Những ghi chép dưới đây được đưa ra dựa trên mã nguồn của addon Google+Facebook trên Mozilla Firefox. Tuy nhiên, chúng tôi nghĩ rằng extension của Google Chrome cũng gặp phải những vấn đề tương tự. Chúng tôi đã chia các vấn đề này ra 4 nhóm (để tiện theo dõi)
1. BẢO MẬT:
- Addon này hoạt động phụ thuộc vào một file JavaScript liên kết ngoài (nghĩa là nó cần tải về một tập tin Javascript trước khi có thể hoạt động. Điều này xảy ra mỗi khi khởi động Firefox). Mozilla không cho phép cách thức hoạt động kiểu này vì có thể là nguyên nhân để tấn công MIMT hoặc bảo mật máy chủ. Đó là lý do tại sao addon Conduit Toolbar bị cấm tại Mozilla Addons.
- Có nhiều điều chỉnh về phân quyền để có thể thực thi file Javascript ở đặc quyền cao hơn.
2. MALWARE:
- API (Giao diện lập trình ứng dụng) của addon này tham chiếu đến hàng loạt các dịch vụ premium. Điều này có nghĩa là nếu như tác giả addon không còn đủ tiền để chi trả cho chi phí dịch vụ, CrossRider có thể bắt buộc bạn cài vào các mã “rác” khác, và bạn không thể tránh được điều đó.
- Bạn không thể biết được khi nào file Javascript thay đổi. Nó được tải về máy và thực thi mỗi khi chạy Firefox với phân quyền khá rộng (nguy hiểm). Tại bất kì thời điểm nào, tác giả cũng có thể đổi mã và bắt đầu thu nhập dữ liệu của bạn.
- Nó còn cài đặt plugin OpenSearch và chuyển hướng trang kết quả tìm kiếm của Firefox (mặc định là Google) khi bạn gõ vào ô tìm kiếm. (Bình thường, Firefox sẽ mở trang kết quả Google, còn bây giờ sẽ là trang kết quả của CrossRider). Có vẻ như tác giả sẽ thu được một khoản lợi nhuận từ việc nay. Hơn nữa, khi bạn uninstall addon, thiết lập tìm kiếm này không được phục hồi như cũ. Hơn nữa, họ cố gắng đánh lừa bạn rằng bạn đang sử dụng công cụ tìm kiếm Google đi kèm với Firefox bằng dòng chữ “Google powered web search”. Addon được thiết lập để bỏ qua tất cả các tùy chọn về tìm kiếm của bạn, luôn sử dụng OpenSearch.
- Xóa addon không giúp khôi phục lại cài đặt gốc trong trình duyệt của bạn.
3. CÁ NHÂN:
- Nó liên tục (và ngẫu nhiên) tìm các tên miền email mà bạn sử dụng, sau đó đọc nội dung email và tìm đến một khối trích dẫn trong đó. Nó dùng khối này để gắn vào chữ kí của bạn nhằm thu hút
nhiều người sử dụng addon này hơn. Hiện tại, các tên miền email mà nó hoạt động gồm có.
mail.google.com (GMail)
mail.yahoo.com (Yahoo! Mail)
mail.live.com (Windows Live Mail)
webmail.aol.com (AOL Webmail)
mail.yahoo.com (Yahoo! Mail)
mail.live.com (Windows Live Mail)
webmail.aol.com (AOL Webmail)
- Addon gửi dữ liệu về trình duyệt (loại trình duyệt, phiên bản addon, phiên bản mã nguồn…).
4. KHÁC:
- Đây là trang mà nó kết nối với Facebook để lấy dữ liệu Facebook của bạn. (Bạn phải đồng ý trước khi sử dụng addon này)
- Mã nguồn của addon được đóng gói lại, làm cho việc đọc hiểu trở nên khó khăn hơn rất nhiều. Tác giả bài viết không chắc lắm về lý do tại sao tác giả addon lại làm việc này vì nó không cần thiết một khi addon được cài đặt trực tiếp từ Firefox (trừ khi họ muốn che giấu một cái gì đó). Hơn nữa, sau khi đóng gói lại, dung lượng chỉ nhỏ hơn có… 1KB mà thôi. Những nhà phát triển addon thường ít khi quan tâm đến vấn đề dung lượng khi sản phẩm làm ra nhẹ hơn 1MB.
- Dữ liệu Facebook của bạn được truyền thông qua dịch vụ của họ, thế nhưng họ là không có bất kỳ chính sách nào về quyền riêng tư hay điều kiện sử dụng. Đây là điều rất đáng lưu ý.
Nguồn: tuonglaiso.com/mang-xa-hoi-google-facebook-twitter/khong-nen-dung-addon-googlefacebook.html
Mạng xã hội Google+ gần đây đã tạo ra cơn sốt trong cộng đồng mạng. Nhưng không phải ai cũng sẵn sàng rời bỏ facebook để chuyển sang sử dụng Google+ vì lý do họ còn rất nhiều bạn bè đang sử dụng Facebook. Và người dùng như được cứu cánh khi xuất hiện Addon Google+Facebook dành cho trình duyệt chrome và firefox, cho phép người dùng mang Facebook vào Google+. Tuy nhiên có một số nguyên nhân nghiêm trọng về bảo mật của addon này và tốt nhất bạn không nên sử dụng.
Những ghi chép dưới đây được đưa ra dựa trên mã nguồn của addon Google+Facebook trên Mozilla Firefox. Tuy nhiên, chúng tôi nghĩ rằng extension của Google Chrome cũng gặp phải những vấn đề tương tự. Chúng tôi đã chia các vấn đề này ra 4 nhóm (để tiện theo dõi)
1. BẢO MẬT:
- Addon này hoạt động phụ thuộc vào một file JavaScript liên kết ngoài (nghĩa là nó cần tải về một tập tin Javascript trước khi có thể hoạt động. Điều này xảy ra mỗi khi khởi động Firefox). Mozilla không cho phép cách thức hoạt động kiểu này vì có thể là nguyên nhân để tấn công MIMT hoặc bảo mật máy chủ. Đó là lý do tại sao addon Conduit Toolbar bị cấm tại Mozilla Addons.
- Có nhiều điều chỉnh về phân quyền để có thể thực thi file Javascript ở đặc quyền cao hơn.
2. MALWARE:
- API (Giao diện lập trình ứng dụng) của addon này tham chiếu đến hàng loạt các dịch vụ premium. Điều này có nghĩa là nếu như tác giả addon không còn đủ tiền để chi trả cho chi phí dịch vụ, CrossRider có thể bắt buộc bạn cài vào các mã “rác” khác, và bạn không thể tránh được điều đó.
- Bạn không thể biết được khi nào file Javascript thay đổi. Nó được tải về máy và thực thi mỗi khi chạy Firefox với phân quyền khá rộng (nguy hiểm). Tại bất kì thời điểm nào, tác giả cũng có thể đổi mã và bắt đầu thu nhập dữ liệu của bạn.
- Nó còn cài đặt plugin OpenSearch và chuyển hướng trang kết quả tìm kiếm của Firefox (mặc định là Google) khi bạn gõ vào ô tìm kiếm. (Bình thường, Firefox sẽ mở trang kết quả Google, còn bây giờ sẽ là trang kết quả của CrossRider). Có vẻ như tác giả sẽ thu được một khoản lợi nhuận từ việc nay. Hơn nữa, khi bạn uninstall addon, thiết lập tìm kiếm này không được phục hồi như cũ. Hơn nữa, họ cố gắng đánh lừa bạn rằng bạn đang sử dụng công cụ tìm kiếm Google đi kèm với Firefox bằng dòng chữ “Google powered web search”. Addon được thiết lập để bỏ qua tất cả các tùy chọn về tìm kiếm của bạn, luôn sử dụng OpenSearch.
- Xóa addon không giúp khôi phục lại cài đặt gốc trong trình duyệt của bạn.
3. CÁ NHÂN:
- Nó liên tục (và ngẫu nhiên) tìm các tên miền email mà bạn sử dụng, sau đó đọc nội dung email và tìm đến một khối trích dẫn trong đó. Nó dùng khối này để gắn vào chữ kí của bạn nhằm thu hút
nhiều người sử dụng addon này hơn. Hiện tại, các tên miền email mà nó hoạt động gồm có.
mail.google.com (GMail)
mail.yahoo.com (Yahoo! Mail)
mail.live.com (Windows Live Mail)
webmail.aol.com (AOL Webmail)
mail.yahoo.com (Yahoo! Mail)
mail.live.com (Windows Live Mail)
webmail.aol.com (AOL Webmail)
- Addon gửi dữ liệu về trình duyệt (loại trình duyệt, phiên bản addon, phiên bản mã nguồn…).
4. KHÁC:
- Đây là trang mà nó kết nối với Facebook để lấy dữ liệu Facebook của bạn. (Bạn phải đồng ý trước khi sử dụng addon này)
- Mã nguồn của addon được đóng gói lại, làm cho việc đọc hiểu trở nên khó khăn hơn rất nhiều. Tác giả bài viết không chắc lắm về lý do tại sao tác giả addon lại làm việc này vì nó không cần thiết một khi addon được cài đặt trực tiếp từ Firefox (trừ khi họ muốn che giấu một cái gì đó). Hơn nữa, sau khi đóng gói lại, dung lượng chỉ nhỏ hơn có… 1KB mà thôi. Những nhà phát triển addon thường ít khi quan tâm đến vấn đề dung lượng khi sản phẩm làm ra nhẹ hơn 1MB.
- Dữ liệu Facebook của bạn được truyền thông qua dịch vụ của họ, thế nhưng họ là không có bất kỳ chính sách nào về quyền riêng tư hay điều kiện sử dụng. Đây là điều rất đáng lưu ý.
Nguồn: tuonglaiso.com/mang-xa-hoi-google-facebook-twitter/khong-nen-dung-addon-googlefacebook.html
Không có nhận xét nào:
Đăng nhận xét