За последние девять лет Олег Анашкин(Oleg Anashkin), разработчик программного обеспечения из Сан-Хосе (Калифорния), получил более 130 предложений о монетизации своего расширения для браузера Chrome - Hover Zoom+. Последнее из этих предложений, обычно предполагающее добавление кода от стороннего партнера, который собирает данные или размещает рекламу, пришло по электронной почте в прошлую среду.
"Мы предлагаем сотрудничество, в рамках которого вы сможете получать пассивный доход без каких-либо PR-рисков", — говорилось в сообщении. "Мы уделяем особое внимание конфиденциальности пользователей, и нам нужны только стопроцентно анонимные данные. Если вы заинтересованы в получении дополнительного дохода (до $20 тыс. в месяц) от данных, не содержащих личной информации, я буду рад договориться о встрече для обсуждения деталей".
Детали этих предложений различны, пояснил Анашкин в своем электронном письме. Но он отклонил их все.
Это хорошая новость для поклонников Hover Zoom+. Однако для тех, кто пользуется расширениями, которые продаются недобросовестным людям, это может стать очень плохой новостью: такие пользователи, скорее всего, даже не догадываются, что их любимое дополнение было незаметно обновлено, чтобы собирать информацию о них в браузере, зарабатывать на кликах по ссылкам через партнерские программы и т.д.
"В основном те, кто просит меня добавить код отслеживания, заинтересованы в перепродаже данных пользователей", — говорит Анашкин. "Те же, кто хочет купить данные напрямую, в зависимости от степени своей жадности, начиняют их вредоносным ПО: перехватывают партнерские ссылки, подменяют результаты поиска, показывают всплывающие окна с сомнительными сайтами и т.д.".
Анашкин, начавший документировать эти предложения на GitHub два года назад, тогда объяснял: "Основная причина, по которой я продолжаю поддерживать это расширение, заключается в том, что я вряд ли могу поверить в то, что другие не попадутся на одно из таких предложений. Мне повезло, что у меня есть работа, которая достаточно хорошо оплачивается, чтобы я мог сохранить свой моральный компас и игнорировать все эти предложения. Я понимаю, что не у всех есть такая финансовая безопасность, поэтому надеюсь, что эта тема прольет свет на то, какое давление оказывается на разработчиков расширений."
Так, в 2014 г. Анашкин форкнул оригинальное расширение Hover Zoom, позволяющее увеличивать изображения, поскольку разработчик передал права собственности, а тот, кто получил контроль над кодовой базой, направил ее на сбор данных. В настоящее время это дополнение удалено из магазина Chrome.
"Много лет назад было расширение для Chrome, которое называлось просто Hover Zoom", — говорит Анашкин. "Я использовал его до 2013 года, когда оно было продано одному из недобросовестных разработчиков. Поэтому я решил переделать его и удалить все вредоносное ПО, аналитику и т.д. Оригинальное расширение перестало получать обновления (очевидно) и в итоге было заблокировано и удалено из Chrome Web Store". Согласно отчету исследователя безопасности Сэма Джадали (Sam Jadali) DataSpii за 2019 год, это удаление произошло примерно 19 ноября 2015 года, то есть расширение работало и собирала данные не менее двух лет.
Соблазны и исцеление
Опыт Анашкина, судя по всему, достаточно распространен. Разработчики обсуждали эти предложения на интернет-форумах, а некоторые писали в блогах о продаже расширений или предложениях о сотрудничестве.
На вопрос о том, что можно сделать для улучшения ситуации, Анашкин высказал несколько предложений: "Chrome Web Store требует от меня (автора расширения) обосновать назначение каждого разрешения, которое использует мое расширение, но я не вижу, чтобы это было доступно конечным пользователям", — сказал он. "Если сделать эту информацию видимой, то это поможет пользователям быть более информированными перед установкой новых расширений".
По его мнению, в случае продажи расширений или изменения контактных данных разработчика в Интернет-магазине Chrome следует размещать заметное уведомление типа "Осторожно! Новые владельцы". А при изменении разрешения следует пересматривать исходный код расширения. По словам Анашкина, он подозревает, что большинство "монетизированных" расширений используют один и тот же набор библиотек для сбора данных о пользователях. Chrome Web Store в состоянии выявить эти фрагменты кода и раскрыть их на странице расширения, подобно тому, как в приложениях для Android теперь отображается "Содержит рекламу", — сказал он. А для расширений с открытым исходным кодом, магазин должен проверять соответствие загруженного кода расширения и опубликованного исходного кода. "Mozilla уже делает это [для дополнений Firefox], хотя и не без некоторых затруднений", — добавил он.
Симеон Винсент (Simeon Vincent), ранее работавший в команде разработчиков расширений Google Chrome, заявил в июне, что он положительно относится к архитектурным и политическим изменениям, сопровождающим Manifest v3 - пересмотр платформы расширений Chrome, который ведется уже несколько лет.
Анашкин согласен, что это может помочь, но считает, что это не решит всех проблем: "Manifest V3 сделает невозможным загрузку и выполнение произвольного кода, что поможет справиться с некоторыми типами вредоносного ПО, но это мало что даст расширениям, имеющим постоянный доступ ко всем страницам (например, блокировщикам рекламы, Grammarly или Hover Zoom+)", — сказал он. "Такие расширения по-прежнему смогут анализировать и изменять содержимое страниц, а также общаться со своими серверами для сбора данных о пользователях".
На вопрос о том, помогут ли правила, затрудняющие заключение подобных "партнерских" сделок или побуждающие разработчиков действовать в интересах пользователей расширений, Анашкин ответил скептически: "Это звучит как излишество для оказания бесплатной услуги пользователям", — сказал он, затронув тему, часто встречающуюся среди тех, кто поддерживает проекты с открытым исходным кодом, прилагая значительные усилия, но не получая вознаграждения. "Взять на себя юридическую ответственность, даже не получив за это денег? Я бы закрыл свое расширение, если бы это было так. Нетрудно также представить, что такая ситуация привлечет шантажистов, которые будут угрожать подать в суд на основании нарушения правил, если я не соглашусь продать расширение. Юридическая система США разорила бы людей даже на выигравшей стороне конфликта".
