Přeskočit navigaci

Tento blog byl již ukončen. Aktuální novinky ze světa Mozilly nyní hledejte na webu Mozilla.cz.

Začalo se rozšíření NoScript chovat jako malware?

Logo Firefoxu

Když před nedávnem Wladimir Palant, autor rozšíření AdBlock Plus, psal o komerčním využití rozšíření, pravděpodobně netušil, že se k tomuto tématu brzo vrátí. Impulzem k tomu bylo chování rozšíření NoScript, které řada z vás zná a používá jako bezpečnostní rozšíření, které umožňuje omezit chování skriptů na stránkách a zvýšit tak bezpečí uživatele.

Autoři rozšíření je povětšinou píší ve svém volném čase a kromě dobrého pocitu z toho většinou nic nemají. Pokud má autor nějaký příjem, je povětšinou z reklamy na stránce (Google AdSense) či z tlačítka Make A Donation. Většinou se nejedná o nic, co by zaplatilo vývoj, spíš je to takové přilepšení. Autor rozšíření NoScript ale zašel trochu dál než by se slušeno a celkem poprávu svým chováním popudil řadu uživatelů. Vezměme to ale popořadě.

Wladimir Palant jako autor rozšíření AdBlock Plus, které slouží k blokování reklamy na webových stránkách, si před časem povšiml, že na domovské stránce rozšíření NoScript blokování skrze AdBlock Plus nefunguje. Důvodem byla aktivní snaha autora rozšíření NoScript, který se různými fígly snažil tomuto rozšíření v blokování zabránit.

Jak Wladimir ve svém blogu popisuje, nikdy to moc neřešil, protože měl na řešení prioritnější věci. Navrhl však do služby EasyList přidat filtry, které umožní uživatelům blokovat reklamu i na webu NoScriptu. EasyList není nic jiného než seznam blokovacích pravidel, které si do AdBlocku přidáte a ony za vás zablokují většinu reklamy na webu.

EasyList uvedené pravidla přidal, na což autor NoScriptu zareagoval úpravou, která pravidlo obešla a strhla se mela. Na každou úpravu z jedná strany navázala „oprava“ ze strany druhé. Autorovi NoScriptu na zobrazované reklamě pravděpodobně hodně záleželo a do svého rozšíření zahrnul úpravu, která rozšíření AdBlock Plus zamezovala blokování reklamy na webech rozšíření NoScript. Jinak řečeno, pokud jste měli nainstalovány současně rozšíření AdBlock Plus a NoScript, pak druhý jmenovaný aktivně bránil na některých webech fungování toho prvního. Funkčnost, která s posláním NoScriptu pramálo souvisela.

Toto chování se autoru AdBlock Plus moc nelíbilo a vzhledem k tomu, že se jednalo o chování, které odporuje pravidlům pro publikování rozšíření na serveru Mozilla Add-ons, byl autor rozšíření NoScript donucen toto chování zrušit. To mu však nezabránilo v tom, aby vymyslel jinou kulišárnu. Při instalaci NoScriptu jednoduše začal do AdBlocku přidávat pravidlo, které na webech NoScriptu funkčnost AdBlocku vypínalo. Bohužel však bez jakéhokoliv vědomí uživatele.

AdBlock totiž obsahuje API, které umožňuje ostatním rozšířením v dobré víře upravovat nastavené filtry. NoScript bez vědomí uživatele filtr nejen přidal, ale dokonce jej při odstranění po opětovném spuštění znovu doplňoval a jedinou obranou bylo uvedené pravidlo zakázat. I toto chování se autorovi AdBlocku nelíbilo a sepsal již zmíněný příspěvek, kde celou „kauzu“ popisuje.

Autor rozšíření NoScript i toto chování nakonec na nátlak odstranil a jeho aktuální verze by uvedený kód již neměla obsahovat. Důvěryhodnost NoScriptu ale hodně utrpěla a řada uživatelů dává v komentářích najevo svou nelibost s uvedeným chováním. Lze ostatně rozšíření, které má zvyšovat bezpečnost uživatele na webu, po podobných hrátkách ještě věřit?

Chápu snahu autorů software dostupného zdarma nějakým způsobem vydělávat. Do vývoje totiž často kromě svého času investují i přímo finance za webhosting, koupě věcí souvisejících s vývojem apod. Vše má však své meze a chování, kdy instalovaný software dělá záškodnou činnost, mění bez vědomí uživatel konfiguraci něčeho, co s jeho funkcí nesouvisí, skutečně neakceptuji. Bohužel doba je taková, že se s podobným chováním stále více setkávám i u jinak seriózního software.

[Aktualizace]: Omluva a vysvětlení autora rozšíření NoScript.

Přečtěte si také:

Přidáno: 2. května 2009 22:47, Komentáře (2), Trvalý odkaz
nahoru

Linkuj si ! asdf.sk

Komentáře

1. Héra
Jo jo, to bude tou dobou... ;-)

2. Pavel
Nutno říct, že ve výše odkazované omluvě autora NoScriptu se tento za celou záležitost zcela otevřeně omlouvá a zároveň vysvětluje některé okolnosti. Stojí to za přečtení.

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.