten.
    Die Beträge, die für kostenlose und freie Software-Erweiterungen geboten werden, sind so hoch, dass man kaum anders kann, als anzunehmen, dass die Käufer jede Menge Malware einbauen wollen, gerade so weit, dass Google oder Mozilla[0] sie nicht sofort blockieren.
    Persönlich finde ich, dass Eigentumsübertragungen von Erweiterungen ohne vorherige Genehmigung und Prüfung der neuen Eigentümerstruktur nicht erlaubt sein sollten.
    Neue Einträge haben keine Reviews und kein Vertrauen, daher sollte die Übertragung bestehender Erweiterungen absichtlich schwieriger sein, als einfach eine neue Erweiterung zu erstellen.
    Als jemand, der den praktischen Schmerz solcher Richtlinien gelegentlich selbst erlebt[1], sage ich das im Wissen, wie lästig es ist, durch bürokratische Verfahren zu kommen.
    Der Untergrundmarkt für den Handel mit Erweiterungen ist unglaublich dubios und geht viel zu leichtfertig mit dem Vertrauen der Nutzer um.
    [0] Leider ist unser AMO-Eintrag bereits wegen maschinell generierten Codes markiert. Das liegt daran, dass wir Rust/WASM verwenden. Deshalb wird die Einreichung unserer Erweiterung nur genehmigt, wenn Mozilla unseren Build bytegenau reproduzieren kann.
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Das erinnert mich an einen schmutzigen Plan, den ich mir in der Mittelstufe ausgedacht hatte:

    1. Ein tatsächlich nützliches Minecraft-Bukkit-Plugin erstellen
    2. Warten, bis es viele Installationen hat
    3. Eine gut versteckte Backdoor hinzufügen, die mich auf einem Server meiner Wahl zum „op“, also zum Administrator, macht
    4. Die fiesen Admins öffentlicher Server plötzlich bannen und damit überraschen
      Ich kam bis Schritt 2 und beschloss dann, dort aufzuhören.
    • Minecraft-Bukkit-Plugins sind im Grunde der Wilde Westen.
      Es ist wirklich schwer zu unterscheiden, welches Verhalten beabsichtigt ist und welches nicht.
      Ich erinnere mich, dass ich vor Jahren ein motd-Plugin suchte, das beim Betreten eines Servers nur eine Nachricht anzeigt.
      Ich fand ein ausreichend simples Plugin, aber es pingte für Update-Prüfungen nach Hause.
      Vielleicht wollte der Entwickler eine nützliche Funktion einbauen, aber mein zynischer Teil glaubt, dass er die IP-Adressen der Server bekommen wollte, auf denen das Plugin lief.
      Es gab auch einen nicht authentifizierten Debug-Befehl, der den Inhalt beliebiger motd-Dateien im Ordner ausgeben konnte.
      Allerdings wurden Strings nicht ordentlich escaped, sodass man mit ../... aus dem Verzeichnis ausbrechen und beliebige Dateien ausgeben konnte.
      Ich weiß nicht, ob der Autor das tatsächlich ausgenutzt hat oder ob es ein naiver 14-Jähriger war, der sein erstes Plugin schrieb.
      Falls er es ausnutzen wollte, weiß ich auch nicht, welche Datei er ausgeben lassen wollte, aber es war definitiv sehr verdächtig.
    • 2b2t wurde auf diese Weise mehrfach mit Backdoors kompromittiert.
      Mehrere Personen hatten Zugriff auf WorldEdit, Creative Mode, Admin-Befehle usw.
      Über alte Anarchie-Server hinaus erlebt die Minecraft-Modding-Community derzeit mehrere Supply-Chain-Angriffe, Deserialisierungs-Schwachstellen und Ähnliches.
    • Gezielte Backdoors für Minecraft-Server kommen gelegentlich tatsächlich vor.