ส่วนขยาย Chrome JSON Formatter เปลี่ยนเป็นซอร์สปิดและมีโค้ดโฆษณาแทรก

 (github.com/callumlocke)
2 คะแนน โดย GN⁺ 17 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ส่วนขยายที่ใช้ แสดงผลข้อมูล JSON แบบมีโครงสร้าง บน Chrome จะไม่ถูกรักษาให้เป็นโอเพนซอร์สอีกต่อไป
  • โปรเจ็กต์กำลังเปลี่ยนไปเป็น โมเดลเชิงพาณิชย์แบบซอร์สปิด และเวอร์ชันใหม่กำลังพัฒนาเป็น เครื่องมือสำรวจ API ที่มีฟีเจอร์พรีเมียม
  • สำหรับผู้ใช้เดิม มีการเผยแพร่ JSON Formatter Classic เป็นเวอร์ชันโอเพนซอร์สสุดท้าย โดยให้ใช้งานได้เฉพาะในรูปแบบ ตัวฟอร์แมตแบบทำงานในเครื่องเท่านั้น
  • เวอร์ชัน Classic จะ หยุดอัปเดต และสามารถติดตั้งได้ผ่าน Chrome Web Store หรือจากซอร์สโค้ด
  • การเปลี่ยนผ่านครั้งนี้ทำให้เกิด ความกังวลเรื่องการแทรกโค้ดเชิงโฆษณาและความน่าเชื่อถือที่ลดลง

ประกาศยุติโปรเจ็กต์และการเปลี่ยนผ่าน

  • JSON Formatter ยุติการพัฒนาแบบโอเพนซอร์สและเปลี่ยนไปเป็น โมเดลเชิงพาณิชย์แบบซอร์สปิด
    • เวอร์ชันใหม่กำลังพัฒนาเป็น เครื่องมือสำรวจ API ที่มีฟีเจอร์พรีเมียม
  • สำหรับผู้ใช้โอเพนซอร์สเดิม มีการเผยแพร่ เวอร์ชันโอเพนซอร์สสุดท้าย ในชื่อ JSON Formatter Classic
    • ติดตั้งได้จาก Chrome Web Store และยังคงเป็น ส่วนขยายสำหรับจัดรูปแบบ JSON ที่ทำงานในเครื่องเท่านั้น
    • จะไม่มีการออกอัปเดตอีกต่อไป

ภาพรวมของ JSON Formatter

  • ส่วนขยายสำหรับเบราว์เซอร์ Chrome ที่ใช้ แสดงผลการตอบกลับ JSON API แบบมีโครงสร้าง
  • ให้ ความเร็วในการประมวลผลสูงแม้ในหน้า JSON ที่ยาวมาก และรองรับ Dark Mode กับ การไฮไลต์ไวยากรณ์
  • มีฟังก์ชัน พับ/ขยายโครงสร้างต้นไม้, เส้นไกด์การเยื้อง, และ URL ที่คลิกได้
  • ในหน้าที่ไม่ใช่ JSON จะมี ผลกระทบต่อประสิทธิภาพน้อยกว่า 1 มิลลิวินาที เท่านั้น
  • มีปุ่มสลับ Raw / Parsed JSON และสามารถเข้าถึง JSON ที่แปลงแล้วผ่านตัวแปรโกลบอล json ในคอนโซลได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 17 일 전
ความเห็นจาก Hacker News

  • วันนี้เจอองค์ประกอบน่าสงสัยชื่อ give-freely-root-bcjindcccaagfpapjjmafapmmgkkhgoa ใน Chrome Inspector
    พอตรวจดูก็พบว่า ส่วนขยาย JSON Formatter แบบโอเพนซอร์สยอดนิยมได้เปลี่ยนเป็น ซอร์สปิด ตั้งแต่ราวหนึ่งเดือนก่อน และเริ่มแทรก โค้ดโฆษณาและการติดตามตำแหน่ง ลงในหน้าชำระเงิน
    ตอนนี้รู้สึกเลยว่าตลาดส่วนขยายเบราว์เซอร์ทั้งระบบเป็นการทดลองที่ล้มเหลว เสียเวลาสู้ทำ JSON formatter ใช้เองยังจะดีกว่า

    • น่า irony ตรงที่ตามนโยบายของ Google การ แทรกโฆษณาได้รับอนุญาต แต่การลบโฆษณาถูกห้าม
    • ฟีเจอร์ การกรองความปลอดภัย ของ app store ก็ยังมีคุณค่าอยู่บ้าง แม้ไม่สมบูรณ์แบบ แต่ก็ดีกว่าสภาพแวดล้อมที่ไร้การควบคุมโดยสิ้นเชิง
    • การหลอกผู้ใช้เดิมแล้วแทรกโฆษณาเข้าไปเป็นการกระทำที่ ไร้จริยธรรม มาก จะเปลี่ยนไปเป็นเวอร์ชันเชิงพาณิชย์แบบปิดก็ไม่เป็นไร แต่การใส่โฆษณาโดยไม่แจ้งล่วงหน้านั้นเกินเส้นไปแล้ว
    • การกระทำแบบนี้ควรถูก วิจารณ์และเรียกร้องความรับผิดชอบ อย่างเปิดเผย แน่นอนว่าพูดแบบติดตลกนิดหน่อย แต่การ “ขายต่อ” แบบนี้ก็ควรมีแรงกดดันทางสังคมบ้าง
    • อยากรู้ว่าเขาไปเจอองค์ประกอบน่าสงสัยนั้นได้อย่างไร ปกติเป็นคนคอยดู DOM อยู่บ่อยๆ หรือเปล่า

  • น่าสนใจที่ผู้สร้างเรื่องนี้คือ Callum Locke ซึ่งเป็นบุคคลที่มีตัวตนจริง
    เมื่อก่อน “นักพัฒนาที่ใช้ชื่อจริง” เคยเป็นสัญญาณของความน่าเชื่อถือ แต่ตอนนี้ก็แสดงให้เห็นว่าไม่จำเป็นต้องเป็นแบบนั้นเสมอไป

    • ถ้ามีผู้ใช้ระดับหลายล้านคน แรงจูงใจให้ขายกิจการ มันสูงมาก ผมเองก็ดูแลส่วนขยายที่มีผู้ใช้ราว 3 แสนคน แค่ข้อเสนอที่ได้รับตลอดหลายปีที่ผ่านมาก็เป็นเงินก้อนใหญ่แล้ว
      มีการคุยเรื่องนี้ไว้ใน HoverZoom GitHub discussion
    • ถ้าเป็นนักพัฒนาที่มีส่วนขยายยอดนิยม ก็เข้าใจดีว่า สิ่งล่อใจ แบบนี้หลีกเลี่ยงได้ยาก
    • คนดูแลส่วนขยายเบราว์เซอร์มักจะได้รับ อีเมลข้อเสนอแปลกๆ อยู่เรื่อยๆ และกรณีนี้ก็ดูเหมือนเป็นตัวอย่างของการยอมรับข้อเสนอแบบนั้น
    • ไม่ว่าอย่างไร Callum Locke ก็นับว่า เสียชื่อเสียงไปหมดแล้ว จากเรื่องนี้

  • ถ้าย้อนไปดู คอมเมนต์ HN ที่ผู้สร้างเขียนไว้เมื่อ 2 ปีก่อน
    เขาเคยสาบานว่าตัวเองเป็นผู้สร้าง JSON Formatter และจะ ไม่มีวันส่งหรือขายข้อมูลผู้ใช้
    เขาบอกด้วยว่าเคยได้รับข้อเสนอซื้อกิจการมูลค่าสูงหลายครั้ง แต่ ปฏิเสธเพื่อรักษาเกียรติของตัวเอง

    • ทำให้นึกถึงคำว่า “ตายอย่างวีรบุรุษ หรือมีชีวิตอยู่นานพอจะกลายเป็นตัวร้าย”
    • ทุกวันนี้ต้นทุนในการ สร้างเครื่องมือขึ้นมาเองแทบเป็นศูนย์ เลยรู้สึกว่าไม่มีเหตุผลอะไรต้องไปไว้ใจคนอื่น
    • สุดท้ายคำสัญญาแบบนี้ก็อาจเป็นแค่ กลยุทธ์การขาย ก็ได้ โอเพนซอร์สจำเป็นต้องมี โครงสร้างเงินทุนที่ยั่งยืน อย่างแท้จริง
    • แต่ถ้าเขายืนหยัดตามหลักการจนถึงที่สุดจริง ก็ถือว่าทำได้ดี

  • ตาม คำตอบรีวิวใน Chrome Web Store ที่ผู้สร้างเขียนไว้
    เขาอธิบายว่า ‘Give Freely’ ไม่ใช่สปายแวร์ แต่เป็น ระบบลิงก์แอฟฟิลิเอตเพื่อการบริจาค
    เมื่อผู้ใช้คลิกตอนชำระเงินในร้านค้าที่ร่วมรายการ รายได้ส่วนหนึ่งจะถูกบริจาคให้หน่วยงานอย่าง Code.org
    เขาเน้นว่าไม่ได้เก็บข้อมูลส่วนตัวหรือข้อมูลการท่องเว็บ และถ้าไม่ต้องการก็สามารถ ปิดใช้งานได้ทั้งหมดจากการตั้งค่า
    อีกทั้งยังมี JSON Formatter Classic เวอร์ชัน ที่ไม่มีโค้ด ‘Give Freely’ ให้ใช้อยู่ด้วย

    • ไม่ว่าจะมีเจตนาอย่างไร วิธีการนำไปใช้ก็ยังไม่รอบคอบ และเป็นกรณีที่เผยให้เห็น ช่องโหว่ด้านความปลอดภัย ของโมเดลการแจกจ่ายส่วนขยายเบราว์เซอร์

  • คิดว่าปัญหาหลักอยู่ที่แนวคิดเรื่อง การอัปเดตอัตโนมัติ
    การอัปเดตช่วยแก้ช่องโหว่ความปลอดภัยก็จริง แต่ในขณะเดียวกันก็ทำให้เกิดการเปลี่ยนแปลงที่ผู้ใช้ไม่ต้องการหรือความเสี่ยงจาก supply chain attack
    โดยเฉพาะส่วนขยายจากนักพัฒนาเดี่ยวควร ปิดการอัปเดตอัตโนมัติ แต่ Chrome ไม่เปิดทางให้ทำแบบนั้น
    Google มีแนวคิดที่ขับเคลื่อนด้วยโฆษณา เลยดูเหมือนไม่มองว่าการเปลี่ยนไปเป็น adware แบบนี้เป็นปัญหา
    Firefox ดูดีกว่านิดหน่อย แต่ก็น่าเสียดายที่ไม่สามารถติดตั้งส่วนขยายที่ build เองแบบถาวรได้

    • ใน Firefox ก็ไม่ได้เป็นไปไม่ได้ทั้งหมด สามารถโหลดชั่วคราวจาก about:debugging หรือปิด xpinstall.signatures.required ได้
    • โดยส่วนตัวแล้ว โปรแกรมทุกตัวที่รันในเครื่องควรมีหลักการว่า ห้ามอัปเดตอัตโนมัติ ไม่อย่างนั้นมันก็เป็นแค่ RCE backdoor ที่สังคมยอมรับเท่านั้น
    • สำหรับส่วนขยายที่ฟังก์ชันตายตัวอย่าง JSON Formatter ทางที่ดีที่สุดคือ ปิดการอัปเดตทันทีหลังติดตั้ง
      แต่ส่วนขยายอย่าง uBlock ที่ต้องอัปเดตรายการตัวกรองเป็นระยะอาจเป็นข้อยกเว้นได้

  • คิดว่าปัญหาใหญ่ที่สุดคือ ไบนารีใน Chrome Web Store ไม่ตรงกับซอร์สที่เปิดเผย
    ตัวสโตร์เชื่อแพ็กเกจที่นักพัฒนาอัปโหลดขึ้นไปตามตรง โดยไม่ตรวจสอบว่าเหมือนกับโค้ดสาธารณะที่ประกาศไว้จริงหรือไม่
    ผมลองทำ reproducible build กับส่วนขยายบางตัวเอง แต่ส่วนใหญ่ก็ไม่ตรงกัน
    Firefox AMO จะให้ส่งซอร์สแล้วทำ diff เทียบกับ clean build แต่ Chrome ไม่ทำ
    หากไม่มี reproducible build และการเชื่อมกับ signed commit ก็ไม่มีทางตรวจจับการแทรกโค้ดอันตรายล่วงหน้าได้

  • แม้ Google จะผลักดัน Manifest V3 อย่างหนัก แต่ก็ยังปล่อยปัญหาแบบนี้ไว้
    แถมยังให้ป้าย ‘Featured’ กับส่วนขยายอันตรายอย่าง Blaze VPN, Safum VPN, Snap VPN
    พวกนี้เป็น ของโคลน จากกลุ่ม PDF Toolbox ที่เคยทำส่วนขยายอันตรายมาก่อน และความจริงแล้วแทบใช้งานไม่ได้เลย
    นี่เป็นอีกตัวอย่างที่แสดงให้เห็นว่า ระบบตรวจสอบ ของ Chrome Web Store เละเทะมาก

  • เรื่องแบบเดียวกันนี้เคยเกิดกับส่วนขยาย ModHeader ด้วย
    ลิงก์ ModHeader
    มันเริ่มแทรกโฆษณาในผลการค้นหาของ Google และแม้จะมีการรายงานไปแล้วก็ยังคงอยู่ในสโตร์

  • ผมสังเกตเห็นปัญหานี้ตั้งแต่สัปดาห์ก่อน แล้วก็เลยรวบรวมฟีเจอร์ที่ตัวเองชอบมาทำเป็น JSON formatter ตัวใหม่ เอง
    GitHub - JSON Alexander

    • หลายคนชมว่าชื่อนี้เท่มาก

  • เหตุการณ์ครั้งนี้ถือเป็น โอกาสดีในการจัดระเบียบส่วนขยายที่ติดตั้งไว้
    ตั้งใจว่าจะเก็บไว้เฉพาะสิ่งที่จำเป็นจริงๆ แล้วลบที่เหลือออก