...

понедельник, 14 декабря 2015 г.

Браузерное расширение от Яндекса

Столкнулся с браузерным расширением «Альтернативный поиск» от Яндекс.
Решил рассказать то, о чем не сказано в описании данного расширения.

Доступная информация


Название: Альтернативный поиск
Дата последнего обновления: 9 декабря 2015.
Версия: 8.15.1
Описание расширения
Альтернативный поиск помогает быстро переключаться между результатами поиска Яндекса, Google, Mail.ru, Bing, YouTube или ВКонтакте.
Вы можете в один клик получить ответ на свой вопрос от Яндекса, Google, Mail.ru, Bing, YouTube или поиска по видео ВКонтакте. Расширение доступно на всех перечисленных сайтах.

Устанавливая программу, вы принимаете условия Лицензионного соглашения http://ift.tt/1lZz6HC


Список сайтов из manifest.json
"*://*.bing.com/*" 
"*://bing.com/*"
"*://*.mail.ru/*" 
"*://mail.ru/*"
"*://*.vk.com/*"
"*://vk.com/*"
"*://*.youtube.com/*"
"*://youtube.com/*"
"*://*.google.com/*"
"*://google.com/*"
"*://*.google.ru/*"
"*://google.ru/*"
"*://*.google.com.tr/*"
"*://google.com.tr/*"
"*://*.google.com.ua/*"
"*://google.com.ua/*"
"*://*.google.by/*"
"*://google.by/*"
"*://*.google.kz/*"
"*://google.kz/*"
"*://*.twitter.com/*"
"*://twitter.com/*"
"*://tr.wikipedia.org/*"
"*://*.izlesene.com/*"
"*://izlesene.com/*"
"*://*.eksisozluk.com/*"
"*://eksisozluk.com/*"

Небольшой обзор расширения

1. Комментарии пользователей

Как обычно из комментариев можно видеть, что пользователи не знают как расширение к ним попало.

На все жалобы пользователей пишется стандартное сообщение:

Стандартное сообщение
Здравствуйте!
Ранее Вы писали нам об отсутствии возможности отключить предложение установки «Альтернативного поиска». Хотим сообщить, что такая возможность появилась. Для этого необходимо зайти на страницу http://ift.tt/1QFvMNg, установить галочку напротив «Не показывать мне предложение установить Альтернативный поиск» и нажать кнопку «Сохранить и вернуться к поиску».
Хорошего Вам дня!

2. Cookie

Расширение устанавливает cookie на домены Яндекс и соответственно они отправляются при любом запросе связанном с данными доменами (не забываем про Яндекс-директ на сайтах, возможно почтовый ящик и т.д.).

Список доменов
http://.yandex.ru/
http://.yandex.kz/
http://.yandex.ua/
http://.yandex.by/
http://.yandex.com/
http://.yandex.com.tr/

В cookies устанавливаются 3 переменные:
Вид переменных
yandexuid=[19ти значное число]; 
ys=altsearchchrome.8-15-1; 
yp=[строка с набором данных, вида: [число].gpauto.[число]:[число]:[число]:[число]:[число]#[число].ygu.[число]]

3. Поисковые системы

При каждом поисковом запросе пользователя, расширение отправляет запросы вида:

http://ift.tt/1lZz6Yc GUID]%7D/brandID=yandex/*

Что характерно, что буква «b» из части запроса «bserp», обозначает что использовалась система Bing. Для каждой системы своя буква.

4. Избыточные права

Расширение обладает избыточными правами, часть которых не используется.

Список прав из manifest.json

«contextMenus»
«webRequest»
«webRequestBlocking»
«webNavigation»
«cookies»
«unlimitedStorage»
«management»
«tabs»
«notifications»
«idle»
«geolocation»
«chrome://favicon/»
«chrome://favicon/*»
«http://*/*»
«https://*/*»
«storage»

Для чего это делается?
Это делается со следующей целью. Если кто-то захочет изменить функционал расширения в будущем, например, забрать список установленных у пользователя расширений или управлять их состоянием. Тогда ему понадобится добавить право «management». Если его добавить позже, то при обновлении расширения Google Chrome либо сообщит об этом пользователю, либо отключит расширение. Потому что пользователь дает согласие на использование каких-то ресурсов и просто менять их нельзя. Но если включить кучу прав сразу в первоначальное расширение, то потом при обновлении можно делать все что угодно.

И, кстати, настройка «Учитывать мое местоположение в сервисах Яндекса» по-умолчанию уже включена.

5. Сбор статистики

Расширение, обладает функционалом по сбору статистики о посещаемых сайтах, реферерах и др. Но данный функционал отключен по-умолчанию и пользователь его может включить самостоятельно. Но стоит помнить о том, что ничто не мешает сделать данную функцию включенной по-умолчанию при следующем обновлении расширения.

Вывод

При установке данного расширения пользователь должен знать следующее:

1. Расширение обладает функционалом о сборе информации о действиях пользователя, но оно на данный момент отключено.
2. Расширение устанавливает cookie, тем самым связывая данные передаваемые расширением с другими данными, что есть у Яндекс. Возможно с Вашей фамилией и именем, которое Вы указали в почтовом ящике Яндекс.
3. Расширение отправляет данные о том, когда и каким Вы поиском пользовались.
4. Расширение имеет избыточные права, что делает его использование непрогнозируемым в будущем.
5. Настройка «Учитывать мое местоположение в сервисах Яндекса» по-умолчанию включена.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий