Die Chrome-Erweiterung JSON Formatter wechselt zu Closed Source und enthält Werbecode

 (github.com/callumlocke)
2 Punkte von GN⁺ 17 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Erweiterung, die in Chrome JSON-Daten strukturiert visualisierte, wird nicht länger als Open Source gepflegt
  • Das Projekt wechselt zu einem geschlossenen kommerziellen Modell, und eine neue Version wird als API-Erkundungstool mit Premium-Funktionen entwickelt
  • Für bestehende Nutzer wurde JSON Formatter Classic als letzte Open-Source-Version veröffentlicht und wird nur noch als lokaler Formatter bereitgestellt
  • Die Classic-Version erhält keine weiteren Updates und kann über den Chrome Web Store oder aus dem Quellcode installiert werden
  • Durch diesen Wechsel werden Bedenken wegen eingebettetem Werbecode und sinkender Vertrauenswürdigkeit laut

Bekanntgabe zum Projektende und zur Umstellung

  • JSON Formatter beendet die Open-Source-Entwicklung und wechselt zu einem geschlossenen kommerziellen Modell
    • Die neue Version wird als API-Erkundungstool mit Premium-Funktionen entwickelt
  • Für bisherige Open-Source-Nutzer wurde die letzte Open-Source-Version als JSON Formatter Classic veröffentlicht
    • Sie kann im Chrome Web Store installiert werden und bleibt eine lokale JSON-Formatting-Erweiterung
    • Es werden keine weiteren Updates mehr bereitgestellt

Überblick über JSON Formatter

  • Eine Erweiterung für den Chrome-Browser, die JSON-API-Antworten strukturiert visualisiert
  • Bietet schnelle Verarbeitung auch auf langen JSON-Seiten und unterstützt Dark Mode sowie Syntax-Highlighting
  • Enthält Funktionen zum Ein- und Ausklappen der Baumstruktur, Einrückungshilfen und klickbare URLs
  • Auf Nicht-JSON-Seiten beträgt der Leistungseinfluss weniger als 1 Millisekunde
  • Bietet eine Schaltfläche zum Umschalten zwischen Raw / Parsed JSON; auf geparstes JSON kann in der Konsole über die globale Variable json zugegriffen werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 17 일 전
Hacker-News-Kommentare

  • Heute habe ich im Chrome Inspector ein verdächtiges Element namens give-freely-root-bcjindcccaagfpapjjmafapmmgkkhgoa entdeckt.
    Bei näherem Hinsehen stellte sich heraus, dass die beliebte Open-Source-JSON Formatter-Erweiterung vor etwa einem Monat auf Closed Source umgestellt wurde und begonnen hat, auf Bezahlseiten Werbecode und Standort-Tracking einzuschleusen.
    Inzwischen fühlt sich der Marktplatz für Browser-Erweiterungen selbst wie ein gescheitertes Experiment an. Wahrscheinlich ist es besser, einfach selbst einen JSON-Formatter zu bauen und zu benutzen.

    • Ironischerweise erlaubt die Google-Richtlinie das Einfügen von Werbung, verbietet aber deren Entfernung.
    • Die Sicherheitsfilter von App Stores haben weiterhin einen gewissen Wert. Sie sind nicht perfekt, aber immer noch besser als eine Umgebung ganz ohne Kontrolle.
    • Bestehende Nutzer zu täuschen und Werbung einzuschleusen, ist aus meiner Sicht wirklich unethisch. Auf eine proprietäre kommerzielle Version umzustellen, ist in Ordnung, aber ohne vorherige Ankündigung Werbung einzubauen, geht zu weit.
    • Solches Verhalten sollte öffentlich kritisiert und zur Verantwortung gezogen werden. Natürlich halb im Scherz gesagt, aber ich finde, dass solche „Sellouts“ auch soziale Sanktionen erfahren sollten.
    • Ich frage mich, wie dieses verdächtige Element überhaupt entdeckt wurde. Ich würde gern wissen, ob du dir normalerweise oft das DOM ansiehst.

  • Interessant ist, dass der Autor dieses Vorfalls, Callum Locke, eine reale Person ist.
    Früher war so ein „Entwickler unter Klarnamen“ ein Vertrauenssignal, heute offenbar nicht mehr unbedingt.

    • Wenn eine Erweiterung mehrere Millionen Nutzer hat, ist die Versuchung eines Verkaufs enorm. Ich betreibe selbst eine Erweiterung mit rund 300.000 Nutzern, und allein die Angebote, die ich über die Jahre bekommen habe, beliefen sich auf ziemlich viel Geld.
      Eine dazu passende Diskussion gibt es im HoverZoom-GitHub-Thread.
    • Wer eine populäre Erweiterung besitzt, weiß gut, wie schwer es ist, dieser Versuchung zu widerstehen.
    • Maintainer von Browser-Erweiterungen bekommen oft dubiose Angebotsmails. Auch dieser Fall wirkt wie ein Beispiel dafür, dass jemand auf so ein Angebot eingegangen ist.
    • So oder so hat Callum Locke durch diese Sache seinen Ruf vollständig verloren.

  • In einem HN-Kommentar, den der Autor vor zwei Jahren selbst hinterlassen hat,
    schwor er, dass er der Ersteller von JSON Formatter sei und niemals Nutzerdaten übertragen oder verkaufen werde.
    Er schrieb auch, dass er mehrfach Übernahmeangebote in beträchtlicher Höhe erhalten, sie aber zur Wahrung seiner Ehre abgelehnt habe.

    • Das erinnert an den Spruch: „Entweder stirbt man als Held, oder man lebt lange genug, um zum Bösewicht zu werden.“
    • Heutzutage sind die Kosten, Werkzeuge selbst zu bauen, fast null, deshalb sehe ich keinen großen Grund mehr, anderen zu vertrauen.
    • Am Ende waren solche Versprechen vielleicht auch nur eine Verkaufsstrategie. Open Source braucht eine tragfähige nachhaltige Finanzierungsstruktur.
    • Wenn er seine Prinzipien bis zum Schluss bewahrt hätte, wäre das immerhin lobenswert gewesen.

  • Laut einer Antwort auf eine Chrome-Web-Store-Bewertung, die der Autor hinterlassen hat,
    sei „Give Freely“ keine Spyware, sondern ein Affiliate-Link-System für Spenden.
    Wenn Nutzer bei teilnehmenden Shops zur Kasse gehen und darauf klicken, werde ein Teil der Einnahmen an Organisationen wie Code.org gespendet.
    Es würden keine personenbezogenen Daten oder Browser-Verlaufsdaten gesammelt, und wer das nicht wolle, könne es in den Einstellungen vollständig deaktivieren.
    Außerdem werde auch eine JSON Formatter Classic-Version ohne den „Give Freely“-Code angeboten.

    • Unabhängig von der Absicht war die Umsetzung ungeschickt und der Fall zeigt die Sicherheitslücken im Verteilungsmodell für Browser-Erweiterungen.

  • Ich denke, das Kernproblem liegt in der Ideologie automatischer Updates.
    Updates beheben Sicherheitslücken, bringen aber gleichzeitig das Risiko unerwünschter Änderungen oder von Supply-Chain-Angriffen mit sich.
    Gerade bei Erweiterungen einzelner Entwickler sollte man automatische Updates deaktivieren. Chrome erlaubt das allerdings nicht.
    Wegen seiner werbezentrierten Philosophie erkennt Google solche Adware-Umstellungen offenbar nicht als Problem.
    Firefox ist etwas besser, aber es ist schade, dass sich selbst gebaute Erweiterungen nicht dauerhaft installieren lassen.

    • In Firefox ist es trotzdem nicht völlig unmöglich. Man kann sie in about:debugging temporär laden oder xpinstall.signatures.required deaktivieren.
    • Persönlich finde ich, dass für alle lokal ausgeführten Programme automatische Updates deaktiviert sein sollten. Sonst ist das nur eine gesellschaftlich akzeptierte RCE-Hintertür.
    • Bei Erweiterungen mit festem Funktionsumfang wie JSON Formatter ist es am besten, Updates direkt nach der Installation zu deaktivieren.
      Eine Ausnahme könnten Erweiterungen wie uBlock sein, die Filterlisten regelmäßig aktualisieren müssen.

  • Ich halte die Abweichung zwischen den Binärdateien im Chrome Web Store und dem öffentlichen Quellcode für das größte Problem.
    Der Store vertraut einfach dem Paket, das Entwickler hochladen, und prüft nicht, ob es tatsächlich mit dem veröffentlichten Code übereinstimmt.
    Ich habe selbst einige Erweiterungen reproduzierbar gebaut, und die meisten stimmten nicht überein.
    Firefox AMO führt nach Einreichung des Quellcodes einen Vergleich (Diff) mit einem sauberen Build durch, Chrome aber nicht.
    Ohne reproduzierbare Builds und die Verknüpfung mit signierten Commits gibt es keine Möglichkeit, das Einschleusen von Schadcode im Voraus zu erkennen.

  • Während Google weiter Manifest V3 durchdrückt, bleibt dieses Problem ungelöst.
    Stattdessen vergibt es sogar „Featured“-Abzeichen an schädliche Erweiterungen wie Blaze VPN, Safum VPN, Snap VPN.
    Diese sind Klone der PDF Toolbox-Gruppe, die schon früher schädliche Erweiterungen gebaut hat, und funktionieren in der Praxis nicht einmal richtig.
    Das ist ein weiteres Beispiel dafür, dass das Prüfsystem des Chrome Web Store ein Chaos ist.

  • Dasselbe ist auch bei der Erweiterung ModHeader passiert.
    ModHeader-Link
    Sie begann, in Google-Suchergebnisse Werbung einzuschleusen, und obwohl sie gemeldet wurde, ist sie immer noch im Store.

  • Ich habe das Problem vor einer Woche bemerkt und daraufhin selbst einen neuen JSON-Formatter gebaut, der die Funktionen vereint, die ich mochte.
    GitHub - JSON Alexander

    • Der Name wurde als wirklich großartig gelobt.

  • Dieser Vorfall war ein guter Anlass, die installierten Erweiterungen auszumisten.
    Ich werde nur das absolut Nötige behalten und den Rest löschen.