สิ่งล่อใจสำหรับนักพัฒนาส่วนขยาย Chrome แบบโอเพนซอร์ส
(github.com/extesy)- ผู้ดูแล Hover Zoom+ เปิดเผยข้อเสนอ การสร้างรายได้·การเข้าซื้อ ส่วนขยายที่ได้รับตั้งแต่ปี 2015 ถึง 2026 และระบุว่าได้ปฏิเสธข้อเสนอเหล่านี้มาโดยตลอดเพื่อไม่ขายผู้ใช้
- ข้อเสนอมีรูปแบบซ้ำ ๆ คือเปลี่ยน สิทธิ์ของเบราว์เซอร์และฐานผู้ใช้ ให้เป็นเงิน เช่น การขายข้อมูลผู้ใช้แบบไม่ระบุตัวตน การสร้างรายได้จากทราฟฟิกค้นหา การแทรกลิงก์ affiliate การแสดงโฆษณา·คูปอง การติดตั้ง SDK และการเข้าซื้อส่วนขยาย
- เอกสารข้อเสนอเน้นคำว่า “ไม่ระบุตัวตน”, “ไม่มีข้อมูลส่วนบุคคล”, “ไม่กระทบ UX”, “สอดคล้องกับนโยบายของ Google” แต่ก็ยังต้องการ ข้อมูลพฤติกรรม เช่น DNS error, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream และคำค้นหา
- ผู้ดูแลอธิบายว่า Hover Zoom+ มีผู้ใช้ประมาณ 400,000 คนในหลายเบราว์เซอร์และทำงานบนทุกหน้า จึงสร้าง พื้นที่โจมตีขนาดใหญ่และโอกาสทำเงินสูง ให้กับผู้ไม่หวังดี
- ในการถกเถียงในคอมเมนต์ มีการเสนอวิธีลดความเสี่ยงจากส่วนขยายที่ทำได้จริง เช่น ตรวจซอร์สโค้ด ตรวจรายการสิทธิ์ ดูแท็บ privacy practices ใน Chrome Web Store ดูรีวิวล่าสุด ตรวจคำขอเครือข่าย และจำกัด Site Access เป็น “On Click”
ประเด็นปัญหาที่ผู้ดูแลเปิดเผย
- ผู้ดูแล Hover Zoom+ ระบุว่าได้รับข้อเสนอให้สร้างรายได้จากส่วนขยายจำนวนมากตลอดหลายปี และบอกว่า “เปิดเผยเพื่อความสนุก แต่ไม่ใช่เพื่อผลประโยชน์”
- เขาอธิบายว่าเหตุผลสำคัญที่สุดที่ยังคงดูแลต่อไปคือ เป็นเรื่องยากที่จะเชื่อได้ ว่าหากมอบให้คนอื่นดูแลแล้วจะไม่ตกหลุมข้อเสนอเหล่านี้
- เขาบอกว่าตนมีงานที่ค่าตอบแทนดีพออยู่แล้ว จึงสามารถรักษา “เข็มทิศทางศีลธรรม” และเพิกเฉยต่อข้อเสนอได้
- เขาหวังว่าเธรดนี้จะช่วยให้เห็น แรงกดดันทางการเงิน ที่นักพัฒนาส่วนขยายได้รับ เพราะไม่ใช่นักพัฒนาทุกคนที่จะมีความมั่นคงทางการเงินแบบเดียวกัน
รูปแบบข้อเสนอสร้างรายได้ที่เกิดซ้ำ
- ข้อเสนอจำนวนมากเข้ามาโดยอ้างฐานผู้ใช้บน Chrome Web Store ของ Hover Zoom+ ว่าสามารถสร้าง “รายได้จำนวนมาก” ได้
- วิธีที่ปรากฏซ้ำ ๆ มีดังนี้
- เก็บ ข้อมูลผู้ใช้แบบไม่ระบุตัวตน เพื่อนำไปขายเป็นการทำ ad targeting, market research, business intelligence และ clickstream data
- เพิ่ม Bing, Yahoo, Google search หรือ search lander/feed เพื่อแบ่งรายได้จากคำค้นหาและการคลิกโฆษณา
- ใส่ store logo, affiliate link หรือ ลิงก์ “Sponsored” ในผล organic search เพื่อรับค่าคอมมิชชันเมื่อเกิดการซื้อ
- แทรกรูปแบบโฆษณา เช่น coupon, cashback, PopUnder, in-text, new tab, search injection และ in-image monetization
- เพิ่ม SDK หรือ JS ไม่กี่บรรทัดเพื่อผสานฟังก์ชันเก็บข้อมูลหรือแสดงโฆษณาเข้าไปในส่วนขยาย
- เสนอซื้อส่วนขยายเอง หรือโอน Chrome extension ownership โดยไม่ต้องโอนบัญชี Google
- ข้อเสนอบางส่วนเน้นการสร้างรายได้ที่ผู้ใช้มองเห็นได้ยาก เช่น “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX”
ข้อมูลและจำนวนเงินที่ปรากฏในข้อเสนอ
- หนึ่งในข้อเสนอปี 2015 ระบุว่าหากไม่สร้างรายได้จาก anonymous user data ก็อาจ “พลาดเงินจำนวนมาก” และกล่าวถึงเครือข่ายโฆษณาที่ได้รับการรับรองจาก NAI และ IAB
- ข้อเสนอวิจัย DNS error ในปี 2016 ต้องการข้อมูลต่อไปนี้
- NXD หรือโดเมนที่ผู้ใช้พิมพ์แต่ไม่มีอยู่จริง
- เวลาที่เกิดเหตุ
- GEO
- ID ผู้ใช้แบบสุ่มไม่ซ้ำกัน ซึ่งอ้างว่าสามารถแฮชได้และไม่สามารถติดตามผู้ใช้ได้
- ข้อเสนอตั้งแต่ปี 2020 เป็นต้นมามีรายการที่เกิดซ้ำ เช่น GEO, ผู้ใช้ที่ใช้งานรายวัน·รายเดือน, การจำแนกความสนใจ, URL, referrer, country, timestamp, browsing behavior, clickstream และ browser history
- จำนวนเงินที่เสนอแตกต่างกันมาก
- ข้อเสนอซื้อส่วนขยายปี 2016: $14,500
- ข้อเสนอผสาน analytics platform ปี 2020: $2,000/เดือน
- ข้อเสนอสร้างรายได้จากการค้นหาปี 2020: อ้างว่าผู้ใช้ 300,000 คนสามารถทำได้ $9,000 ต่อวัน
- ข้อเสนอผสาน data marketplace SDK ปี 2021: $30,000/ปี
- ข้อเสนอข้อมูลปี 2023: สูงสุด $20K/เดือน
- ข้อเสนอ clickstream data partnership ปี 2024: $30,000~$40,000/เดือน
- ข้อเสนอซื้อปี 2024: $30,000
- ข้อเสนอซื้อปี 2025: $0.05~$0.15 ต่อผู้ใช้
- ข้อเสนอสร้างรายได้แบบสมัครสมาชิกช่วงปลายปี 2024 ยกตัวอย่างจากฐานผู้ใช้ 400,000+ คน โดยสมมติ conversion 5% ว่า หากคิด $0.99/เดือน จะได้ราว $19,800/เดือน, $4.99/เดือน จะได้ราว $99,800/เดือน และ $9.99/เดือน จะได้ราว $199,800/เดือน
การตอบสนองและเกณฑ์ตัดสินใจของผู้ดูแล
- เมื่อถูกถามว่าทำไมไม่เปิดเผยชื่อบริษัท เขาตอบว่าบางบริษัทอาจมั่งคั่งและดำเนินงานอย่างถูกกฎหมาย และเขาไม่ต้องการรับความเสี่ยงจากการถูกฟ้องร้อง
- เขาอธิบายว่าโฆษณาแบบป๊อปอัปผู้ใช้จะสังเกตเห็นและปิดใช้ส่วนขยายที่เป็นต้นเหตุได้ง่าย แต่ วิธีที่แอบแฝง อาจคงอยู่ได้นาน
- เกี่ยวกับ telemetry ผู้ดูแลกล่าวว่าในมุมผู้ใช้ต้องหาสมดุลระหว่างประโยชน์ใช้งานกับความล่วงล้ำของการติดตาม แต่ในมุมนักพัฒนา การไม่ใส่การติดตามเลยทำให้เข้าถึงผู้ใช้ได้กว้างที่สุดและหลีกเลี่ยงการถกเถียงเรื่องระดับการทำให้ไม่ระบุตัวตน
- ต่อข้อสังเกตว่าชื่อ Hover Zoom+ อาจถูกสับสนกับ Hover Zoom ที่เคยมีประเด็นมัลแวร์ในอดีต เขาตอบว่าเป้าหมายไม่ใช่การได้ผู้ใช้ทุกคน และมีคนมากกว่า 300,000 คนที่เห็นคุณค่าอยู่แล้ว อีกทั้งเป็นส่วนขยายฟรี·ไม่มีรายได้ จึงจะไม่เสียเวลาเปลี่ยนชื่อหรือพิสูจน์เพิ่มเติม
- ในคอมเมนต์ปี 2023 ผู้ดูแลสรุปเหตุผลที่ Hover Zoom+ มีคุณค่าไว้สองข้อ
- มีผู้ใช้ประมาณ 400,000 คน เมื่อรวมทุกเบราว์เซอร์
- เปิดใช้งานบน ทุกหน้า ไม่ใช่เฉพาะบางไซต์
- เขาอธิบายว่าสองปัจจัยนี้เมื่อรวมกันจะสร้างพื้นที่โจมตีที่มีศักยภาพสูงต่อผู้ใช้ปลายทาง และหมายถึงรายได้ที่อาจสูงมากสำหรับผู้ไม่หวังดี
สัญญาณอันตรายสำหรับผู้ใช้และนักพัฒนา
- คอมเมนต์หนึ่งชี้ว่า หลังส่วนขยายถูกซื้อ เวอร์ชันถัดไปอาจถูกใส่ adware หรือ botnet script และอาจทำงานได้โดยไม่ต้องมีป๊อปอัปขอสิทธิ์เพิ่ม เพราะมีสิทธิ์เดิมอยู่แล้ว
- อีกคอมเมนต์อธิบายว่าข้อเสนอข้อมูลบางรายการอาจเชื่อมโยงกับการขายข้อมูลผู้ใช้เพื่อวัตถุประสงค์ด้าน AdTech/RTB และลิงก์ไปยังข้อมูล adtech ของ Privacy International
- สำหรับข้อเสนอที่ต้องการข้อมูล DNS error คอมเมนต์หนึ่งตีความว่าอาจมีเจตนายึดโดเมนที่เป็นการพิมพ์ผิดทั่วไปหรือโดเมนหมดอายุ เพื่อดักเส้นทางการใช้งานของผู้ใช้
- คอมเมนต์ที่กล่าวถึงกรณี The Great Suspender ชี้ว่าบางดีลไม่ได้มุ่งติดตั้ง SDK แต่มุ่งโอน repository หรือความเป็นเจ้าของส่วนขยาย
- หนึ่งในข้อเสนอปี 2026 กล่าวถึงสิทธิ์ของ you.com, การอ่านเนื้อหาหน้าเว็บ, การจับ keystroke, การส่งไปยังเซิร์ฟเวอร์ภายนอก, การเข้าถึง session cookie และรูปแบบการเก็บ browsing history แต่บันทึกของผู้ดูแลเสริมว่า Hover Zoom+ ไม่ได้ทำพฤติกรรมเช่นนั้น และสิ่งนี้แสดงให้เห็นว่าบริษัทนั้นอยากได้ข้อมูลแบบใด
วิธีตรวจสอบว่าส่วนขยายถูกนำไปสร้างรายได้หรือไม่
- ผู้ดูแลกล่าวว่าวิธีที่น่าเชื่อถือที่สุดคือ อ่านซอร์สโค้ด
- สัญญาณตรวจสอบอื่น ๆ ที่เสนอมีดังนี้
- ตรวจในแท็บ privacy practices ของ Chrome Web Store ว่านักพัฒนาเปิดเผยหรือไม่ว่าไม่ได้เก็บหรือใช้ข้อมูล
- ตรวจว่ามี public source หรือไม่
- ตรวจว่ารายการสิทธิ์ของส่วนขยายขอสิทธิ์ที่น่าสงสัยและไม่สอดคล้องกับฟังก์ชันหรือไม่
- ตรวจรีวิวผู้ใช้ล่าสุดว่ามีรูปแบบการร้องเรียนซ้ำ ๆ เกี่ยวกับพฤติกรรมหรือไม่
- ใช้การประเมินความเสี่ยงจากไซต์อย่าง chrome-stats เป็นข้อมูลอ้างอิง
- ผู้ดูแลเสริมว่าสัญญาณเหล่านี้ทั้งหมดสามารถถูกปลอมแปลงได้ จึงใกล้เคียงกับ การตรวจพบปัญหา มากกว่าการ “พิสูจน์ความบริสุทธิ์”
- อีกคอมเมนต์เสนอว่า เนื่องจากการอ่านซอร์สอาจยากเพราะเครื่องมืออย่าง Webpack การตรวจ คำขอเครือข่าย ที่ส่วนขยายสร้างขึ้นอาจง่ายกว่า
- คอมเมนต์เดียวกันยังอธิบายให้ตรวจคำขอจาก background หรือ service worker ด้วย และระบุว่าส่วนขยายจำนวนมากทำงานบนทุกหน้าเกินความจำเป็น จึงควรจำกัด Site Access ของ Chrome เป็น “On Click”
ปฏิกิริยาของชุมชนและการถกเถียงต่อเนื่อง
- คอมเมนต์หลายรายการสนับสนุนผู้ดูแลที่ไม่ขายผู้ใช้และเปิดเผยข้อเสนอเหล่านี้
- ผู้ใช้คนหนึ่งกล่าวว่าผู้ใช้และนักพัฒนาส่วนขยายจำเป็นต้องตระหนักถึงแนวปฏิบัติแบบนี้มากขึ้น
- ผู้ดูแลตอบว่าสถานการณ์รอบส่วนขยายอันตรายนั้นเลวร้ายพออยู่แล้ว และควรมีคนรับรู้มากขึ้น
- ต่อคอมเมนต์ที่บอกว่าเรื่องนี้ถูกนำขึ้น Hacker News ผู้ดูแลกล่าวว่าหวังว่าจะช่วยสร้างแรงบันดาลใจให้นักพัฒนาคนอื่น ๆ “ยืนหยัด”
- นักพัฒนาส่วนขยายรายหนึ่งกล่าวว่าตนมีผู้ใช้ 170,000 คนและได้รับข้อเสนอคล้ายกันมากมายเช่นกัน แม้จะยั่วยวนในฐานะนักศึกษามหาวิทยาลัยที่ยากจน แต่เขาเลือกสร้างรายได้ด้วยวิธีอื่นที่ไม่ล่วงล้ำผู้ใช้
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ChatGPT for Google เคยขึ้นอันดับ 1 บน HN เมื่อต้นปีนี้ แต่ตอนนี้ดูที่ GitHub repository แล้ว ส่วนขยายนั้นถูก ขายไปแล้ว
ผมเองก็เคยมีส่วนขยายไซด์โปรเจกต์ฟรีที่มีการติดตั้งประมาณ 25,000 ครั้ง และได้รับการติดต่อมาไม่น้อยว่า “จะช่วยทำเงินให้”
เลยรู้สึกว่าน่าจะคุ้มที่จะรวบรวมเส้นทางทำเงินชวนไม่สบายใจสารพัดแบบไว้: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
วงการเทคโนโลยีโฆษณาโดยรวมเป็นวงการที่น่าขยะแขยงจริง ๆ
เงินก้อนนั้นทำให้ปัญหาเงินดาวน์บ้านเล็กลงมาก
การคิดไว้ก่อนว่าเส้นจริยธรรมของตัวเองอยู่ตรงไหนเป็นเรื่องดีเสมอ
ข้อเสนอขยะพวกนี้จำนวนมากต้องถูกทำให้เป็นอัตโนมัติแน่ ๆ
“ผมเป็นแฟนของ [extension name] และชอบมากว่ามันสะดวกและมีประโยชน์แค่ไหน
คุณเคยพิจารณาเปิดพื้นที่โปรโมตให้คนที่อยากโฆษณาผลิตภัณฑ์ของตัวเองในส่วนขยายไหมครับ? ผมอยากโปรโมตส่วนขยายของผมใน [extension name] และอยากพูดคุยถึงความเป็นไปได้นี้
ถ้าสนใจโปรดแจ้งให้ทราบครับ” ประมาณนี้
เผื่อทราบไว้ ส่วนขยาย JSON Formatter [0] ที่บางคนในนี้น่าจะใช้อยู่ เป็นของผมเอง
ผมทำขึ้นและเปิดเป็นโอเพนซอร์สเมื่อ 12 ปีก่อน ดูแลรักษามาจนถึงตอนนี้ และ [1] ปัจจุบันมีผู้ใช้ 2 ล้านคน
ผมขอสาบานอย่างจริงจังว่าจะไม่มีวันเพิ่มโค้ดที่ส่งข้อมูลใด ๆ ไปที่ไหนทั้งสิ้น และจะไม่ส่งต่อให้คนที่จะทำแบบนั้นด้วย
ผมเคยได้รับข้อเสนอเงินสดที่ชวนหวั่นไหวหลายครั้งจากคนต้องสงสัยที่ดูเหมือนต้องการขโมยข้อมูลของทุกคน หรือทำสิ่งที่แย่กว่านั้น
บางครั้งก็คิดว่าไม่น่าใส่ชื่อผมไว้เลย เพราะถ้าเป็นแบบนั้นอาจรับเงินได้โดยไม่ทำลายชื่อเสียง
แต่ในเมื่อใส่ชื่อไว้แล้ว ก็มีแต่ต้องรักษาเกียรติไว้ อย่างน้อยข้อดีก็คือผมพูดได้เสมอว่าผมไม่เคยขายมันออกไป
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] พูดตามตรง ผมแทบไม่ได้ลงแรงอะไรมากนัก
เพราะมันมีแค่บรรทัดเดียว จึงไม่มีอะไรให้เปลี่ยนเลย
แต่ Chrome Web Store ถอดมันออกหลังผ่านไปกว่า 5 ปี น่าจะเพราะผมไม่เคยปล่อยอัปเดตเลย ทำให้ช่องกรอกข้อมูลที่ภายหลังกลายเป็นข้อบังคับยังว่างอยู่
น่านับถือที่ไม่ขายมันออกไป
สงสัยว่าเคยคิดจะเริ่ม เปิดเผยข้อเสนอซื้อกิจการ แบบที่ผมทำอยู่หรือเปล่า
เห็นได้ชัดว่ากำลังสร้างคุณค่าให้โลก และตามหลักศีลธรรมของผม คุณควรมีสิทธิ์ดึงคุณค่าส่วนหนึ่งกลับมาได้โดยไม่ต้องทำอะไรน่าสงสัย
ผมเป็นผู้ก่อตั้ง Streak และเราทำเงินจากส่วนขยายของเราโดยตรง เหมือนกับที่อื่น ๆ อย่าง Grammarly
สงสัยว่าเคยลองขอให้ผู้ใช้จ่ายเงินโดยตรงสำหรับแรงที่ลงไปหรือยัง
ในอุตสาหกรรมนี้ ดูเหมือนว่าการรักษา จริยธรรมที่เข้มแข็ง จะยากขึ้นทุกวัน
หรือแค่แอบยัดเข้ามาเงียบ ๆ ก็ไม่รู้
อย่างน้อยก็อยากเห็นป๊อปอัปแจ้งเตือนที่เป็นสัญญาณอันตรายบ้าง
ผมเป็นผู้ดูแล
ส่วนขยายของผมแทบจะทำเงินไม่ได้จริง ๆ ดังนั้นไม่ว่าจะได้รับข้อเสนอแบบไหน ก็ต้องมี การเสียสละทางศีลธรรม ในระดับหนึ่ง
ข้อเสนอที่รุกล้ำน้อยที่สุดเท่าที่เคยเห็นมาคือให้ใส่ลิงก์แลกเปลี่ยนไปยังส่วนขยายอื่นในส่วนขยายของผม คล้ายกับที่ DarkReader ทำบนเว็บไซต์ของตัวเอง
แม้จะไม่ได้ละเมิดข้อมูลผู้ใช้ แต่เหตุผลที่ผมไม่ทำคือมันเท่ากับการรับรองส่วนขยายอื่นทางอ้อม และผมควบคุมไม่ได้ว่าพวกเขาจัดการข้อมูลผู้ใช้อย่างไร
ถ้ามันใหญ่ขึ้น ก็จะช่วยหักล้างความเชื่อทั่วไปที่แม้ไม่ค่อยมีใครพูดออกมาว่า “สุดท้ายทุกคนก็ขายหมด” ได้
ตอนนี้ผมไม่ได้ใช้ Chrome แล้ว แต่เมื่อก่อนชอบ Hover Zoom+ มากจริง ๆ และภรรยาผมก็ยังใช้อยู่
เป็นส่วนขยายที่ยอดเยี่ยม และพอได้อ่านคอมเมนต์นี้กับ GitHub issue ที่ลิงก์ไว้แล้วก็ยิ่งสบายใจขึ้น
ตอนนั้นผมย้ายไปใช้ imagus แล้วก็ชินกับมัน
อย่างไรก็ดี ขอบคุณที่ปฏิเสธความพยายามทำเงินเหล่านั้น
ผมไม่รู้วิธีแก้ปัญหานี้ แต่รู้จักบริษัทถูกกฎหมายที่น่าเชื่อถืออยู่สองสามแห่ง ซึ่งแม้จะทำเงินจากผู้ใช้ด้วยเงินจริงอยู่แล้ว ก็ยังขายข้อมูลผู้ใช้ในราคาประมาณ 20 ปอนด์ ต่อปี
ผมไม่มีวันทำแบบนั้นแน่นอน เพราะการละเมิดความเป็นส่วนตัวขัดกับแก่นความเชื่อของผม แต่ก็มีความขัดแย้งที่แก้ไม่ตกอยู่
ด้านหนึ่ง ผมรู้ว่าผู้ใช้ส่วนใหญ่ยอมขายความเป็นส่วนตัวของตัวเองมากกว่าจะจ่ายเงินแม้แต่เพนนีเดียว
พวกเขาพร้อมจะกดปุ่ม “ขายข้อมูลของฉัน” มากกว่าปุ่ม “จ่ายเงิน” เสมอ
ผมพูดได้ว่ารู้เรื่องนี้ เพราะได้พบเจอกับผู้ใช้มามากพอ
ผู้ใช้จำนวนมากจะโวยวายถ้าไม่ฟรี แต่การส่งมอบข้อมูลส่วนตัวกลับไม่ทำให้พวกเขานอนไม่หลับเลย
แน่นอนว่าพูดถึงคนส่วนใหญ่โดยรวม
อีกด้านหนึ่ง ผมก็อยากให้อินเทอร์เน็ตเป็นที่ที่ผู้เล่นไร้จริยธรรมไม่สามารถรุ่งเรืองได้
ในโลกจริง คนส่วนใหญ่ไม่ได้คาดหวังว่าจะได้อะไรบางอย่างมาฟรี ๆ แล้วทำไมอินเทอร์เน็ตต้องต่างออกไป
ทำไมทุกคน รวมถึงตัวผมเองด้วย ถึงมักมองหาของฟรีบนอินเทอร์เน็ตอยู่เสมอ
ที่แย่ที่สุดคือ สุดท้ายแล้วผู้ที่ยอมจ่ายเงินออนไลน์มีแต่ โจรขโมยข้อมูล กับผู้ลงโฆษณา
ส่วนที่เหลือกำลังยกวิญญาณของตัวเองให้ไป
นักพัฒนาถูกคาดหวังให้ทำงานฟรีราวกับเป็นหน้าที่ เพื่อให้โครงสร้างทั้งหมดนี้ดำเนินต่อไปได้
ยิ่งไปกว่านั้น คำว่า “ข้อมูล” ก็คลุมเครือสำหรับผู้ใช้ทั่วไป
กฎระเบียบอย่างใน EU และแคลิฟอร์เนียควรบังคับเรื่องแบบนี้พอดี
ถ้านำเสนอตัวเลือกว่า “นี่คือข้อมูลที่เรามีเกี่ยวกับคุณ: รวมถึงผลจากการติดตามที่น่าขนลุก a,b,c,d... หากคุณอนุญาตให้เราละเมิดความเป็นส่วนตัวของคุณในหลายรูปแบบ เราจะให้ของกระจุกกระจิกชิ้นนี้ฟรี หรือไม่ก็จ่าย x บาท” จะมีสักกี่คนที่เลือกให้ละเมิดความเป็นส่วนตัว
อินเทอร์เน็ตส่วนใหญ่ไม่ทางใดก็ทางหนึ่งคือการสื่อสาร
ในโลกจริง การสื่อสารจำนวนมากก็ได้มาฟรี
กลับกัน ผมสงสัยว่าทำไมทุกคนถึงตั้งสมมติฐานว่าอินเทอร์เน็ตเป็นแพลตฟอร์มสำหรับรวยขึ้นด้วยการขายของกระจุกกระจิกให้ชนพื้นเมืองที่ไม่รู้เท่าทัน
บางอย่างอาจเหมาะจะดำเนินการแบบไม่แสวงกำไรมากกว่า
ดูเหมือนว่า Firefox จะมีสิ่งนี้อยู่แล้ว(https://mzl.la/3Acn4DU)
ผมไม่รู้จักผู้ตรวจสอบสำหรับส่วนขยาย Chrome
ให้หน่วยงานหรือกลุ่มที่น่าเชื่อถืออย่าง Google หรือ Mozilla ตรวจสอบส่วนขยายและ “รับรอง” ว่าไม่มีมัลแวร์ก็ได้
นอกจากนี้ ส่วนขยายต้องเป็นโอเพนซอร์ส 100% และต่อให้องค์กรที่น่าเชื่อถือถูกเจาะระบบหรือทำงานไม่ได้ สุดท้ายก็จะถูกเปิดโปงและผู้คนจะเลิกใช้
แน่นอนว่าไม่สมบูรณ์แบบ
แอดแวร์อาจถูกซ่อนแม้กระทั่งจากผู้ตรวจสอบ หรือผู้ตรวจสอบอาจถูกเจาะโดยไม่มีใครรู้
ยิ่งส่วนขยายมีโค้ดซับซ้อนมาก ก็ยิ่งใช้ค่าใช้จ่ายและเวลามาก ทำให้ส่วนขยายยอดนิยมที่ไม่มีปัญหาใด ๆ ก็อาจไม่ได้รับการรับรอง
การเปลี่ยนแปลงต่าง ๆ ก็ต้องผ่านการตรวจสอบเสมอ ทำให้อัปเดตล่าช้าและถูกยับยั้ง
ปัญหาสุดท้ายที่อาจมองข้ามได้ง่ายคือ ผู้ตรวจสอบอาจมีอคติในการอนุมัติส่วนขยายบางตัว เช่น ฝั่งที่จ่ายเงิน
ถ้าโค้ดอ่านยากเกินไปหรืออยู่ท้ายคิวตรวจสอบ ก็อาจไม่ได้รับการอนุมัติ และเกณฑ์ว่า “อ่านยากเกินไป” กับตำแหน่งในคิวนั้นสามารถถูกเงินโน้มน้าวได้ง่าย
ถึงอย่างนั้น เว็บส่วนขยายก็เป็นซอฟต์แวร์ที่เหมาะต่อการตรวจสอบมากกว่าแอปอื่น ๆ
เพราะโดยทั่วไปมีขนาดเล็กและเรียบง่ายกว่ามาก ใช้ผู้ใช้ที่จำเป็นจำนวนน้อยกว่า และทำงานในโดเมนที่ได้รับความไว้วางใจสูงมากอย่างการท่องเว็บทั้งหมด รวมถึงธนาคารและไซต์ลับ
เมื่อเทียบกับแอปมือถือที่ถูก sandbox หรือโปรแกรมโหมดผู้ใช้บนคอมพิวเตอร์ ความเสียหายยังมีอยู่ แต่เล็กกว่ามาก
เมื่อจ่ายเงินซื้ออะไรสักอย่าง ก็ต้องส่งมอบข้อมูลระบุตัวตนอยู่ดี
การแลกเปลี่ยนคุณค่านั้นเอียงไปข้างหนึ่งอย่างชัดเจน แต่ถ้าต้องแชร์ทั้งตัวตนและจ่ายเงินเพื่อให้ได้ X ก็เท่ากับเสียทั้งเงินและแชร์ตัวตน
ถ้าแชร์ตัวตนแล้วได้ X ฟรี อย่างน้อยก็ยังไม่เสียเงิน
ในความเป็นจริง ปกติแล้วเรามักอยู่ระหว่างตัวเลือกที่ว่าจ่ายเงินแล้วก็ยังขายข้อมูล กับใช้ฟรีแล้วขายข้อมูลเยอะมากจริง ๆ
บริการแบบเสียเงินส่วนใหญ่ก็ระบุไว้ในนโยบายความเป็นส่วนตัว เงื่อนไขการใช้บริการ และสัญญาผู้ใช้เหมือนกันว่าจะขายข้อมูลอย่างไร
กรณีดีที่สุดก็แค่หวังได้ว่า เพราะกระแสเงินสดไม่ขัดสนเท่าไร จึงอาจเลือกคู่ค้าขายข้อมูลอย่างพิถีพิถันขึ้นเล็กน้อย
แต่ผลกระทบต่อผู้ใช้กลับมากกว่า
ตอนนี้พวกเขามีบัตรเครดิต ที่อยู่ ชื่อจริง และหมายเลขโทรศัพท์ และทั้งหมดนี้เสี่ยงต่อการถูกแฮ็กและรั่วไหล
เพราะการปลอมข้อมูลเหล่านี้ยากกว่าตอนเป็นบัญชีฟรี มูลค่าของข้อมูลที่ถูกรวบรวมจึงสูงกว่า และสิ่งล่อใจก็สูงขึ้นตาม
อีกทั้งบริการแบบเสียเงินยังมี ระบบสมัครสมาชิกที่เป็นปฏิปักษ์ต่อผู้บริโภค ซึ่งเต็มไปด้วย dark pattern
ถ้าไม่ชอบแล้วอยากยกเลิกก็ยุ่งยากเกินจำเป็น และแม้แต่ทดลองใช้ฟรีก็ยังขอบัตรเครดิต
ความโปร่งใสว่าเงินถูกใช้ไปที่ไหนจริง ๆ ก็ต่ำมาก
บริการจำนวนมากดำเนินงานขาดทุน และค่าบริการจากลูกค้าเป็นเพียงฉากหน้า ส่วนเงินจริงมาจากนักลงทุน
สำหรับบางบริษัท โมเดลเสียเงินแทบจะเป็นการอำพราง และทางออกจริงอาจเป็นการเก็บข้อมูลอยู่หลายปีแล้วถูกบริษัทรวบรวมข้อมูลซื้อกิจการไป
อีกฟากหนึ่งก็มีคนที่หลอกจับเหยื่อด้วยราคาที่ปั่นสูงเกินจริงอย่างไร้เหตุผล
ด้วยเหตุผลเหล่านี้ ตัวเลือกในการจ่ายเงินจึงปนเปื้อนด้วยความไม่ไว้วางใจ ไม่ใช่เพียงเพราะผู้บริโภคขี้เหนียวและมีความรู้สึกว่าตัวเองมีสิทธิ์เท่านั้น
ความไม่ไว้วางใจสามารถทำให้ตลาดใด ๆ ชะงักงันได้อย่างรวดเร็ว
ถึงอย่างนั้นก็ไม่ได้โทษอุตสาหกรรมมากนัก
เหมือนแคลิฟอร์เนียในปี 1848 ยากที่จะโทษคนที่ก้มเก็บทองที่กระจัดกระจายอยู่
ปัญหาจริงคือไม่มีเครื่องมือ โครงสร้างพื้นฐาน และกรอบกำกับดูแลที่ทำให้ผู้ใช้เห็นและควบคุมได้ว่าข้อมูลของตนถูกใช้อย่างไร
ถ้าผู้คนอยากขายข้อมูลของตัวเองแทนการจ่ายเงินจริง ๆ ก็ปล่อยให้ทำไป
แต่ปัจจุบันผู้ใช้ส่วนใหญ่ไม่รู้ว่าข้อมูลใดกันแน่ที่ถูกเก็บ และมันมีมูลค่าเท่าไร
พวกเขาอยู่ในสภาพที่ไม่สามารถตัดสินใจอย่างมีเหตุผลได้ว่าการซื้อแอป 5 ดอลลาร์ดีกว่าการถูกขุดข้อมูลมูลค่า 20 ดอลลาร์หรือไม่
สิ่งที่น่าหงุดหงิดคือกรณีที่แอปต่าง ๆ ซ่อน การทำเงินจากข้อมูล หรือทำให้เป็นข้อบังคับ หรือไม่เปิดทางให้ใช้บริการได้โดยไม่ยินยอม
โดยเฉพาะบริการที่แม้แต่จะเลือกไม่เข้าร่วมก็ยังทำไม่ได้ แบบนั้นแย่ที่สุด
ตัวอย่างเช่น ที่ทำงานของผมเพิ่งนำบริการ “The Work Number” ของ Equifax มาใช้ ดังนั้นไม่ว่าผมจะสร้างบัญชีหรือไม่ ข้อมูลของผมก็อยู่ในนั้นแล้ว
ที่แย่กว่านั้นคือ ถ้าผมไม่สร้างบัญชี ก็ยังเปิดช่องให้ใครบางคนพยายามสร้างบัญชีเพื่อรวบรวมข้อมูลเพิ่มเติมโดยไม่เกี่ยวกับความยินยอมของผม
ไม่ว่าผู้คนจะเลือกทำอะไรกับข้อมูลของตัวเอง ผมก็ไม่รู้สึกว่ามีหน้าที่ทางศีลธรรมที่จะต้องยัดเยียดมุมมองของผมให้พวกเขา
ถ้าพวกเขายินยอมจริง ๆ และอยากประหยัดเงิน 20 ดอลลาร์ หรือประหยัดเงินตามมูลค่าที่ข้อมูลนั้นมีในแอป การตัดทางเลือกของพวกเขาออกไปเพียงเพราะผมไม่เห็นด้วยกับวิธีที่พวกเขาจัดการข้อมูลความเป็นส่วนตัว ก็ไม่ได้ต่างจากการบังคับด้วยเหตุผลเดียวกันมากนัก
ความแตกต่างที่สำคัญสำหรับผมคือผมได้ประโยชน์จากตรงนั้นหรือไม่ แต่ถ้าในแต่ละกรณีผู้ใช้มีทางเลือก จริง ๆ แล้วมันก็ไม่สำคัญต่อวิธีที่ผู้ใช้ชั่งน้ำหนักสถานการณ์
หากคุณดูแลเว็บไซต์อยู่ ก็จะได้รับอีเมลแบบนี้อยู่เรื่อย ๆ
“สวัสดีครับ/ค่ะ
อยากสอบถามว่ารับบทความแขกรับเชิญหรือการแทรกลิงก์ในบทความเดิมหรือไม่ครับ/ค่ะ หากเป็นไปได้ อยากทราบแนวทางและหัวข้อที่สนใจเพิ่มเติม
ขอบคุณที่สละเวลา รอคำตอบอยู่นะครับ/ค่ะ
ขอบคุณครับ/ค่ะ”
แบบนี้ชัดเจนว่าเป็นสแปมส่งจำนวนมาก เว็บไซต์ของผมไม่มีแม้แต่บล็อกด้วยซ้ำ
เว็บไซต์ของผมมีดาวน์โหลดซอฟต์แวร์ Windows อยู่บ้าง และบางครั้งก็ได้รับอีเมลข้อเสนอให้บันเดิลตัวติดตั้งที่ดูน่าสงสัยด้วย
ส่วนใหญ่เป็นบริการ พร็อกซีแบบที่อยู่อาศัย ที่พยายามขายการเข้าถึงการเชื่อมต่ออินเทอร์เน็ตของผู้ใช้
ใส่บริบทมามากเสียจนดูเหมือนคนจริง ๆ สุดท้ายทำให้เสียเวลาไปมาก และพูดตรง ๆ ก็ค่อนข้างทำร้ายความรู้สึก
เราใช้เวลามากในการแบ่งปันทรัพยากร แต่การเชื่อมต่อปลอม ๆ แบบนี้ทำให้รู้สึกต่อต้านมาก
ช่วงหลังมีอีเมลแนว “รายชื่อผู้เข้าชิงรางวัล” ที่เขียนด้วย AI และใส่บริบทเชิงลึกหลั่งไหลเข้ามา
แนวประมาณว่าจ่ายเงินง่าย ๆ หนึ่งครั้งก็จะได้รับการพิจารณาเป็นผู้เข้าชิงรางวัล
แต่พวกเขามักลืมปรับหัวข้อว่าเราไม่ได้ทำบริการความปลอดภัยซอฟต์แวร์ แต่ทำเรื่อง เว็บสแครปปิง
AI น่าจะฆ่าการสื่อสารทางอีเมลระหว่างคนแปลกหน้าลง
มันเหนื่อยมากขึ้นเรื่อย ๆ
ตำแหน่งท้ายอีเมลตลกดี
“หัวข้อ: ผมพบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของคุณ
สวัสดีทีมงาน
ผมคือ Harris นักวิจัยด้านความปลอดภัย และได้พบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของคุณนอกโปรแกรม bug bounty
ผมสามารถเปิดเผยช่องโหว่ทั้งหมดที่พบ รวมถึงวิธีแก้ไขที่เหมาะสม เพื่อทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น
บริษัทที่ผมเคยช่วยเหลือล้วนใจกว้างเสมอ และให้รางวัลเป็นจำนวนเงินที่พวกเขาเห็นว่าเหมาะสมกับปัญหาที่ผมพบ หากคุณเห็นคุณค่าในความช่วยเหลือของผม ผมยินดีรับโบนัสผ่าน PayPal, Bitcoin, Payoneer หรือการโอนเงินผ่านธนาคาร
รอคำตอบเชิงบวกจากคุณ
ขอบคุณครับ
Harris A
Certified Ethical Hacker”
ผู้ให้บริการ TOR รู้ถึงความเสี่ยงของการแชร์การเชื่อมต่อ โดยเฉพาะความเสี่ยงที่พวกใคร่เด็กจะใช้บริการนั้นแชร์ CSAM
แต่คนทั่วไปไม่รู้
ไม่รู้เลยจนกระทั่งวันหนึ่งถูกจับ
ผมเองก็ได้รับอีเมลแบบนี้ แต่เพราะผมดูแลไซต์ WordPress อยู่ จึงมั่นใจว่าพวกเขาฟิงเกอร์พรินต์เว็บไซต์แล้วส่งเมลเฉพาะไซต์ WordPress
ดังนั้นในรายการสิ่งที่ต้องทำจึงมีการตรวจสอบว่าสามารถซ่อนฟิงเกอร์พรินต์ของ WordPress ได้หรือไม่
แต่พอเห็นพูดแบบนี้ ก็ชัดเจนว่าคงไม่ค่อยมีผล
ย้อนคิดดูแล้วก็น่าจะรู้ได้ว่าสแปมเมอร์พวกนี้คงหว่านส่งให้ทุกคนอยู่แล้ว
ปัญหาพื้นฐานตรงนี้คือไม่มีวิธี สร้างรายได้อย่างถูกต้องตามกฎหมาย จากส่วนขยายเบราว์เซอร์
ส่วนขยายถูกออกแบบมาให้เรียบง่าย จึงขายฟีเจอร์พรีเมียมได้ยาก และโดยทั่วไปก็ไม่มีพื้นที่ของตัวเองให้ใส่โฆษณา
https://developer.chrome.com/docs/webstore/money/
“ตลอด 11 ปีนับตั้งแต่เปิดตัว Chrome Web Store เว็บได้พัฒนาไปอย่างมาก ในตอนนั้น เราต้องการมอบวิธีให้ผู้พัฒนาสร้างรายได้จากรายการใน Web Store แต่หลังจากนั้นระบบนิเวศก็เติบโตขึ้น และตอนนี้ผู้พัฒนามีตัวเลือกการประมวลผลการชำระเงินให้ใช้มากมายแล้ว”
ผู้ไม่หวังดีที่ส่งอีเมลแบบนี้ยินดีจ่ายเงินให้กับคุณค่าที่ข้อมูลผู้ใช้มอบให้พวกเขา
ตัวเลขสองตัวนี้ไม่ได้เกี่ยวข้องกันเลย และบ่อยครั้ง มูลค่าของข้อมูลผู้ใช้ สูงกว่ามูลค่าของฟีเจอร์ส่วนขยายมาก
ไม่มีทางแก้ปัญหานี้ด้วยการสร้างรายได้
เพราะลูกค้าที่เป็นไปได้สองกลุ่มนี้ไม่ได้ซื้อผลิตภัณฑ์เดียวกัน
ส่วนขยายส่วนใหญ่เรียบง่าย และจริง ๆ แล้วไม่จำเป็นต้องอัปเดต
แต่กลไกการอัปเดตกลับเป็นแบบอัตโนมัติเต็มรูปแบบเงียบ ๆ และไม่มีการย้อนกลับ
แม้แต่ Steam ก็ยังนึกไม่ออกว่ามีการอัปเดตที่รุกหนักขนาดนี้
ผมทำ API สำหรับไลเซนส์ซอฟต์แวร์อยู่ และมีลูกค้าส่วนขยายเบราว์เซอร์ที่มีฐานผู้ใช้ค่อนข้างดีอยู่ไม่น้อย
เช่นเดียวกับช่องทางจัดจำหน่ายอื่น ๆ โอกาสในการสร้างรายได้ นั้นมีอยู่
ข้อเสนอนี้ดูไม่มีพิษภัย และอาจดูเหมือนมีประโยชน์ด้วยซ้ำ เลยน่าสนใจ
เขาบอกว่าเป็นการมอนิเตอร์ข้อผิดพลาด DNS แล้วผมพลาดอะไรไปกันแน่
“คุณน่าจะได้รับข้อเสนอทางธุรกิจอยู่บ่อย ๆ ดังนั้นผมจะเข้าประเด็นเลย สิ่งที่ผมเสนอนั้นต่างออกไปเล็กน้อย และหวังว่าอาจจะน่าสนใจจริง ๆ Hover Zoom+ น่าจะเป็นทางเลือกที่ยอดเยี่ยมแทนพี่ใหญ่ของมันอย่าง Hover Zoom ซึ่งเสน่ห์ลดลงไปในช่วงไม่กี่เดือนที่ผ่านมา
เรากำลังทำงานวิจัยเกี่ยวกับข้อผิดพลาด DNS และสนใจข้อมูลนิรนามปริมาณเล็กน้อยที่อาจส่งผ่านส่วนขยาย Chrome ของคุณได้ งานวิจัยของเราดำเนินมาหลายปีแล้ว และ Google ก็ไม่เคยมีปัญหากับเรื่องนี้
ข้อมูลที่เราสนใจโดยพื้นฐานมีแค่ข้อผิดพลาด DNS เท่านั้น:
มีแค่นี้ครับ คุณจะใช้สคริปต์ของเราก็ได้ หรือจะเก็บข้อมูลเองแล้วส่งมาให้เราผ่าน FTP server, API ฯลฯ ก็ได้ มีหลายวิธี เราจ่ายเป็นรายเดือน และจำนวนเงินจะขึ้นอยู่กับ GEO ของผู้ใช้ แต่น่าจะอยู่ในระดับหลายพันดอลลาร์ต่อปี
คุ้มไหมที่จะคุยกันสั้น ๆ? รอฟังคำตอบครับ
เมื่อไม่นานมานี้เราได้ติดต่อไปเกี่ยวกับงานวิจัยข้อผิดพลาด DNS ที่บริษัทของเรากำลังดำเนินการอยู่ Hover Zoom+ น่าจะเป็นสื่อที่เหมาะอย่างยิ่งสำหรับงานวิจัยของเรา และแลกกับสิ่งนั้น มันอาจกลายเป็นแหล่งรายได้ใหม่ที่มั่นคงสำหรับคุณ
แนวทางของเราดำเนินมาหลายปีแล้ว และไม่เคยมีปัญหากับ Google เราจ่ายเป็นประจำทุกเดือน สำหรับคุณน่าจะอยู่ในระดับหลายหมื่นดอลลาร์ต่อปี โดยจำนวนเงินขึ้นอยู่กับฐานผู้ใช้และคุณภาพของข้อมูล
ถ้าคุณกังวลเรื่องการใส่สคริปต์ของบุคคลที่สาม ก็ยังมีอีกหลายวิธีที่จะทำให้เรื่องนี้เกิดขึ้นได้
โปรดบอกเราว่าคุ้มไหมที่จะคุยกันสั้น ๆ”
เช่น โดเมนที่คนพิมพ์ผิดบ่อย ๆ
ไม่ได้ผิดกฎอะไร แต่ก็ยังดูน่าสงสัยนิดหน่อย
คือดูว่าโดเมนไหนที่ผู้ใช้พิมพ์ผิดบ่อยจนได้รับคำตอบ NX แล้วจดโดเมนนั้นไว้เพื่อแสดงโฆษณาหรือทำฟิชชิง ฯลฯ
ดังนั้น แม้ในกรณีที่ดีที่สุดก็น่าจะมีผลประโยชน์ทางธุรกิจบางอย่าง และในกรณีที่แย่ที่สุดก็อาจเป็นพฤติกรรมที่เป็นอันตรายต่อผู้ใช้
การเขียนสคริปต์ที่ภายนอกดูเหมือนทำอย่างหนึ่ง แต่แอบขนส่งข้อมูลอื่นไปด้วยนั้นไม่ใช่เรื่องยาก
เช่น การเขียน ฟังก์ชันแฮช แย่ ๆ น่ะหรือ? ง่ายเหมือนปอกกล้วยเข้าปาก
ต้องตามความชันของ ATP เสมอ
ถ้าส่วนขยายที่มีผู้ใช้ประมาณ 300,000 คน ยังได้รับข้อเสนอเชิงรุกมากขนาดนี้ ก็ชวนสงสัยว่าส่วนขยายที่ไปถึงผู้ใช้หลายล้านคนจะถูกถาโถมด้วยข้อเสนอหนักแค่ไหน
อินเซนทีฟของระบบนิเวศส่วนขยายดูบิดเบี้ยวไปหมด
กล่องอีเมลทางการของ Ruffle ก็เต็มไปด้วยข้อเสนอแบบนี้เหมือนกัน
จำนวนเงินที่เสนอให้กับส่วนขยายที่ฟรีและเป็นซอฟต์แวร์เสรีนั้นสูงมาก จนผมคิดได้อย่างเดียวว่าผู้ซื้อคงตั้งใจจะใส่มัลแวร์จำนวนมากในระดับที่ไม่ถูก Google หรือ Mozilla[0] บล็อกทันที
โดยส่วนตัวผมคิดว่าไม่ควรอนุญาตให้ โอนกรรมสิทธิ์ส่วนขยาย โดยไม่มีการอนุมัติและตรวจสอบโครงสร้างความเป็นเจ้าของใหม่ล่วงหน้า
รายการลงทะเบียนใหม่ไม่มีรีวิวหรือความน่าเชื่อถือ ดังนั้นการโอนส่วนขยายเดิมควรทำให้ยากกว่าการสร้างส่วนขยายใหม่โดยตั้งใจเสียอีก
ในฐานะคนที่บางครั้งต้องเจอความเจ็บปวดเชิงปฏิบัติจากนโยบายแบบนี้เอง[1] ผมพูดโดยรู้ดีว่าการฝ่าขั้นตอนราชการมันน่ารำคาญแค่ไหน
ตลาดใต้ดินสำหรับซื้อขายส่วนขยายนั้นน่าสงสัยอย่างไม่น่าเชื่อ และปฏิบัติต่อความไว้วางใจของผู้ใช้ง่ายเกินไป
[0] น่าเสียดายที่รายการ AMO ของเราถูกแฟล็กว่าเป็นโค้ดที่สร้างโดยเครื่องอยู่แล้ว เพราะเราใช้ Rust/WASM ดังนั้น Mozilla จะอนุมัติการส่งส่วนขยายได้ก็ต่อเมื่อสามารถสร้าง build ของเราให้เหมือนเดิมได้ระดับ byte-for-byte เท่านั้น
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
นึกถึงแผนสกปรกที่เคยคิดตอนอยู่มัธยมต้น
ไปถึงขั้นตอนที่ 2 แล้วตัดสินใจหยุดแค่นั้น
แยกได้ยากจริง ๆ ว่าพฤติกรรมไหนตั้งใจให้เป็นแบบนั้นหรือไม่
ผมจำได้ว่าเมื่อหลายปีก่อน ตอนเข้าเซิร์ฟเวอร์ ผมพยายามหาปลั๊กอิน motd ที่แค่แสดงข้อความเท่านั้น
เจอปลั๊กอินหนึ่งที่เรียบง่ายพอ แต่กลับ ping กลับบ้านเพื่อตรวจอัปเดต
นักพัฒนาอาจตั้งใจใส่ฟีเจอร์ที่มีประโยชน์ก็ได้ แต่ด้านมองโลกในแง่ร้ายของผมเชื่อว่าเป็นการพยายามเอาที่อยู่ IP ของเซิร์ฟเวอร์ที่รันปลั๊กอินนั้น
ยังมีคำสั่ง debug ที่ไม่ต้องยืนยันตัวตนด้วย และสามารถพิมพ์เนื้อหาของไฟล์ motd ใด ๆ ในโฟลเดอร์ออกมาได้
แต่เพราะไม่ได้ escape สตริงอย่างถูกต้อง จึงใช้
../...ออกจากไดเรกทอรีแล้วพิมพ์ไฟล์ใด ๆ ก็ได้ไม่รู้ว่าผู้เขียนเคยเอาไปใช้โจมตีจริงไหม หรือแค่เป็นเด็กอายุ 14 ใสซื่อที่เขียนปลั๊กอินตัวแรก
ถ้าตั้งใจจะใช้โจมตี ก็ไม่รู้เหมือนกันว่าเขาอยากพิมพ์ไฟล์อะไรออกมา แต่แน่นอนว่ามันน่าสงสัยมาก
หลายคนเคยเข้าถึง WorldEdit, โหมดสร้างสรรค์, คำสั่งผู้ดูแลระบบ ฯลฯ ได้
นอกเหนือจากเซิร์ฟเวอร์อนาธิปไตยเก่า ๆ แล้ว ตอนนี้ชุมชนม็อด Minecraft ก็กำลังเจอกับ การโจมตีซัพพลายเชน หลายครั้ง ช่องโหว่ deserialization และอื่น ๆ