4 คะแนน โดย GN⁺ 2023-08-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้ดูแล Hover Zoom+ เปิดเผยข้อเสนอ การสร้างรายได้·การเข้าซื้อ ส่วนขยายที่ได้รับตั้งแต่ปี 2015 ถึง 2026 และระบุว่าได้ปฏิเสธข้อเสนอเหล่านี้มาโดยตลอดเพื่อไม่ขายผู้ใช้
  • ข้อเสนอมีรูปแบบซ้ำ ๆ คือเปลี่ยน สิทธิ์ของเบราว์เซอร์และฐานผู้ใช้ ให้เป็นเงิน เช่น การขายข้อมูลผู้ใช้แบบไม่ระบุตัวตน การสร้างรายได้จากทราฟฟิกค้นหา การแทรกลิงก์ affiliate การแสดงโฆษณา·คูปอง การติดตั้ง SDK และการเข้าซื้อส่วนขยาย
  • เอกสารข้อเสนอเน้นคำว่า “ไม่ระบุตัวตน”, “ไม่มีข้อมูลส่วนบุคคล”, “ไม่กระทบ UX”, “สอดคล้องกับนโยบายของ Google” แต่ก็ยังต้องการ ข้อมูลพฤติกรรม เช่น DNS error, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream และคำค้นหา
  • ผู้ดูแลอธิบายว่า Hover Zoom+ มีผู้ใช้ประมาณ 400,000 คนในหลายเบราว์เซอร์และทำงานบนทุกหน้า จึงสร้าง พื้นที่โจมตีขนาดใหญ่และโอกาสทำเงินสูง ให้กับผู้ไม่หวังดี
  • ในการถกเถียงในคอมเมนต์ มีการเสนอวิธีลดความเสี่ยงจากส่วนขยายที่ทำได้จริง เช่น ตรวจซอร์สโค้ด ตรวจรายการสิทธิ์ ดูแท็บ privacy practices ใน Chrome Web Store ดูรีวิวล่าสุด ตรวจคำขอเครือข่าย และจำกัด Site Access เป็น “On Click”

ประเด็นปัญหาที่ผู้ดูแลเปิดเผย

  • ผู้ดูแล Hover Zoom+ ระบุว่าได้รับข้อเสนอให้สร้างรายได้จากส่วนขยายจำนวนมากตลอดหลายปี และบอกว่า “เปิดเผยเพื่อความสนุก แต่ไม่ใช่เพื่อผลประโยชน์”
  • เขาอธิบายว่าเหตุผลสำคัญที่สุดที่ยังคงดูแลต่อไปคือ เป็นเรื่องยากที่จะเชื่อได้ ว่าหากมอบให้คนอื่นดูแลแล้วจะไม่ตกหลุมข้อเสนอเหล่านี้
  • เขาบอกว่าตนมีงานที่ค่าตอบแทนดีพออยู่แล้ว จึงสามารถรักษา “เข็มทิศทางศีลธรรม” และเพิกเฉยต่อข้อเสนอได้
  • เขาหวังว่าเธรดนี้จะช่วยให้เห็น แรงกดดันทางการเงิน ที่นักพัฒนาส่วนขยายได้รับ เพราะไม่ใช่นักพัฒนาทุกคนที่จะมีความมั่นคงทางการเงินแบบเดียวกัน

รูปแบบข้อเสนอสร้างรายได้ที่เกิดซ้ำ

  • ข้อเสนอจำนวนมากเข้ามาโดยอ้างฐานผู้ใช้บน Chrome Web Store ของ Hover Zoom+ ว่าสามารถสร้าง “รายได้จำนวนมาก” ได้
  • วิธีที่ปรากฏซ้ำ ๆ มีดังนี้
    • เก็บ ข้อมูลผู้ใช้แบบไม่ระบุตัวตน เพื่อนำไปขายเป็นการทำ ad targeting, market research, business intelligence และ clickstream data
    • เพิ่ม Bing, Yahoo, Google search หรือ search lander/feed เพื่อแบ่งรายได้จากคำค้นหาและการคลิกโฆษณา
    • ใส่ store logo, affiliate link หรือ ลิงก์ “Sponsored” ในผล organic search เพื่อรับค่าคอมมิชชันเมื่อเกิดการซื้อ
    • แทรกรูปแบบโฆษณา เช่น coupon, cashback, PopUnder, in-text, new tab, search injection และ in-image monetization
    • เพิ่ม SDK หรือ JS ไม่กี่บรรทัดเพื่อผสานฟังก์ชันเก็บข้อมูลหรือแสดงโฆษณาเข้าไปในส่วนขยาย
    • เสนอซื้อส่วนขยายเอง หรือโอน Chrome extension ownership โดยไม่ต้องโอนบัญชี Google
  • ข้อเสนอบางส่วนเน้นการสร้างรายได้ที่ผู้ใช้มองเห็นได้ยาก เช่น “soft to hard methods”, “invisible monetization methods”, “does not interfere with UX”

ข้อมูลและจำนวนเงินที่ปรากฏในข้อเสนอ

  • หนึ่งในข้อเสนอปี 2015 ระบุว่าหากไม่สร้างรายได้จาก anonymous user data ก็อาจ “พลาดเงินจำนวนมาก” และกล่าวถึงเครือข่ายโฆษณาที่ได้รับการรับรองจาก NAI และ IAB
  • ข้อเสนอวิจัย DNS error ในปี 2016 ต้องการข้อมูลต่อไปนี้
    • NXD หรือโดเมนที่ผู้ใช้พิมพ์แต่ไม่มีอยู่จริง
    • เวลาที่เกิดเหตุ
    • GEO
    • ID ผู้ใช้แบบสุ่มไม่ซ้ำกัน ซึ่งอ้างว่าสามารถแฮชได้และไม่สามารถติดตามผู้ใช้ได้
  • ข้อเสนอตั้งแต่ปี 2020 เป็นต้นมามีรายการที่เกิดซ้ำ เช่น GEO, ผู้ใช้ที่ใช้งานรายวัน·รายเดือน, การจำแนกความสนใจ, URL, referrer, country, timestamp, browsing behavior, clickstream และ browser history
  • จำนวนเงินที่เสนอแตกต่างกันมาก
    • ข้อเสนอซื้อส่วนขยายปี 2016: $14,500
    • ข้อเสนอผสาน analytics platform ปี 2020: $2,000/เดือน
    • ข้อเสนอสร้างรายได้จากการค้นหาปี 2020: อ้างว่าผู้ใช้ 300,000 คนสามารถทำได้ $9,000 ต่อวัน
    • ข้อเสนอผสาน data marketplace SDK ปี 2021: $30,000/ปี
    • ข้อเสนอข้อมูลปี 2023: สูงสุด $20K/เดือน
    • ข้อเสนอ clickstream data partnership ปี 2024: $30,000~$40,000/เดือน
    • ข้อเสนอซื้อปี 2024: $30,000
    • ข้อเสนอซื้อปี 2025: $0.05~$0.15 ต่อผู้ใช้
  • ข้อเสนอสร้างรายได้แบบสมัครสมาชิกช่วงปลายปี 2024 ยกตัวอย่างจากฐานผู้ใช้ 400,000+ คน โดยสมมติ conversion 5% ว่า หากคิด $0.99/เดือน จะได้ราว $19,800/เดือน, $4.99/เดือน จะได้ราว $99,800/เดือน และ $9.99/เดือน จะได้ราว $199,800/เดือน

การตอบสนองและเกณฑ์ตัดสินใจของผู้ดูแล

  • เมื่อถูกถามว่าทำไมไม่เปิดเผยชื่อบริษัท เขาตอบว่าบางบริษัทอาจมั่งคั่งและดำเนินงานอย่างถูกกฎหมาย และเขาไม่ต้องการรับความเสี่ยงจากการถูกฟ้องร้อง
  • เขาอธิบายว่าโฆษณาแบบป๊อปอัปผู้ใช้จะสังเกตเห็นและปิดใช้ส่วนขยายที่เป็นต้นเหตุได้ง่าย แต่ วิธีที่แอบแฝง อาจคงอยู่ได้นาน
  • เกี่ยวกับ telemetry ผู้ดูแลกล่าวว่าในมุมผู้ใช้ต้องหาสมดุลระหว่างประโยชน์ใช้งานกับความล่วงล้ำของการติดตาม แต่ในมุมนักพัฒนา การไม่ใส่การติดตามเลยทำให้เข้าถึงผู้ใช้ได้กว้างที่สุดและหลีกเลี่ยงการถกเถียงเรื่องระดับการทำให้ไม่ระบุตัวตน
  • ต่อข้อสังเกตว่าชื่อ Hover Zoom+ อาจถูกสับสนกับ Hover Zoom ที่เคยมีประเด็นมัลแวร์ในอดีต เขาตอบว่าเป้าหมายไม่ใช่การได้ผู้ใช้ทุกคน และมีคนมากกว่า 300,000 คนที่เห็นคุณค่าอยู่แล้ว อีกทั้งเป็นส่วนขยายฟรี·ไม่มีรายได้ จึงจะไม่เสียเวลาเปลี่ยนชื่อหรือพิสูจน์เพิ่มเติม
  • ในคอมเมนต์ปี 2023 ผู้ดูแลสรุปเหตุผลที่ Hover Zoom+ มีคุณค่าไว้สองข้อ
    • มีผู้ใช้ประมาณ 400,000 คน เมื่อรวมทุกเบราว์เซอร์
    • เปิดใช้งานบน ทุกหน้า ไม่ใช่เฉพาะบางไซต์
  • เขาอธิบายว่าสองปัจจัยนี้เมื่อรวมกันจะสร้างพื้นที่โจมตีที่มีศักยภาพสูงต่อผู้ใช้ปลายทาง และหมายถึงรายได้ที่อาจสูงมากสำหรับผู้ไม่หวังดี

สัญญาณอันตรายสำหรับผู้ใช้และนักพัฒนา

  • คอมเมนต์หนึ่งชี้ว่า หลังส่วนขยายถูกซื้อ เวอร์ชันถัดไปอาจถูกใส่ adware หรือ botnet script และอาจทำงานได้โดยไม่ต้องมีป๊อปอัปขอสิทธิ์เพิ่ม เพราะมีสิทธิ์เดิมอยู่แล้ว
  • อีกคอมเมนต์อธิบายว่าข้อเสนอข้อมูลบางรายการอาจเชื่อมโยงกับการขายข้อมูลผู้ใช้เพื่อวัตถุประสงค์ด้าน AdTech/RTB และลิงก์ไปยังข้อมูล adtech ของ Privacy International
  • สำหรับข้อเสนอที่ต้องการข้อมูล DNS error คอมเมนต์หนึ่งตีความว่าอาจมีเจตนายึดโดเมนที่เป็นการพิมพ์ผิดทั่วไปหรือโดเมนหมดอายุ เพื่อดักเส้นทางการใช้งานของผู้ใช้
  • คอมเมนต์ที่กล่าวถึงกรณี The Great Suspender ชี้ว่าบางดีลไม่ได้มุ่งติดตั้ง SDK แต่มุ่งโอน repository หรือความเป็นเจ้าของส่วนขยาย
  • หนึ่งในข้อเสนอปี 2026 กล่าวถึงสิทธิ์ของ you.com, การอ่านเนื้อหาหน้าเว็บ, การจับ keystroke, การส่งไปยังเซิร์ฟเวอร์ภายนอก, การเข้าถึง session cookie และรูปแบบการเก็บ browsing history แต่บันทึกของผู้ดูแลเสริมว่า Hover Zoom+ ไม่ได้ทำพฤติกรรมเช่นนั้น และสิ่งนี้แสดงให้เห็นว่าบริษัทนั้นอยากได้ข้อมูลแบบใด

วิธีตรวจสอบว่าส่วนขยายถูกนำไปสร้างรายได้หรือไม่

  • ผู้ดูแลกล่าวว่าวิธีที่น่าเชื่อถือที่สุดคือ อ่านซอร์สโค้ด
  • สัญญาณตรวจสอบอื่น ๆ ที่เสนอมีดังนี้
    • ตรวจในแท็บ privacy practices ของ Chrome Web Store ว่านักพัฒนาเปิดเผยหรือไม่ว่าไม่ได้เก็บหรือใช้ข้อมูล
    • ตรวจว่ามี public source หรือไม่
    • ตรวจว่ารายการสิทธิ์ของส่วนขยายขอสิทธิ์ที่น่าสงสัยและไม่สอดคล้องกับฟังก์ชันหรือไม่
    • ตรวจรีวิวผู้ใช้ล่าสุดว่ามีรูปแบบการร้องเรียนซ้ำ ๆ เกี่ยวกับพฤติกรรมหรือไม่
    • ใช้การประเมินความเสี่ยงจากไซต์อย่าง chrome-stats เป็นข้อมูลอ้างอิง
  • ผู้ดูแลเสริมว่าสัญญาณเหล่านี้ทั้งหมดสามารถถูกปลอมแปลงได้ จึงใกล้เคียงกับ การตรวจพบปัญหา มากกว่าการ “พิสูจน์ความบริสุทธิ์”
  • อีกคอมเมนต์เสนอว่า เนื่องจากการอ่านซอร์สอาจยากเพราะเครื่องมืออย่าง Webpack การตรวจ คำขอเครือข่าย ที่ส่วนขยายสร้างขึ้นอาจง่ายกว่า
  • คอมเมนต์เดียวกันยังอธิบายให้ตรวจคำขอจาก background หรือ service worker ด้วย และระบุว่าส่วนขยายจำนวนมากทำงานบนทุกหน้าเกินความจำเป็น จึงควรจำกัด Site Access ของ Chrome เป็น “On Click”

ปฏิกิริยาของชุมชนและการถกเถียงต่อเนื่อง

  • คอมเมนต์หลายรายการสนับสนุนผู้ดูแลที่ไม่ขายผู้ใช้และเปิดเผยข้อเสนอเหล่านี้
  • ผู้ใช้คนหนึ่งกล่าวว่าผู้ใช้และนักพัฒนาส่วนขยายจำเป็นต้องตระหนักถึงแนวปฏิบัติแบบนี้มากขึ้น
  • ผู้ดูแลตอบว่าสถานการณ์รอบส่วนขยายอันตรายนั้นเลวร้ายพออยู่แล้ว และควรมีคนรับรู้มากขึ้น
  • ต่อคอมเมนต์ที่บอกว่าเรื่องนี้ถูกนำขึ้น Hacker News ผู้ดูแลกล่าวว่าหวังว่าจะช่วยสร้างแรงบันดาลใจให้นักพัฒนาคนอื่น ๆ “ยืนหยัด”
  • นักพัฒนาส่วนขยายรายหนึ่งกล่าวว่าตนมีผู้ใช้ 170,000 คนและได้รับข้อเสนอคล้ายกันมากมายเช่นกัน แม้จะยั่วยวนในฐานะนักศึกษามหาวิทยาลัยที่ยากจน แต่เขาเลือกสร้างรายได้ด้วยวิธีอื่นที่ไม่ล่วงล้ำผู้ใช้

1 ความคิดเห็น

 
GN⁺ 2023-08-10
ความคิดเห็นบน Hacker News
  • ChatGPT for Google เคยขึ้นอันดับ 1 บน HN เมื่อต้นปีนี้ แต่ตอนนี้ดูที่ GitHub repository แล้ว ส่วนขยายนั้นถูก ขายไปแล้ว
    ผมเองก็เคยมีส่วนขยายไซด์โปรเจกต์ฟรีที่มีการติดตั้งประมาณ 25,000 ครั้ง และได้รับการติดต่อมาไม่น้อยว่า “จะช่วยทำเงินให้”
    เลยรู้สึกว่าน่าจะคุ้มที่จะรวบรวมเส้นทางทำเงินชวนไม่สบายใจสารพัดแบบไว้: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • ข้อเสนอที่น่าทึ่งที่สุดที่เคยเห็นในฝั่งแอปมือถือคือให้ เปิดไมโครโฟน ของผู้ใช้ เพื่อฟังเสียงโฆษณาทีวีรอบตัว แล้วติดตามว่าออฟไลน์ผู้ใช้เห็นโฆษณาอะไรบ้าง
      วงการเทคโนโลยีโฆษณาโดยรวมเป็นวงการที่น่าขยะแขยงจริง ๆ
    • ถ้าได้รับข้อเสนอ 11,000 ดอลลาร์ สำหรับส่วนขยาย ก็น่าจะปฏิเสธได้ยากพอสมควร
      เงินก้อนนั้นทำให้ปัญหาเงินดาวน์บ้านเล็กลงมาก
      การคิดไว้ก่อนว่าเส้นจริยธรรมของตัวเองอยู่ตรงไหนเป็นเรื่องดีเสมอ
    • ไม่แปลกใจเลย เพราะอีเมลฉบับหนึ่งที่ผมได้รับ ตรงกันทุกตัว กับข้อความในบทความที่ลิงก์ไว้ ยกเว้นแค่ชื่อส่วนขยาย
      ข้อเสนอขยะพวกนี้จำนวนมากต้องถูกทำให้เป็นอัตโนมัติแน่ ๆ
      “ผมเป็นแฟนของ [extension name] และชอบมากว่ามันสะดวกและมีประโยชน์แค่ไหน
      คุณเคยพิจารณาเปิดพื้นที่โปรโมตให้คนที่อยากโฆษณาผลิตภัณฑ์ของตัวเองในส่วนขยายไหมครับ? ผมอยากโปรโมตส่วนขยายของผมใน [extension name] และอยากพูดคุยถึงความเป็นไปได้นี้
      ถ้าสนใจโปรดแจ้งให้ทราบครับ” ประมาณนี้
  • เผื่อทราบไว้ ส่วนขยาย JSON Formatter [0] ที่บางคนในนี้น่าจะใช้อยู่ เป็นของผมเอง
    ผมทำขึ้นและเปิดเป็นโอเพนซอร์สเมื่อ 12 ปีก่อน ดูแลรักษามาจนถึงตอนนี้ และ [1] ปัจจุบันมีผู้ใช้ 2 ล้านคน
    ผมขอสาบานอย่างจริงจังว่าจะไม่มีวันเพิ่มโค้ดที่ส่งข้อมูลใด ๆ ไปที่ไหนทั้งสิ้น และจะไม่ส่งต่อให้คนที่จะทำแบบนั้นด้วย
    ผมเคยได้รับข้อเสนอเงินสดที่ชวนหวั่นไหวหลายครั้งจากคนต้องสงสัยที่ดูเหมือนต้องการขโมยข้อมูลของทุกคน หรือทำสิ่งที่แย่กว่านั้น
    บางครั้งก็คิดว่าไม่น่าใส่ชื่อผมไว้เลย เพราะถ้าเป็นแบบนั้นอาจรับเงินได้โดยไม่ทำลายชื่อเสียง
    แต่ในเมื่อใส่ชื่อไว้แล้ว ก็มีแต่ต้องรักษาเกียรติไว้ อย่างน้อยข้อดีก็คือผมพูดได้เสมอว่าผมไม่เคยขายมันออกไป
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] พูดตามตรง ผมแทบไม่ได้ลงแรงอะไรมากนัก

    • เมื่อก่อนเคยมีส่วนขยายหนึ่งที่ผมสัญญาว่าจะไม่ขายเด็ดขาด และจะไม่อัปเดตหลังจากรีลีสแรกด้วย
      เพราะมันมีแค่บรรทัดเดียว จึงไม่มีอะไรให้เปลี่ยนเลย
      แต่ Chrome Web Store ถอดมันออกหลังผ่านไปกว่า 5 ปี น่าจะเพราะผมไม่เคยปล่อยอัปเดตเลย ทำให้ช่องกรอกข้อมูลที่ภายหลังกลายเป็นข้อบังคับยังว่างอยู่
    • ถ้าข้อเสนอเงินสดแปรผันตามจำนวนผู้ใช้แบบเส้นตรง ส่วนขยายนั้นคงเย้ายวนใจมากจริง ๆ
      น่านับถือที่ไม่ขายมันออกไป
      สงสัยว่าเคยคิดจะเริ่ม เปิดเผยข้อเสนอซื้อกิจการ แบบที่ผมทำอยู่หรือเปล่า
    • เรื่องนี้รู้สึกแปลกมากจริง ๆ
      เห็นได้ชัดว่ากำลังสร้างคุณค่าให้โลก และตามหลักศีลธรรมของผม คุณควรมีสิทธิ์ดึงคุณค่าส่วนหนึ่งกลับมาได้โดยไม่ต้องทำอะไรน่าสงสัย
      ผมเป็นผู้ก่อตั้ง Streak และเราทำเงินจากส่วนขยายของเราโดยตรง เหมือนกับที่อื่น ๆ อย่าง Grammarly
      สงสัยว่าเคยลองขอให้ผู้ใช้จ่ายเงินโดยตรงสำหรับแรงที่ลงไปหรือยัง
    • ในฐานะคนที่ใช้ส่วนขยายนั้นทุกวัน ผมซาบซึ้งกับความมุ่งมั่นอย่างแรงกล้าจริง ๆ
      ในอุตสาหกรรมนี้ ดูเหมือนว่าการรักษา จริยธรรมที่เข้มแข็ง จะยากขึ้นทุกวัน
    • สงสัยว่าถ้าส่วนขยายที่ผมใช้อยู่ถูกขายไป จะมีการถามตอนสิทธิ์การเข้าถึงเปลี่ยนไหม
      หรือแค่แอบยัดเข้ามาเงียบ ๆ ก็ไม่รู้
      อย่างน้อยก็อยากเห็นป๊อปอัปแจ้งเตือนที่เป็นสัญญาณอันตรายบ้าง
  • ผมเป็นผู้ดูแล
    ส่วนขยายของผมแทบจะทำเงินไม่ได้จริง ๆ ดังนั้นไม่ว่าจะได้รับข้อเสนอแบบไหน ก็ต้องมี การเสียสละทางศีลธรรม ในระดับหนึ่ง
    ข้อเสนอที่รุกล้ำน้อยที่สุดเท่าที่เคยเห็นมาคือให้ใส่ลิงก์แลกเปลี่ยนไปยังส่วนขยายอื่นในส่วนขยายของผม คล้ายกับที่ DarkReader ทำบนเว็บไซต์ของตัวเอง
    แม้จะไม่ได้ละเมิดข้อมูลผู้ใช้ แต่เหตุผลที่ผมไม่ทำคือมันเท่ากับการรับรองส่วนขยายอื่นทางอ้อม และผมควบคุมไม่ได้ว่าพวกเขาจัดการข้อมูลผู้ใช้อย่างไร

    • สิ่งที่คุณทำอยู่น่านับถือจริง ๆ
      ถ้ามันใหญ่ขึ้น ก็จะช่วยหักล้างความเชื่อทั่วไปที่แม้ไม่ค่อยมีใครพูดออกมาว่า “สุดท้ายทุกคนก็ขายหมด” ได้
    • ขอบคุณที่พูดอย่างโปร่งใส
      ตอนนี้ผมไม่ได้ใช้ Chrome แล้ว แต่เมื่อก่อนชอบ Hover Zoom+ มากจริง ๆ และภรรยาผมก็ยังใช้อยู่
      เป็นส่วนขยายที่ยอดเยี่ยม และพอได้อ่านคอมเมนต์นี้กับ GitHub issue ที่ลิงก์ไว้แล้วก็ยิ่งสบายใจขึ้น
    • เมื่อก่อนผมชอบ Hover Zoom มาก แต่ไม่แน่ใจว่าเคยมี ข้อถกเถียงเรื่องมัลแวร์ อยู่ช่วงหนึ่งจริงไหม หรือผมสับสนกับปลั๊กอินชื่อคล้ายกัน
      ตอนนั้นผมย้ายไปใช้ imagus แล้วก็ชินกับมัน
      อย่างไรก็ดี ขอบคุณที่ปฏิเสธความพยายามทำเงินเหล่านั้น
  • ผมไม่รู้วิธีแก้ปัญหานี้ แต่รู้จักบริษัทถูกกฎหมายที่น่าเชื่อถืออยู่สองสามแห่ง ซึ่งแม้จะทำเงินจากผู้ใช้ด้วยเงินจริงอยู่แล้ว ก็ยังขายข้อมูลผู้ใช้ในราคาประมาณ 20 ปอนด์ ต่อปี
    ผมไม่มีวันทำแบบนั้นแน่นอน เพราะการละเมิดความเป็นส่วนตัวขัดกับแก่นความเชื่อของผม แต่ก็มีความขัดแย้งที่แก้ไม่ตกอยู่
    ด้านหนึ่ง ผมรู้ว่าผู้ใช้ส่วนใหญ่ยอมขายความเป็นส่วนตัวของตัวเองมากกว่าจะจ่ายเงินแม้แต่เพนนีเดียว
    พวกเขาพร้อมจะกดปุ่ม “ขายข้อมูลของฉัน” มากกว่าปุ่ม “จ่ายเงิน” เสมอ
    ผมพูดได้ว่ารู้เรื่องนี้ เพราะได้พบเจอกับผู้ใช้มามากพอ
    ผู้ใช้จำนวนมากจะโวยวายถ้าไม่ฟรี แต่การส่งมอบข้อมูลส่วนตัวกลับไม่ทำให้พวกเขานอนไม่หลับเลย
    แน่นอนว่าพูดถึงคนส่วนใหญ่โดยรวม
    อีกด้านหนึ่ง ผมก็อยากให้อินเทอร์เน็ตเป็นที่ที่ผู้เล่นไร้จริยธรรมไม่สามารถรุ่งเรืองได้
    ในโลกจริง คนส่วนใหญ่ไม่ได้คาดหวังว่าจะได้อะไรบางอย่างมาฟรี ๆ แล้วทำไมอินเทอร์เน็ตต้องต่างออกไป
    ทำไมทุกคน รวมถึงตัวผมเองด้วย ถึงมักมองหาของฟรีบนอินเทอร์เน็ตอยู่เสมอ
    ที่แย่ที่สุดคือ สุดท้ายแล้วผู้ที่ยอมจ่ายเงินออนไลน์มีแต่ โจรขโมยข้อมูล กับผู้ลงโฆษณา
    ส่วนที่เหลือกำลังยกวิญญาณของตัวเองให้ไป
    นักพัฒนาถูกคาดหวังให้ทำงานฟรีราวกับเป็นหน้าที่ เพื่อให้โครงสร้างทั้งหมดนี้ดำเนินต่อไปได้

    • คุณบอกว่า “ผู้คนพร้อมจะกด ‘ขายข้อมูลของฉัน’ มากกว่า ‘จ่ายเงิน’ เสมอ” แต่เราไม่มีทางรู้ได้ เพราะไม่เคยมี ตัวเลือกที่ชัดเจน แบบนั้นให้จริง ๆ
      ยิ่งไปกว่านั้น คำว่า “ข้อมูล” ก็คลุมเครือสำหรับผู้ใช้ทั่วไป
      กฎระเบียบอย่างใน EU และแคลิฟอร์เนียควรบังคับเรื่องแบบนี้พอดี
      ถ้านำเสนอตัวเลือกว่า “นี่คือข้อมูลที่เรามีเกี่ยวกับคุณ: รวมถึงผลจากการติดตามที่น่าขนลุก a,b,c,d... หากคุณอนุญาตให้เราละเมิดความเป็นส่วนตัวของคุณในหลายรูปแบบ เราจะให้ของกระจุกกระจิกชิ้นนี้ฟรี หรือไม่ก็จ่าย x บาท” จะมีสักกี่คนที่เลือกให้ละเมิดความเป็นส่วนตัว
      อินเทอร์เน็ตส่วนใหญ่ไม่ทางใดก็ทางหนึ่งคือการสื่อสาร
      ในโลกจริง การสื่อสารจำนวนมากก็ได้มาฟรี
      กลับกัน ผมสงสัยว่าทำไมทุกคนถึงตั้งสมมติฐานว่าอินเทอร์เน็ตเป็นแพลตฟอร์มสำหรับรวยขึ้นด้วยการขายของกระจุกกระจิกให้ชนพื้นเมืองที่ไม่รู้เท่าทัน
      บางอย่างอาจเหมาะจะดำเนินการแบบไม่แสวงกำไรมากกว่า
    • วิธีแก้อาจเป็น ส่วนขยายที่เป็นโอเพนซอร์สและผ่านการตรวจสอบแล้ว
      ดูเหมือนว่า Firefox จะมีสิ่งนี้อยู่แล้ว(https://mzl.la/3Acn4DU)
      ผมไม่รู้จักผู้ตรวจสอบสำหรับส่วนขยาย Chrome
      ให้หน่วยงานหรือกลุ่มที่น่าเชื่อถืออย่าง Google หรือ Mozilla ตรวจสอบส่วนขยายและ “รับรอง” ว่าไม่มีมัลแวร์ก็ได้
      นอกจากนี้ ส่วนขยายต้องเป็นโอเพนซอร์ส 100% และต่อให้องค์กรที่น่าเชื่อถือถูกเจาะระบบหรือทำงานไม่ได้ สุดท้ายก็จะถูกเปิดโปงและผู้คนจะเลิกใช้
      แน่นอนว่าไม่สมบูรณ์แบบ
      แอดแวร์อาจถูกซ่อนแม้กระทั่งจากผู้ตรวจสอบ หรือผู้ตรวจสอบอาจถูกเจาะโดยไม่มีใครรู้
      ยิ่งส่วนขยายมีโค้ดซับซ้อนมาก ก็ยิ่งใช้ค่าใช้จ่ายและเวลามาก ทำให้ส่วนขยายยอดนิยมที่ไม่มีปัญหาใด ๆ ก็อาจไม่ได้รับการรับรอง
      การเปลี่ยนแปลงต่าง ๆ ก็ต้องผ่านการตรวจสอบเสมอ ทำให้อัปเดตล่าช้าและถูกยับยั้ง
      ปัญหาสุดท้ายที่อาจมองข้ามได้ง่ายคือ ผู้ตรวจสอบอาจมีอคติในการอนุมัติส่วนขยายบางตัว เช่น ฝั่งที่จ่ายเงิน
      ถ้าโค้ดอ่านยากเกินไปหรืออยู่ท้ายคิวตรวจสอบ ก็อาจไม่ได้รับการอนุมัติ และเกณฑ์ว่า “อ่านยากเกินไป” กับตำแหน่งในคิวนั้นสามารถถูกเงินโน้มน้าวได้ง่าย
      ถึงอย่างนั้น เว็บส่วนขยายก็เป็นซอฟต์แวร์ที่เหมาะต่อการตรวจสอบมากกว่าแอปอื่น ๆ
      เพราะโดยทั่วไปมีขนาดเล็กและเรียบง่ายกว่ามาก ใช้ผู้ใช้ที่จำเป็นจำนวนน้อยกว่า และทำงานในโดเมนที่ได้รับความไว้วางใจสูงมากอย่างการท่องเว็บทั้งหมด รวมถึงธนาคารและไซต์ลับ
      เมื่อเทียบกับแอปมือถือที่ถูก sandbox หรือโปรแกรมโหมดผู้ใช้บนคอมพิวเตอร์ ความเสียหายยังมีอยู่ แต่เล็กกว่ามาก
    • บนอินเทอร์เน็ตไม่มี สิ่งเทียบเท่าเงินสดที่ใช้ง่ายและไม่ระบุตัวตนโดยสมบูรณ์
      เมื่อจ่ายเงินซื้ออะไรสักอย่าง ก็ต้องส่งมอบข้อมูลระบุตัวตนอยู่ดี
      การแลกเปลี่ยนคุณค่านั้นเอียงไปข้างหนึ่งอย่างชัดเจน แต่ถ้าต้องแชร์ทั้งตัวตนและจ่ายเงินเพื่อให้ได้ X ก็เท่ากับเสียทั้งเงินและแชร์ตัวตน
      ถ้าแชร์ตัวตนแล้วได้ X ฟรี อย่างน้อยก็ยังไม่เสียเงิน
    • ตัวเลือกระหว่าง “ขายข้อมูลของฉัน” กับ “จ่ายเงิน” แทบไม่เกิดขึ้นจริง
      ในความเป็นจริง ปกติแล้วเรามักอยู่ระหว่างตัวเลือกที่ว่าจ่ายเงินแล้วก็ยังขายข้อมูล กับใช้ฟรีแล้วขายข้อมูลเยอะมากจริง ๆ
      บริการแบบเสียเงินส่วนใหญ่ก็ระบุไว้ในนโยบายความเป็นส่วนตัว เงื่อนไขการใช้บริการ และสัญญาผู้ใช้เหมือนกันว่าจะขายข้อมูลอย่างไร
      กรณีดีที่สุดก็แค่หวังได้ว่า เพราะกระแสเงินสดไม่ขัดสนเท่าไร จึงอาจเลือกคู่ค้าขายข้อมูลอย่างพิถีพิถันขึ้นเล็กน้อย
      แต่ผลกระทบต่อผู้ใช้กลับมากกว่า
      ตอนนี้พวกเขามีบัตรเครดิต ที่อยู่ ชื่อจริง และหมายเลขโทรศัพท์ และทั้งหมดนี้เสี่ยงต่อการถูกแฮ็กและรั่วไหล
      เพราะการปลอมข้อมูลเหล่านี้ยากกว่าตอนเป็นบัญชีฟรี มูลค่าของข้อมูลที่ถูกรวบรวมจึงสูงกว่า และสิ่งล่อใจก็สูงขึ้นตาม
      อีกทั้งบริการแบบเสียเงินยังมี ระบบสมัครสมาชิกที่เป็นปฏิปักษ์ต่อผู้บริโภค ซึ่งเต็มไปด้วย dark pattern
      ถ้าไม่ชอบแล้วอยากยกเลิกก็ยุ่งยากเกินจำเป็น และแม้แต่ทดลองใช้ฟรีก็ยังขอบัตรเครดิต
      ความโปร่งใสว่าเงินถูกใช้ไปที่ไหนจริง ๆ ก็ต่ำมาก
      บริการจำนวนมากดำเนินงานขาดทุน และค่าบริการจากลูกค้าเป็นเพียงฉากหน้า ส่วนเงินจริงมาจากนักลงทุน
      สำหรับบางบริษัท โมเดลเสียเงินแทบจะเป็นการอำพราง และทางออกจริงอาจเป็นการเก็บข้อมูลอยู่หลายปีแล้วถูกบริษัทรวบรวมข้อมูลซื้อกิจการไป
      อีกฟากหนึ่งก็มีคนที่หลอกจับเหยื่อด้วยราคาที่ปั่นสูงเกินจริงอย่างไร้เหตุผล
      ด้วยเหตุผลเหล่านี้ ตัวเลือกในการจ่ายเงินจึงปนเปื้อนด้วยความไม่ไว้วางใจ ไม่ใช่เพียงเพราะผู้บริโภคขี้เหนียวและมีความรู้สึกว่าตัวเองมีสิทธิ์เท่านั้น
      ความไม่ไว้วางใจสามารถทำให้ตลาดใด ๆ ชะงักงันได้อย่างรวดเร็ว
      ถึงอย่างนั้นก็ไม่ได้โทษอุตสาหกรรมมากนัก
      เหมือนแคลิฟอร์เนียในปี 1848 ยากที่จะโทษคนที่ก้มเก็บทองที่กระจัดกระจายอยู่
      ปัญหาจริงคือไม่มีเครื่องมือ โครงสร้างพื้นฐาน และกรอบกำกับดูแลที่ทำให้ผู้ใช้เห็นและควบคุมได้ว่าข้อมูลของตนถูกใช้อย่างไร
      ถ้าผู้คนอยากขายข้อมูลของตัวเองแทนการจ่ายเงินจริง ๆ ก็ปล่อยให้ทำไป
      แต่ปัจจุบันผู้ใช้ส่วนใหญ่ไม่รู้ว่าข้อมูลใดกันแน่ที่ถูกเก็บ และมันมีมูลค่าเท่าไร
      พวกเขาอยู่ในสภาพที่ไม่สามารถตัดสินใจอย่างมีเหตุผลได้ว่าการซื้อแอป 5 ดอลลาร์ดีกว่าการถูกขุดข้อมูลมูลค่า 20 ดอลลาร์หรือไม่
    • การตัดสินใจที่มีข้อมูลเพียงพอโดยตัวมันเองไม่ได้มีปัญหาใหญ่อะไร
      สิ่งที่น่าหงุดหงิดคือกรณีที่แอปต่าง ๆ ซ่อน การทำเงินจากข้อมูล หรือทำให้เป็นข้อบังคับ หรือไม่เปิดทางให้ใช้บริการได้โดยไม่ยินยอม
      โดยเฉพาะบริการที่แม้แต่จะเลือกไม่เข้าร่วมก็ยังทำไม่ได้ แบบนั้นแย่ที่สุด

ตัวอย่างเช่น ที่ทำงานของผมเพิ่งนำบริการ “The Work Number” ของ Equifax มาใช้ ดังนั้นไม่ว่าผมจะสร้างบัญชีหรือไม่ ข้อมูลของผมก็อยู่ในนั้นแล้ว
ที่แย่กว่านั้นคือ ถ้าผมไม่สร้างบัญชี ก็ยังเปิดช่องให้ใครบางคนพยายามสร้างบัญชีเพื่อรวบรวมข้อมูลเพิ่มเติมโดยไม่เกี่ยวกับความยินยอมของผม
ไม่ว่าผู้คนจะเลือกทำอะไรกับข้อมูลของตัวเอง ผมก็ไม่รู้สึกว่ามีหน้าที่ทางศีลธรรมที่จะต้องยัดเยียดมุมมองของผมให้พวกเขา
ถ้าพวกเขายินยอมจริง ๆ และอยากประหยัดเงิน 20 ดอลลาร์ หรือประหยัดเงินตามมูลค่าที่ข้อมูลนั้นมีในแอป การตัดทางเลือกของพวกเขาออกไปเพียงเพราะผมไม่เห็นด้วยกับวิธีที่พวกเขาจัดการข้อมูลความเป็นส่วนตัว ก็ไม่ได้ต่างจากการบังคับด้วยเหตุผลเดียวกันมากนัก
ความแตกต่างที่สำคัญสำหรับผมคือผมได้ประโยชน์จากตรงนั้นหรือไม่ แต่ถ้าในแต่ละกรณีผู้ใช้มีทางเลือก จริง ๆ แล้วมันก็ไม่สำคัญต่อวิธีที่ผู้ใช้ชั่งน้ำหนักสถานการณ์

  • หากคุณดูแลเว็บไซต์อยู่ ก็จะได้รับอีเมลแบบนี้อยู่เรื่อย ๆ
    “สวัสดีครับ/ค่ะ
    อยากสอบถามว่ารับบทความแขกรับเชิญหรือการแทรกลิงก์ในบทความเดิมหรือไม่ครับ/ค่ะ หากเป็นไปได้ อยากทราบแนวทางและหัวข้อที่สนใจเพิ่มเติม
    ขอบคุณที่สละเวลา รอคำตอบอยู่นะครับ/ค่ะ
    ขอบคุณครับ/ค่ะ”
    แบบนี้ชัดเจนว่าเป็นสแปมส่งจำนวนมาก เว็บไซต์ของผมไม่มีแม้แต่บล็อกด้วยซ้ำ
    เว็บไซต์ของผมมีดาวน์โหลดซอฟต์แวร์ Windows อยู่บ้าง และบางครั้งก็ได้รับอีเมลข้อเสนอให้บันเดิลตัวติดตั้งที่ดูน่าสงสัยด้วย
    ส่วนใหญ่เป็นบริการ พร็อกซีแบบที่อยู่อาศัย ที่พยายามขายการเข้าถึงการเชื่อมต่ออินเทอร์เน็ตของผู้ใช้

    • เราทำบล็อกให้ความรู้สำหรับผลิตภัณฑ์ SaaS มีอีเมลจริงจากผู้อ่านอยู่บ้าง แต่สแปมก็เยอะ และบางส่วนก็ทำมาได้ดีจนน่ากลัว
      ใส่บริบทมามากเสียจนดูเหมือนคนจริง ๆ สุดท้ายทำให้เสียเวลาไปมาก และพูดตรง ๆ ก็ค่อนข้างทำร้ายความรู้สึก
      เราใช้เวลามากในการแบ่งปันทรัพยากร แต่การเชื่อมต่อปลอม ๆ แบบนี้ทำให้รู้สึกต่อต้านมาก
      ช่วงหลังมีอีเมลแนว “รายชื่อผู้เข้าชิงรางวัล” ที่เขียนด้วย AI และใส่บริบทเชิงลึกหลั่งไหลเข้ามา
      แนวประมาณว่าจ่ายเงินง่าย ๆ หนึ่งครั้งก็จะได้รับการพิจารณาเป็นผู้เข้าชิงรางวัล
      แต่พวกเขามักลืมปรับหัวข้อว่าเราไม่ได้ทำบริการความปลอดภัยซอฟต์แวร์ แต่ทำเรื่อง เว็บสแครปปิง
      AI น่าจะฆ่าการสื่อสารทางอีเมลระหว่างคนแปลกหน้าลง
      มันเหนื่อยมากขึ้นเรื่อย ๆ
    • เป็นอีเมลประเภทที่ผมชอบที่สุดในบรรดาอีเมลที่ได้รับหลายรูปแบบประมาณเดือนละครั้ง
      ตำแหน่งท้ายอีเมลตลกดี
      “หัวข้อ: ผมพบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของคุณ
      สวัสดีทีมงาน
      ผมคือ Harris นักวิจัยด้านความปลอดภัย และได้พบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของคุณนอกโปรแกรม bug bounty
      ผมสามารถเปิดเผยช่องโหว่ทั้งหมดที่พบ รวมถึงวิธีแก้ไขที่เหมาะสม เพื่อทำให้เว็บไซต์ของคุณปลอดภัยยิ่งขึ้น
      บริษัทที่ผมเคยช่วยเหลือล้วนใจกว้างเสมอ และให้รางวัลเป็นจำนวนเงินที่พวกเขาเห็นว่าเหมาะสมกับปัญหาที่ผมพบ หากคุณเห็นคุณค่าในความช่วยเหลือของผม ผมยินดีรับโบนัสผ่าน PayPal, Bitcoin, Payoneer หรือการโอนเงินผ่านธนาคาร
      รอคำตอบเชิงบวกจากคุณ
      ขอบคุณครับ
      Harris A
      Certified Ethical Hacker”
    • สงสัยจริง ๆ ว่าคนพวกนี้คิดอะไรอยู่
      ผู้ให้บริการ TOR รู้ถึงความเสี่ยงของการแชร์การเชื่อมต่อ โดยเฉพาะความเสี่ยงที่พวกใคร่เด็กจะใช้บริการนั้นแชร์ CSAM
      แต่คนทั่วไปไม่รู้
      ไม่รู้เลยจนกระทั่งวันหนึ่งถูกจับ
    • ผมอยากทิ้งแท็กติดต่อที่ใช้งานได้ไว้บนเว็บไซต์ แต่ถ้าทำอย่างนั้น ดูเหมือนว่าจะมีสแปมแบบนี้หรือข้อเสนอจากกลุ่มนักพัฒนาเว็บสุ่ม ๆ ที่จะมา “ปรับปรุง” เว็บไซต์เรียบง่ายตรงไปตรงมาของผมถาโถมเข้ามาอย่างมหาศาล
    • เรื่องนี้ช่วยลดงานที่ต้องทำไปหนึ่งอย่าง
      ผมเองก็ได้รับอีเมลแบบนี้ แต่เพราะผมดูแลไซต์ WordPress อยู่ จึงมั่นใจว่าพวกเขาฟิงเกอร์พรินต์เว็บไซต์แล้วส่งเมลเฉพาะไซต์ WordPress
      ดังนั้นในรายการสิ่งที่ต้องทำจึงมีการตรวจสอบว่าสามารถซ่อนฟิงเกอร์พรินต์ของ WordPress ได้หรือไม่
      แต่พอเห็นพูดแบบนี้ ก็ชัดเจนว่าคงไม่ค่อยมีผล
      ย้อนคิดดูแล้วก็น่าจะรู้ได้ว่าสแปมเมอร์พวกนี้คงหว่านส่งให้ทุกคนอยู่แล้ว
  • ปัญหาพื้นฐานตรงนี้คือไม่มีวิธี สร้างรายได้อย่างถูกต้องตามกฎหมาย จากส่วนขยายเบราว์เซอร์
    ส่วนขยายถูกออกแบบมาให้เรียบง่าย จึงขายฟีเจอร์พรีเมียมได้ยาก และโดยทั่วไปก็ไม่มีพื้นที่ของตัวเองให้ใส่โฆษณา

    • เมื่อก่อนเคยมีวิธีอยู่
      https://developer.chrome.com/docs/webstore/money/
      “ตลอด 11 ปีนับตั้งแต่เปิดตัว Chrome Web Store เว็บได้พัฒนาไปอย่างมาก ในตอนนั้น เราต้องการมอบวิธีให้ผู้พัฒนาสร้างรายได้จากรายการใน Web Store แต่หลังจากนั้นระบบนิเวศก็เติบโตขึ้น และตอนนี้ผู้พัฒนามีตัวเลือกการประมวลผลการชำระเงินให้ใช้มากมายแล้ว”
    • ตามทฤษฎีแล้ว ผู้ใช้ส่วนขยายอาจเต็มใจจ่ายเงินให้กับคุณค่าที่ส่วนขยายนั้นมอบให้
      ผู้ไม่หวังดีที่ส่งอีเมลแบบนี้ยินดีจ่ายเงินให้กับคุณค่าที่ข้อมูลผู้ใช้มอบให้พวกเขา
      ตัวเลขสองตัวนี้ไม่ได้เกี่ยวข้องกันเลย และบ่อยครั้ง มูลค่าของข้อมูลผู้ใช้ สูงกว่ามูลค่าของฟีเจอร์ส่วนขยายมาก
      ไม่มีทางแก้ปัญหานี้ด้วยการสร้างรายได้
      เพราะลูกค้าที่เป็นไปได้สองกลุ่มนี้ไม่ได้ซื้อผลิตภัณฑ์เดียวกัน
    • สงสัยว่ามีใครเชื่อไหมว่าถ้ามีวิธีสร้างรายได้จากส่วนขยาย ผู้พัฒนาก็คงไม่ถูก โจรขโมยข้อมูล เข้าหา
    • ถ้าผู้ใช้สามารถปิดการอัปเดตส่วนขยาย หรือจำเป็นต้องยินยอมอย่างชัดเจนต่อการอัปเดตได้ อย่างน้อยก็น่าจะทำให้การโจมตีแบบนี้ยากขึ้น
      ส่วนขยายส่วนใหญ่เรียบง่าย และจริง ๆ แล้วไม่จำเป็นต้องอัปเดต
      แต่กลไกการอัปเดตกลับเป็นแบบอัตโนมัติเต็มรูปแบบเงียบ ๆ และไม่มีการย้อนกลับ
      แม้แต่ Steam ก็ยังนึกไม่ออกว่ามีการอัปเดตที่รุกหนักขนาดนี้
    • ผมไม่ได้คิดว่าจำเป็นต้องเป็นอย่างนั้น
      ผมทำ API สำหรับไลเซนส์ซอฟต์แวร์อยู่ และมีลูกค้าส่วนขยายเบราว์เซอร์ที่มีฐานผู้ใช้ค่อนข้างดีอยู่ไม่น้อย
      เช่นเดียวกับช่องทางจัดจำหน่ายอื่น ๆ โอกาสในการสร้างรายได้ นั้นมีอยู่
  • ข้อเสนอนี้ดูไม่มีพิษภัย และอาจดูเหมือนมีประโยชน์ด้วยซ้ำ เลยน่าสนใจ
    เขาบอกว่าเป็นการมอนิเตอร์ข้อผิดพลาด DNS แล้วผมพลาดอะไรไปกันแน่
    “คุณน่าจะได้รับข้อเสนอทางธุรกิจอยู่บ่อย ๆ ดังนั้นผมจะเข้าประเด็นเลย สิ่งที่ผมเสนอนั้นต่างออกไปเล็กน้อย และหวังว่าอาจจะน่าสนใจจริง ๆ Hover Zoom+ น่าจะเป็นทางเลือกที่ยอดเยี่ยมแทนพี่ใหญ่ของมันอย่าง Hover Zoom ซึ่งเสน่ห์ลดลงไปในช่วงไม่กี่เดือนที่ผ่านมา
    เรากำลังทำงานวิจัยเกี่ยวกับข้อผิดพลาด DNS และสนใจข้อมูลนิรนามปริมาณเล็กน้อยที่อาจส่งผ่านส่วนขยาย Chrome ของคุณได้ งานวิจัยของเราดำเนินมาหลายปีแล้ว และ Google ก็ไม่เคยมีปัญหากับเรื่องนี้

    • เข้ากันได้กับนโยบายอันเข้มงวดของ Google
    • ไม่มีข้อมูลผู้ใช้ส่วนบุคคล
    • ไม่มีโฆษณา ไม่มีมัลแวร์
      ข้อมูลที่เราสนใจโดยพื้นฐานมีแค่ข้อผิดพลาด DNS เท่านั้น:
    • NXD – โดเมนที่ไม่มีอยู่จริง - โดเมนที่ผู้ใช้พิมพ์แล้วทำให้เกิดข้อผิดพลาด DNS
    • ไทม์สแตมป์ – เวลาที่เกิดเหตุการณ์
    • GEO – ตำแหน่งที่เกิดเหตุการณ์ (USA, UK, RU ฯลฯ)
    • ID ผู้ใช้ที่ไม่ซ้ำกันซึ่งสร้างแบบสุ่ม (สามารถแฮชได้ และย้อนกลับไปหาผู้ใช้ไม่ได้) โปรดอย่าสับสนกับที่อยู่ IP ของผู้ใช้
      มีแค่นี้ครับ คุณจะใช้สคริปต์ของเราก็ได้ หรือจะเก็บข้อมูลเองแล้วส่งมาให้เราผ่าน FTP server, API ฯลฯ ก็ได้ มีหลายวิธี เราจ่ายเป็นรายเดือน และจำนวนเงินจะขึ้นอยู่กับ GEO ของผู้ใช้ แต่น่าจะอยู่ในระดับหลายพันดอลลาร์ต่อปี
      คุ้มไหมที่จะคุยกันสั้น ๆ? รอฟังคำตอบครับ
      เมื่อไม่นานมานี้เราได้ติดต่อไปเกี่ยวกับงานวิจัยข้อผิดพลาด DNS ที่บริษัทของเรากำลังดำเนินการอยู่ Hover Zoom+ น่าจะเป็นสื่อที่เหมาะอย่างยิ่งสำหรับงานวิจัยของเรา และแลกกับสิ่งนั้น มันอาจกลายเป็นแหล่งรายได้ใหม่ที่มั่นคงสำหรับคุณ
      แนวทางของเราดำเนินมาหลายปีแล้ว และไม่เคยมีปัญหากับ Google เราจ่ายเป็นประจำทุกเดือน สำหรับคุณน่าจะอยู่ในระดับหลายหมื่นดอลลาร์ต่อปี โดยจำนวนเงินขึ้นอยู่กับฐานผู้ใช้และคุณภาพของข้อมูล
      ถ้าคุณกังวลเรื่องการใส่สคริปต์ของบุคคลที่สาม ก็ยังมีอีกหลายวิธีที่จะทำให้เรื่องนี้เกิดขึ้นได้
      โปรดบอกเราว่าคุ้มไหมที่จะคุยกันสั้น ๆ”
    • ถ้าให้เดา อาจเป็นการอยากซื้อชื่อโดเมนที่มี query เข้ามาแต่ยังจดทะเบียนได้
      เช่น โดเมนที่คนพิมพ์ผิดบ่อย ๆ
      ไม่ได้ผิดกฎอะไร แต่ก็ยังดูน่าสงสัยนิดหน่อย
    • เป็นงานวิจัยเรื่อง การจดโดเมนดักคำผิด
      คือดูว่าโดเมนไหนที่ผู้ใช้พิมพ์ผิดบ่อยจนได้รับคำตอบ NX แล้วจดโดเมนนั้นไว้เพื่อแสดงโฆษณาหรือทำฟิชชิง ฯลฯ
    • มีความเป็นไปได้สูงว่าเขาต้องการหาโดเมนที่คนมักพิมพ์ผิด แล้วซื้อมาเพื่อปล่อยโฆษณา
    • ผมขอแทงว่าเป็นการหาว่าผู้คนพิมพ์โดเมนไหนผิดหรือสนใจโดเมนไหน เพื่อจะโกงได้มีประสิทธิภาพขึ้น
    • มีเงินเข้ามาเกี่ยวข้อง แต่ไม่ได้ชี้แจงเจตนาดีอย่างชัดเจน
      ดังนั้น แม้ในกรณีที่ดีที่สุดก็น่าจะมีผลประโยชน์ทางธุรกิจบางอย่าง และในกรณีที่แย่ที่สุดก็อาจเป็นพฤติกรรมที่เป็นอันตรายต่อผู้ใช้
      การเขียนสคริปต์ที่ภายนอกดูเหมือนทำอย่างหนึ่ง แต่แอบขนส่งข้อมูลอื่นไปด้วยนั้นไม่ใช่เรื่องยาก
      เช่น การเขียน ฟังก์ชันแฮช แย่ ๆ น่ะหรือ? ง่ายเหมือนปอกกล้วยเข้าปาก
      ต้องตามความชันของ ATP เสมอ
  • ถ้าส่วนขยายที่มีผู้ใช้ประมาณ 300,000 คน ยังได้รับข้อเสนอเชิงรุกมากขนาดนี้ ก็ชวนสงสัยว่าส่วนขยายที่ไปถึงผู้ใช้หลายล้านคนจะถูกถาโถมด้วยข้อเสนอหนักแค่ไหน
    อินเซนทีฟของระบบนิเวศส่วนขยายดูบิดเบี้ยวไปหมด

  • กล่องอีเมลทางการของ Ruffle ก็เต็มไปด้วยข้อเสนอแบบนี้เหมือนกัน
    จำนวนเงินที่เสนอให้กับส่วนขยายที่ฟรีและเป็นซอฟต์แวร์เสรีนั้นสูงมาก จนผมคิดได้อย่างเดียวว่าผู้ซื้อคงตั้งใจจะใส่มัลแวร์จำนวนมากในระดับที่ไม่ถูก Google หรือ Mozilla[0] บล็อกทันที
    โดยส่วนตัวผมคิดว่าไม่ควรอนุญาตให้ โอนกรรมสิทธิ์ส่วนขยาย โดยไม่มีการอนุมัติและตรวจสอบโครงสร้างความเป็นเจ้าของใหม่ล่วงหน้า
    รายการลงทะเบียนใหม่ไม่มีรีวิวหรือความน่าเชื่อถือ ดังนั้นการโอนส่วนขยายเดิมควรทำให้ยากกว่าการสร้างส่วนขยายใหม่โดยตั้งใจเสียอีก
    ในฐานะคนที่บางครั้งต้องเจอความเจ็บปวดเชิงปฏิบัติจากนโยบายแบบนี้เอง[1] ผมพูดโดยรู้ดีว่าการฝ่าขั้นตอนราชการมันน่ารำคาญแค่ไหน
    ตลาดใต้ดินสำหรับซื้อขายส่วนขยายนั้นน่าสงสัยอย่างไม่น่าเชื่อ และปฏิบัติต่อความไว้วางใจของผู้ใช้ง่ายเกินไป
    [0] น่าเสียดายที่รายการ AMO ของเราถูกแฟล็กว่าเป็นโค้ดที่สร้างโดยเครื่องอยู่แล้ว เพราะเราใช้ Rust/WASM ดังนั้น Mozilla จะอนุมัติการส่งส่วนขยายได้ก็ต่อเมื่อสามารถสร้าง build ของเราให้เหมือนเดิมได้ระดับ byte-for-byte เท่านั้น
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • นึกถึงแผนสกปรกที่เคยคิดตอนอยู่มัธยมต้น

    1. สร้างปลั๊กอิน Minecraft Bukkit ที่มีประโยชน์จริง ๆ
    2. รอจนมียอดติดตั้งเยอะ
    3. เพิ่ม แบ็กดอร์ ที่ซ่อนไว้อย่างดี ซึ่งทำให้ผมเป็น “op” หรือผู้ดูแลระบบบนเซิร์ฟเวอร์ที่ผมต้องการ
    4. ทำให้ผู้ดูแลนิสัยแย่ของเซิร์ฟเวอร์สาธารณะตกใจด้วยการแบนพวกเขาแบบกะทันหัน
      ไปถึงขั้นตอนที่ 2 แล้วตัดสินใจหยุดแค่นั้น
    • ปลั๊กอิน Minecraft Bukkit แทบจะเป็น แดนไร้กฎหมาย
      แยกได้ยากจริง ๆ ว่าพฤติกรรมไหนตั้งใจให้เป็นแบบนั้นหรือไม่
      ผมจำได้ว่าเมื่อหลายปีก่อน ตอนเข้าเซิร์ฟเวอร์ ผมพยายามหาปลั๊กอิน motd ที่แค่แสดงข้อความเท่านั้น
      เจอปลั๊กอินหนึ่งที่เรียบง่ายพอ แต่กลับ ping กลับบ้านเพื่อตรวจอัปเดต
      นักพัฒนาอาจตั้งใจใส่ฟีเจอร์ที่มีประโยชน์ก็ได้ แต่ด้านมองโลกในแง่ร้ายของผมเชื่อว่าเป็นการพยายามเอาที่อยู่ IP ของเซิร์ฟเวอร์ที่รันปลั๊กอินนั้น
      ยังมีคำสั่ง debug ที่ไม่ต้องยืนยันตัวตนด้วย และสามารถพิมพ์เนื้อหาของไฟล์ motd ใด ๆ ในโฟลเดอร์ออกมาได้
      แต่เพราะไม่ได้ escape สตริงอย่างถูกต้อง จึงใช้ ../... ออกจากไดเรกทอรีแล้วพิมพ์ไฟล์ใด ๆ ก็ได้
      ไม่รู้ว่าผู้เขียนเคยเอาไปใช้โจมตีจริงไหม หรือแค่เป็นเด็กอายุ 14 ใสซื่อที่เขียนปลั๊กอินตัวแรก
      ถ้าตั้งใจจะใช้โจมตี ก็ไม่รู้เหมือนกันว่าเขาอยากพิมพ์ไฟล์อะไรออกมา แต่แน่นอนว่ามันน่าสงสัยมาก
    • 2b2t เคยถูกแบ็กดอร์ด้วยวิธีแบบนี้หลายครั้ง
      หลายคนเคยเข้าถึง WorldEdit, โหมดสร้างสรรค์, คำสั่งผู้ดูแลระบบ ฯลฯ ได้
      นอกเหนือจากเซิร์ฟเวอร์อนาธิปไตยเก่า ๆ แล้ว ตอนนี้ชุมชนม็อด Minecraft ก็กำลังเจอกับ การโจมตีซัพพลายเชน หลายครั้ง ช่องโหว่ deserialization และอื่น ๆ
    • แบ็กดอร์ที่เจาะจงเป้าหมายเป็นเซิร์ฟเวอร์ Minecraft มีเกิดขึ้นจริงเป็นครั้งคราว