LinkedIn กำลังสแกนส่วนขยายเบราว์เซอร์

 (404privacy.com)
1 คะแนน โดย GN⁺ 2026-05-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • LinkedIn ส่งคำขอ URL chrome-extension:// บน Chrome เพื่อตรวจสอบว่ามีการติดตั้งส่วนขยายบางรายการหรือไม่ และหากไม่ได้ติดตั้ง คำขอที่ล้มเหลวจะปรากฏเป็นข้อผิดพลาดในคอนโซลของเครื่องมือนักพัฒนา
  • LinkedIn มีข้อมูลของผู้ใช้อยู่แล้ว เช่น ชื่อ·นายจ้าง·ตำแหน่งงาน·ประวัติการทำงาน·ที่ตั้ง ดังนั้นการสแกนส่วนขยายจึงไม่ใช่การทำ device fingerprint แบบนิรนาม แต่เป็นการนำรายการซอฟต์แวร์ไปผูกเพิ่มกับตัวตนทางอาชีพที่ได้รับการยืนยันแล้ว
  • ตามบันทึกของ browsergate.eu และ คลังติดตามบน GitHub การสแกนนี้ดำเนินต่อเนื่องมาตั้งแต่อย่างน้อยปี 2017 และรายการเป้าหมายเพิ่มจาก 38 รายการ เป็น 6,278 รายการ ณ เดือนเมษายน 2026
  • การสแกนนี้เป็นส่วนหนึ่งของระบบเก็บ device fingerprint ของ LinkedIn ที่ชื่อ APFC ซึ่งสร้างโปรไฟล์ร่วมกับลักษณะของเบราว์เซอร์และอุปกรณ์อีก 48 รายการ เช่น canvas fingerprint, WebGL, พฤติกรรมเสียง, ฟอนต์, ข้อมูลหน้าจอ, หน่วยความจำอุปกรณ์, WebRTC local IP เป็นต้น
  • ผลการตรวจจับจะถูกแพ็กเป็น AedEvent และ SpectroscopyEvent เข้ารหัสด้วย RSA public key แล้วส่งไปยัง endpoint li/track ของ LinkedIn โดย browsergate.eu ระบุว่าวิธีนี้เข้าข่ายละเมิด EU Digital Markets Act และได้มีการเปิดการสอบสวนทางอาญาแล้ว

รายการซอฟต์แวร์ที่ถูกผูกเข้ากับโปรไฟล์ระบุตัวบุคคล

  • โดยทั่วไป การทำ fingerprint จะถูกมองว่าเป็นวิธีจดจำเบราว์เซอร์ของผู้เยี่ยมชมแบบนิรนามซ้ำอีกครั้งโดยไม่ใช้คุกกี้
  • ในกรณีนั้น โปรไฟล์อาจระบุได้ในระดับอุปกรณ์ แต่ไม่จำเป็นต้องเชื่อมโยงกับตัวตนของบุคคลเสมอไป
  • LinkedIn ไม่ได้มีเพียงผู้เยี่ยมชมแบบนิรนาม แต่มีข้อมูลของผู้ใช้อยู่แล้ว เช่น ชื่อ, นายจ้าง, ตำแหน่งงาน, ประวัติการทำงาน, ช่วงเงินเดือน, เครือข่ายวิชาชีพ, ที่ตั้ง
  • การสแกนส่วนขยายของ LinkedIn จึงไม่ใช่การสร้างโปรไฟล์อุปกรณ์ของผู้เยี่ยมชมที่ไม่รู้จัก แต่เป็นการเพิ่มรายการซอฟต์แวร์อย่างละเอียดให้กับตัวตนทางอาชีพที่ได้รับการยืนยันแล้ว
  • รายการสแกนของ LinkedIn มีส่วนขยายเกี่ยวกับการหางานอยู่หลายร้อยรายการ จึงอาจใช้ตรวจจับได้ว่าผู้ใช้กำลังหางานอยู่เงียบ ๆ ก่อนที่นายจ้างจะทราบ
  • ยังมีส่วนขยายที่เกี่ยวข้องกับเนื้อหาทางการเมือง การปฏิบัติทางศาสนา อุปกรณ์ช่วยเหลือผู้พิการ และความหลากหลายทางระบบประสาทอยู่ในรายการด้วย ทำให้ซอฟต์แวร์บนเบราว์เซอร์อาจกลายเป็นเบาะแสสำหรับอนุมานชีวิตส่วนตัวได้
  • เนื่องจาก LinkedIn รู้ว่าผู้ใช้ทำงานที่ไหน ผลการสแกนของพนักงานหนึ่งคนจึงอาจช่วยให้เข้าใจเครื่องมือภายในองค์กร ผลิตภัณฑ์ด้านความปลอดภัย การสมัครใช้บริการของคู่แข่ง และ workflow ขององค์กรนั้นได้ ไม่ใช่แค่ข้อมูลของบุคคลนั้นเพียงคนเดียว
  • ใน privacy policy ของ LinkedIn ไม่มีการเปิดเผยเรื่องการสแกนส่วนขยาย และผู้ใช้ก็ไม่ได้ถูกขอความยินยอมหรือได้รับการแจ้งล่วงหน้า

ปัญหาที่ไปไกลกว่า LinkedIn

  • การบังคับใช้และบรรทัดฐาน

    • LinkedIn ใช้รายการส่วนขยายเพื่ออนุมานเกี่ยวกับผู้ใช้ที่ติดตั้งส่วนขยายบางตัว และดำเนินมาตรการบังคับใช้กับผู้ใช้เหล่านั้น
    • ตามข้อมูลของ browsergate, Milinda Lakkam ได้ยืนยันภายใต้คำสาบานว่า “LinkedIn took action against users who had specific extensions installed.”
    • ผู้ใช้ไม่มีทางรู้ได้ว่าซอฟต์แวร์ของตนกำลังถูกทำเป็นรายการ ข้อมูลดังกล่าวถูกนำไปใช้ในทางเสียเปรียบต่อตนเอง และทั้งหมดนี้ก็ไม่ปรากฏในนโยบายความเป็นส่วนตัวของ LinkedIn

  • ระบบนิเวศของการทำ fingerprint

    • ปกติแล้ว browser fingerprinting มักถูกมองว่าเป็นปัญหาที่เว็บไซต์หนึ่งเก็บสัญญาณ สร้างโปรไฟล์ และจดจำผู้ใช้ข้ามเซสชัน
    • แต่การสแกนส่วนขยายของ LinkedIn สร้างรายการซอฟต์แวร์อย่างละเอียดที่ผูกกับตัวตนที่ได้รับการยืนยันแล้ว และโปรไฟล์นั้นไม่จำเป็นต้องอยู่ภายใน LinkedIn เท่านั้น
    • หาก LinkedIn ซื้อชุดข้อมูลพฤติกรรมจากบุคคลที่สาม และในนั้นมี fingerprint ของผู้ใช้รวมอยู่ด้วย LinkedIn ก็สามารถนำไปผูกเพิ่มกับข้อมูลผู้ใช้ที่มีอยู่แล้วได้
    • พฤติกรรมการท่องเว็บ ประวัติการซื้อ รูปแบบตำแหน่งที่อยู่ และความสนใจจากนอก LinkedIn อาจกลายเป็นส่วนหนึ่งของโปรไฟล์ที่เชื่อมกับบัญชี LinkedIn ได้
    • ในทางกลับกัน LinkedIn ก็รวม third-party scripts เช่น Google reCAPTCHA enterprise ที่โหลดในทุกหน้าด้วย ทำให้เกิดการไหลของข้อมูลข้ามแพลตฟอร์ม
    • fingerprint ที่ LinkedIn ผูกเข้ากับตัวตนที่ได้รับการยืนยันแล้ว อาจส่งผลต่อระบบโฆษณาและการติดตามนอก linkedin.com ด้วย
    • เมื่อเข้าสู่ระบบ LinkedIn หนึ่งครั้ง fingerprint ที่สร้างขึ้นในการเยี่ยมชมครั้งนั้นอาจติดตามผู้ใช้ไปทั่วทั้งเว็บ

  • กลุ่มผู้ใช้ที่เผชิญความเสี่ยงจริง

    • สำหรับนักข่าว ทนาย นักวิจัย และผู้ตรวจสอบสิทธิมนุษยชน โปรไฟล์ LinkedIn อาจเป็นเอกสารยืนยันตัวตนออนไลน์ที่ละเอียดที่สุดชิ้นหนึ่ง
    • โปรไฟล์ LinkedIn เป็นข้อมูลที่สร้างขึ้นโดยตั้งใจภายใต้ชื่อจริงเพื่อวัตถุประสงค์ทางวิชาชีพ
    • การสแกนส่วนขยายเชื่อมข้อมูลการติดตั้งเครื่องมือความเป็นส่วนตัว ส่วนขยายความปลอดภัย เครื่องมือสืบค้น และแอปเพิ่มประสิทธิภาพ เข้ากับโปรไฟล์นั้นโดยที่ผู้ใช้ไม่รู้ตัว
    • หากใช้ LinkedIn และ Chrome การเก็บข้อมูลนี้กำลังเกิดขึ้นอยู่ในขณะนี้

APFC และการทำ fingerprint ด้วย JavaScript ขั้นสูง

  • การสแกนส่วนขยายไม่ใช่ฟังก์ชันเดี่ยว แต่เป็นส่วนหนึ่งของระบบเก็บ device fingerprint ที่กว้างกว่าซึ่ง LinkedIn เรียกภายในว่า APFC
  • APFC ย่อมาจาก Anti-fraud Platform Features Collection และภายในยังเรียกว่า DNA, Device Network Analysis ด้วย
  • LinkedIn เปิดเผยเรื่องวิธีติดตามเหล่านี้มากกว่าการสแกนส่วนขยายเล็กน้อย แต่เทคนิคเหล่านี้พบได้ทั่วไปในเว็บไซต์เชิงพาณิชย์
  • ระบบนี้เก็บ 48 ลักษณะของเบราว์เซอร์และอุปกรณ์ ในทุกครั้งที่มีการเยี่ยมชม
  • รายการที่เก็บรวมถึง canvas fingerprint, ตัวเรนเดอร์และพารามิเตอร์ของ WebGL, พฤติกรรมการประมวลผลเสียง, ฟอนต์ที่ติดตั้ง, ความละเอียดหน้าจอ, pixel ratio, hardware concurrency, หน่วยความจำอุปกรณ์, ระดับแบตเตอรี่, local IP address ผ่าน WebRTC, เขตเวลา และภาษา
  • การสแกนส่วนขยายเป็นเพียงหนึ่งในอินพุตที่ใช้ประกอบเป็นโปรไฟล์ขนาดใหญ่กว่า

สิ่งที่เกิดขึ้นในเชิงเทคนิค

  • โค้ดของ LinkedIn ส่งคำขอ fetch() ไปยัง URL chrome-extension:// เพื่อค้นหาไฟล์เฉพาะที่อยู่ในส่วนขยายบางตัวที่ติดตั้งบน Chrome
  • หากไม่ได้ติดตั้งส่วนขยาย Chrome จะบล็อกคำขอและบันทึกความล้มเหลวไว้ในล็อก
  • หากติดตั้งส่วนขยายอยู่ คำขอจะสำเร็จอย่างเงียบ ๆ และ LinkedIn จะบันทึกสิ่งนั้นไว้
  • ในสภาพแวดล้อมที่ได้รับการยืนยัน การสแกนทำงานอยู่ประมาณ 15 นาที และค้นหาส่วนขยายมากกว่า 6,000 รายการ
  • ผู้ใช้สามารถตรวจสอบสิ่งนี้ได้ด้วยตนเองโดยเปิด LinkedIn บน Chrome แล้วดูที่แท็บคอนโซลของเครื่องมือนักพัฒนา
  • ข้อผิดพลาดสีแดงในคอนโซลแต่ละรายการคือส่วนหนึ่งของ fingerprint ของผู้ใช้นั่นเอง

โครงสร้างโค้ดและวิธีการตรวจจับ

  • LinkedIn รันโค้ด JavaScript ในเบราว์เซอร์ของผู้เยี่ยมชม Chrome ทุกคน และระบบที่รับผิดชอบการสแกนส่วนขยายก็อยู่ในนั้น
  • ไฟล์ดังกล่าวเป็นไฟล์ JavaScript แบบ minified และมีการ obfuscate บางส่วน ขนาดประมาณ 1.6MB
  • การ minify ทั่วไปคือการบีบอัดโค้ดเพื่อประสิทธิภาพ แต่การ obfuscate เป็นอีกขั้นตอนหนึ่งที่ทำให้โค้ดอ่านและเข้าใจได้ยาก
  • LinkedIn ทำ obfuscate โมดูลที่แน่นอนซึ่งบรรจุระบบสแกนส่วนขยาย และฝังมันไว้ในไฟล์ JavaScript ที่ยาวหลายพันบรรทัด
  • ภายในไฟล์มีอาร์เรย์แบบ hardcoded ของ ID ส่วนขยายเบราว์เซอร์
  • ณ เดือนกุมภาพันธ์ 2026 อาร์เรย์นี้มีรายการอยู่ 6,278 รายการ
  • แต่ละรายการมีสองฟิลด์ คือ ID ของส่วนขยายใน Chrome Web Store และพาธของไฟล์เฉพาะภายในแพ็กเกจส่วนขยายนั้น
  • พาธของไฟล์ไม่ใช่ค่าที่สุ่มมา เพราะส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในให้เว็บเพจเข้าถึงได้ผ่านฟิลด์ web_accessible_resources
  • หากมีการติดตั้งส่วนขยายและประกาศให้ไฟล์เฉพาะเข้าถึงได้ คำขอ fetch() ที่ส่งไปยัง chrome-extension://{id}/{file} จะสำเร็จ
  • หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอ
  • LinkedIn ระบุไฟล์ที่เข้าถึงได้เฉพาะเจาะจงและตรวจจับโดยตรงสำหรับส่วนขยายทั้ง 6,278 รายการในรายการ
  • รายการนี้ถูกดูแลและขยายอย่างต่อเนื่อง และดูเหมือนว่าจะมีเครื่องมือสำหรับ crawl แพ็กเกจส่วนขยายจาก Chrome Web Store แล้ว parse web accessible resources จากแต่ละ manifest เพื่อนำมาเพิ่มเป็นเป้าหมายการตรวจจับ

โหมดการสแกนสองแบบและ Spectroscopy

  • การสแกนส่วนขยายทำงานได้สองโหมด
  • โหมดแรกใช้ Promise.allSettled() เพื่อส่งคำขอทั้งหมดพร้อมกัน และตรวจจับส่วนขยายทั้งหมดแบบขนาน
  • โหมดที่สองส่งคำขอแบบลำดับทีละรายการโดยมีดีเลย์ที่ปรับได้ระหว่างแต่ละคำขอ เพื่อกระจายกิจกรรมเครือข่ายออกไปตามเวลาและทำให้สังเกตเห็นได้น้อยลงในเครื่องมือตรวจสอบ
  • LinkedIn สามารถสลับระหว่างสองโหมดนี้ได้ผ่าน internal feature flags
  • การสแกนอาจถูกหน่วงด้วย requestIdleCallback ด้วย เพื่อให้ทำงานเมื่อเบราว์เซอร์อยู่ในสถานะ idle และผู้ใช้ไม่สังเกตเห็นผลกระทบต่อประสิทธิภาพ
  • ระบบตรวจจับตัวที่สองชื่อ Spectroscopy ทำงานแยกจากรายการส่วนขยาย
  • Spectroscopy จะไล่ตรวจทั้ง DOM tree และตรวจหาการอ้างอิง URL chrome-extension:// ใน text nodes และ attribute ของ elements ทั้งหมด
  • วิธีนี้สามารถจับส่วนขยายที่แก้ไขหน้าเว็บได้ แม้จะไม่อยู่ในรายการ hardcoded ของ LinkedIn
  • เมื่อรวมสองระบบเข้าด้วยกัน ก็ครอบคลุมทั้งส่วนขยายที่ติดตั้งไว้และส่วนขยายที่มีปฏิสัมพันธ์กับหน้าเว็บจริง

การส่ง telemetry

  • ระบบตรวจจับทั้งสองส่งผลลัพธ์ผ่าน telemetry pipeline เดียวกัน
  • ID ของส่วนขยายที่ตรวจพบจะถูกแพ็กเป็นอ็อบเจ็กต์ AedEvent และ SpectroscopyEvent
  • อ็อบเจ็กต์เหล่านี้ถูกเข้ารหัสด้วย RSA public key แล้วส่งไปยัง endpoint li/track ของ LinkedIn
  • fingerprint ที่เข้ารหัสแล้วจะถูกแทรกลงใน HTTP headers ของคำขอ API ทั้งหมดที่เกิดขึ้นในเซสชันหลังจากนั้น
  • LinkedIn จะได้รับค่านี้พร้อมกับทุกพฤติกรรมที่ผู้ใช้ทำระหว่างการเยี่ยมชม

บริบททางกฎหมาย

  • browsergate.eu อธิบายเหตุผลทางกฎหมายที่เกี่ยวข้องไว้อย่างละเอียด
  • ในปี 2024 Microsoft ถูกกำหนดให้เป็น gatekeeper ภายใต้ EU Digital Markets Act และ LinkedIn เป็นหนึ่งในผลิตภัณฑ์ที่อยู่ภายใต้การกำกับดูแล
  • DMA กำหนดให้ gatekeeper ต้องอนุญาตให้เครื่องมือของบุคคลที่สามเข้าถึงข้อมูลของผู้ใช้ และห้ามดำเนินการกับผู้ใช้ของเครื่องมือเหล่านั้น
  • browsergate.eu เห็นว่า LinkedIn บังคับใช้มาตรการกับผู้ใช้เครื่องมือของบุคคลที่สามอย่างเป็นระบบ และใช้การสแกนส่วนขยายแบบลับเพื่อระบุตัวผู้ใช้เหล่านั้น ซึ่งเข้าข่ายละเมิดข้อกำหนดดังกล่าว
  • ข้ออ้างนี้จะได้รับการยอมรับทางกฎหมายหรือไม่ ยังเป็นเรื่องของการตีความทางกฎหมาย
  • Cybercrime Unit ของ Bavarian Central Cybercrime Prosecution Office in Bamberg ยืนยันว่ามีการเปิดการสอบสวนทางอาญาแล้ว
  • หน่วยงานนี้รับผิดชอบคดีอาชญากรรมไซเบอร์ร้ายแรงที่ครอบคลุมหลายเขตอำนาจ
  • browsergate.eu ระบุว่าได้ยืนยันการสอบสวนทางอาญาและให้หมายเลขคดีไว้แล้ว และกำลังเตรียมเผยแพร่เอกสารศาลทั้งหมด

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-05-02
ความคิดเห็นจาก Hacker News

  • “แทบไม่มีข้อสงสัยเลยว่ามีการเริ่มสืบสวนทางอาญาแล้ว” ดีเลย บริษัทแบบนี้ สมควรโดนขว้างหิน และควรรับผลที่หนักกว่านั้นด้วย

    • สิ่งที่จำเป็นจริงๆ คือการเปิดโปงว่าเดิมทีนี่เป็น ไอเดียของใคร
      ถ้าเป็นทีมที่ตั้งใจจะไม่ทำเว็บไซต์ให้พังแย่กว่ามาตรฐานเฉลี่ย ก็ควรคัดผู้สมัครออกได้จากรายชื่อ ตัวการทำบริการเสื่อมคุณภาพที่รู้กันอยู่แล้ว
      อาจสายเกินไปแล้วที่จะตัดไฟแต่ต้นลม แต่ก็ไม่มีเหตุผลที่จะปล่อยให้คนพวกนี้ยังทำงานได้โดยไร้ข้อจำกัดและเติบโตต่อไป

  • “ต่อมาพอเห็นคนพูดถึง browsergate บน mastodon ก็คิดว่า ‘คงไม่จริงมั้ง’ แต่ปรากฏว่ามีการเตรียมฟ้องร้องจริง” - un-nf
    Farrell v LinkedIn Corporation 4:26-cv-02953-KAW (N.D. Cal. Apr. 6, 2026)
    https://ia601503.us.archive.org/33/items/gov.uscourts.cand.4...

  • ทำไม Chrome ของฉันถึงบอกเว็บไซต์ไหนก็ได้ว่าฉันติดตั้งส่วนขยายอะไรไว้?

    • เอาจริงๆ ไม่ได้บอกตรงๆ แบบนั้น มันสร้างรายการ ID ของส่วนขยายกับรายชื่อไฟล์ที่ทราบว่ามีอยู่ในส่วนขยายนั้น แล้วให้เว็บไซต์ไล่ตรวจแต่ละคู่ด้วยการพยายามโหลดไฟล์นั้น
      ถ้าไม่เกิดข้อผิดพลาด ก็แปลว่าส่วนขยายนั้นถูกติดตั้งอยู่ เป็นวิธีที่ฉลาดและใช้แรงเยอะ แต่ก็เป็นการเลี่ยงกลไกความปลอดภัยที่มีไว้เพื่อป้องกันเรื่องแบบนี้
      เท่าที่อ่านมา เหตุผลที่ใช้วิธีนี้คือเพื่อบล็อกผู้ใช้ ส่วนขยายสำหรับสแครปข้อมูล ที่รู้กันว่าใช้หลบข้อกำหนดการใช้งาน แต่ฉันก็ยังไม่ค่อยเชื่อนัก
    • ส่วนที่เกี่ยวข้องในต้นฉบับคือ:
      “ส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในให้หน้าเว็บเห็นได้ผ่านฟิลด์ web_accessible_resources ใน manifest.json หากส่วนขยายนั้นถูกติดตั้งและเปิดเผย resource ไว้ คำขอ fetch() ไปยัง chrome-extension://{id}/{file} จะสำเร็จ หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอและ promise จะ reject
      LinkedIn ทดสอบส่วนขยายทุกตัวในรายการด้วยวิธีนี้”
    • จะถามคำถามเดียวกันนี้กับ ความผิดพลาดด้านความปลอดภัย สุดเลวร้ายที่เว็บเบราว์เซอร์ก่อมาตลอดหลายสิบปีก็ได้
    • ข้อมูลนั้นถูกส่งให้เว็บไซต์เลยเหรอ? ฉันนึกว่าเป็นการแฮ็กแบบใหม่ที่ตรวจจับเองผ่านพฤติกรรมบางอย่างซึ่งจะเกิดขึ้นก็ต่อเมื่อติดตั้งส่วนขยายบางตัว
      แต่ถ้าต้องทำกับ ส่วนขยาย 6,300 ตัว มันก็ดูงานเยอะเกินไป มีบริการที่ทำเรื่องนี้ให้หรือเปล่า?
    • Brave บล็อกเรื่องนี้ไว้ชัดเจน

  • ทุกคน ถ้าในที่ทำงานถูกขอให้ทำแบบนี้ คุณจะเลือกอะไร: คัดค้านและยืนกรานจนตกงาน หรือทำตามเพื่อรักษางานไว้
    ในฐานะคนทำงานจริง เส้นแบ่งระหว่าง telemetry กับการสอดส่อง ควรอยู่ตรงไหน?

    • ฉันเลือกไม่ทำงานที่ LinkedIn, Meta หรือที่ไหนก็ตามที่รับเงินจากซาอุหรืออิสราเอล หางานจะยากขึ้นนิดหน่อย แต่หลับสบายกว่าตอนกลางคืน
    • ยังมีทางเลือกที่สาม คือรับปากว่าจะทำ แล้วจงใจทำไม่สำเร็จหรือถ่วงเวลาไปเรื่อยๆ ยากที่จะพิสูจน์ว่าคุณตั้งใจทำงานพัง
      แต่ถ้าคุณกำลังเล่นเกมแบบนั้นอยู่ ก็อาจถึงเวลาหางานใหม่แล้ว ;)
    • ฉันคิดว่าการ แจ้งให้โลกภายนอกรู้ว่าจะเกิดอะไรขึ้น แบบไม่เปิดเผยตัวตนก็เป็นทางเลือกนะ แบบนั้นก็ยังรักษางานไว้ได้และอย่างน้อยคนอื่นก็จะได้รับรู้
      เพียงแต่ถ้ามีคนรู้เรื่องนี้อยู่แค่สักสามคน ก็คงเดาได้ทันทีว่าเป็นใคร
    • ฉันก็คิดเหมือนกันว่า คนที่สร้างสิ่งนี้อาจไม่ได้เปลี่ยนงานได้ง่าย และอาจต้องพึ่งงานนี้เพราะประกันสุขภาพหรือเหตุผลทางการเงิน อาจอยู่ในสภาพที่เอาเงินเดือนมาประคองชีวิตเดือนต่อเดือน
      ผู้จัดการที่สั่งการก็อาจอยู่ในสถานะคล้ายกัน ส่วนผู้จัดการเหนือขึ้นไปสนใจแค่รายได้เพิ่มโดยไม่แคร์วิธีการ ถึงอย่างนั้นก็น่าจะต้องมีใครสักคนพูดว่า “เรากำลังทำอะไรกันอยู่เนี่ย?” มันแปลกมาก
      ถ้าจะตอบคำถาม ฉันก็คงคัดค้านแน่นอน ตอนนี้ฉันโชคดีพอที่จะเลือกแบบนั้นได้โดยไม่ต้องจ่ายราคาที่หนักเกินไป แต่จะมีใครมาโพสต์บน HN ว่า “ใช่ ฉันไม่มีศีลธรรม!” กันล่ะ? ต่อให้เป็นบัญชีเผาเราก็ไม่มีทางรู้ว่าเรื่องจริงไหม
    • พูดตามตรง ถ้าเป็นฉันก็คงทำ มันเป็น ความรับผิดชอบของ Chrome ที่ปล่อยให้ทุกเว็บไซต์รู้ว่าส่วนขยายอะไรถูกติดตั้งไว้ และยังไงมันก็ไม่ได้สร้างความเสียหายให้ผู้ใช้โดยตรงอยู่ดี

  • ส่วนที่ฉันคิดว่าเกี่ยวข้องที่สุดในต้นฉบับคือ:
    “ส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในให้หน้าเว็บเห็นได้ผ่านฟิลด์ web_accessible_resources ใน manifest.json หากส่วนขยายนั้นถูกติดตั้งและเปิดเผย resource ไว้ คำขอ fetch() ไปยัง chrome-extension://{id}/{file} จะสำเร็จ หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอและ promise จะ reject
    LinkedIn ทดสอบส่วนขยายทุกตัวในรายการด้วยวิธีนี้”

    • ถ้างั้นสามารถสร้าง ส่วนขยายปลอมที่แสร้งว่าติดตั้งอยู่ โดยตอบใช่/ไม่ใช่แบบสุ่มกับคำถามพวกนี้ได้ไหม? ดูค่อนข้างชัดว่า LinkedIn หรือเว็บทำ fingerprint อื่นๆ ทดสอบไฟล์ไหนบ้าง และอย่างที่ผู้เขียนต้นฉบับบอก มันสังเกตได้
      ก็น่าสนใจเหมือนกันว่าจะมีเว็บไซต์อื่นไหนที่ทดสอบไฟล์ชุดเดียวกันบ้าง มีใครสำรวจเรื่องนี้ไปแล้วหรือยัง?
    • โค้ดที่มาจากเว็บไซต์ ไม่ใช่โค้ดจากส่วนขยายด้วยซ้ำ ไม่น่าจะถูกปล่อยให้เข้าถึงสิ่งนั้นได้

  • นี่เป็นแนวปฏิบัติที่ค่อนข้างมาตรฐานใน การทำ device fingerprinting LinkedIn น่าจะใช้มันเพื่อปกป้องแพลตฟอร์มจากการสแครปข้อมูลหรืออะไรทำนองนั้น และรายชื่อส่วนขยายก็มี entropy มากพอที่จะใช้ระบุตัวผู้ใช้และเป็นองค์ประกอบที่มีประโยชน์ของ fingerprint ได้

    • ตอนนี้การสร้างส่วนขยายที่ช่วยสแครปข้อมูลขึ้นมาใช้เองทีเดียวก็ง่ายมากอยู่แล้ว และ LinkedIn ก็แทบทำอะไรเพื่อหยุดมันไม่ได้
      ฉันเคยเห็นคนสร้างและติดตั้งส่วนขยาย Chrome แบบโลคัลได้ภายในไม่กี่วัน แล้วทำให้ AI ถูกฉีดเข้าไปใน developer tools เพื่อสแครปได้แทบทุกเว็บไซต์ เรื่องนั้นเกิดขึ้นเมื่อไม่กี่เดือนก่อนเอง
      ฉันคิดว่าเดี๋ยวนี้แทบไม่มีวิธีป้องกันเรื่องแบบนั้นได้ง่ายๆ แล้ว มาตรการ defensive programming แบบนี้จะไร้ประโยชน์ก็เป็นแค่เรื่องของเวลา

  • นี่ หลอนข้อมูล หรือเปล่า? หา quote นี้จากที่อื่นไม่เจอเลย
    “ตาม browsergate นั้น Milinda Lakkam ยืนยันภายใต้คำสาบานว่า ‘LinkedIn ได้ดำเนินการกับผู้ใช้ที่ติดตั้งส่วนขยายบางตัว’”

    • ก็จริงอยู่ระดับหนึ่ง แต่ไม่ใช่คำพูดตามตัวอักษร ฉันไม่ได้ไล่ย้อนกลับไปไกลกว่าลิงก์นี้:
      https://browsergate.eu/the-evidence-pack/
      ระบบของ LinkedIn “อาจได้ดำเนินการกับผู้ใช้ LinkedIn ที่ติดตั้ง [XXXXXX]”
      แก้ไข: ดีเลย! เพิ่งสังเกตว่าข้อความที่ย่อหน้าเข้าไปตอนนี้ตัดบรรทัดบนเบราว์เซอร์มือถือแล้ว อย่างน้อยใน ffm เป็นแบบนั้น สงสัยว่าแก้ตั้งแต่เมื่อไร

  • พูดอย่างเป็นธรรม นโยบายความเป็นส่วนตัวของ LinkedIn ระบุไว้ชัดเจน ว่ามีการเก็บข้อมูลนี้ ดู https://www.linkedin.com/legal/privacy-policy?ref=cms.hondas...
    “1.5 อุปกรณ์และตำแหน่งที่ตั้ง
    เมื่อคุณเข้าใช้หรือออกจากบริการของเรา (รวมถึงปลั๊กอินบางตัวของเรา และคุกกี้ของเราหรือเทคโนโลยีที่คล้ายกันบนเว็บไซต์ของผู้อื่น) เราจะได้รับ URL ของทั้งเว็บไซต์ที่คุณมาจากและเว็บไซต์ที่คุณไป รวมถึงเวลาที่คุณเข้าใช้งาน เรายังได้รับข้อมูลเกี่ยวกับเครือข่ายและอุปกรณ์ของคุณด้วย (เช่น IP address, proxy server, operating system, web browser และ add-ons, device identifiers และ features, cookie IDs และ/หรือ ISP หรือผู้ให้บริการมือถือของคุณ) หากคุณใช้บริการของเราจากอุปกรณ์มือถือ อุปกรณ์นั้นจะส่งข้อมูลตำแหน่งที่ตั้งมาให้เราตามการตั้งค่าโทรศัพท์ของคุณ เราจะขอให้คุณ opt-in ก่อนใช้ GPS หรือเครื่องมืออื่นเพื่อระบุตำแหน่งที่แน่นอนของคุณ”
    ส่วนที่เกี่ยวข้องตรงนี้คือ “รวมถึงปลั๊กอินบางตัว

  • ฉันลบบัญชี LinkedIn ไปแล้ว และชีวิตก็ดีขึ้น

    • นั่นเป็นคำพูดของคนที่มีงานอยู่แล้ว การหางานโดยไม่มีบัญชี LinkedIn ไม่ได้ง่ายขนาดนั้น