LinkedIn กำลังสแกนส่วนขยายเบราว์เซอร์

 (404privacy.com)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • LinkedIn ส่งคำขอ URL chrome-extension:// บน Chrome เพื่อตรวจสอบว่ามีการติดตั้งส่วนขยายบางตัวหรือไม่ และรายการที่ไม่ได้ติดตั้งจะทิ้งข้อผิดพลาดคำขอล้มเหลวไว้ในคอนโซลของเครื่องมือนักพัฒนา
  • ตามบันทึกของ browsergate.eu และ GitHub ที่ใช้ติดตามเรื่องนี้ การสแกนนี้ดำเนินมาอย่างน้อยตั้งแต่ปี 2017 และรายการเป้าหมายเพิ่มจาก 38 รายการ เป็น 6,278 รายการ ณ เดือนเมษายน 2026
  • LinkedIn มีข้อมูล ชื่อ·นายจ้าง·ตำแหน่งงาน·ประวัติการทำงาน·ตำแหน่งที่อยู่ ของผู้ใช้อยู่แล้ว ดังนั้นการสแกนส่วนขยายจึงไม่ใช่ลายนิ้วมืออุปกรณ์แบบไม่ระบุตัวตน แต่เป็นการเติมรายการซอฟต์แวร์ลงบนตัวตนทางอาชีพที่ผ่านการยืนยันแล้ว
  • การสแกนเป็นส่วนหนึ่งของระบบเก็บลายนิ้วมืออุปกรณ์ APFC ของ LinkedIn ซึ่งสร้างโปรไฟล์ร่วมกับคุณลักษณะของเบราว์เซอร์และอุปกรณ์อีก 48 รายการ เช่น canvas fingerprint, WebGL, พฤติกรรมเสียง, ฟอนต์, ข้อมูลหน้าจอ, หน่วยความจำอุปกรณ์, WebRTC local IP เป็นต้น
  • ผลการตรวจจับถูกแพ็กเป็น AedEvent และ SpectroscopyEvent เข้ารหัสด้วยกุญแจสาธารณะ RSA แล้วส่งไปยังเอนด์พอยต์ li/track ของ LinkedIn โดย browsergate.eu ระบุว่าวิธีนี้เข้าข่ายละเมิด EU Digital Markets Act และมีการเปิดการสอบสวนทางอาญาแล้ว

รายการซอฟต์แวร์ที่ถูกผูกเข้ากับโปรไฟล์ระบุตัวบุคคล

  • โดยทั่วไป การเก็บลายนิ้วมือมักถูกมองว่าเป็นวิธีสำหรับจดจำเบราว์เซอร์ของผู้เยี่ยมชมแบบไม่ระบุตัวตนอีกครั้งโดยไม่ใช้คุกกี้
  • ในกรณีนั้น โปรไฟล์อาจระบุได้ในระดับอุปกรณ์ แต่ไม่จำเป็นต้องเชื่อมโยงกับตัวตนของบุคคลเสมอไป
  • LinkedIn ไม่ได้มีแค่ผู้เยี่ยมชมที่ไม่ระบุตัวตน แต่มีข้อมูล ชื่อ, นายจ้าง, ตำแหน่งงาน, ประวัติการทำงาน, ช่วงเงินเดือน, เครือข่ายวิชาชีพ, ตำแหน่งที่อยู่ ของผู้ใช้อยู่แล้ว
  • การสแกนส่วนขยายของ LinkedIn จึงไม่ใช่การสร้างโปรไฟล์อุปกรณ์ของผู้เยี่ยมชมที่ไม่รู้ว่าเป็นใคร แต่เป็นการเติมรายการซอฟต์แวร์แบบละเอียดลงบนตัวตนทางอาชีพที่ได้รับการยืนยันแล้ว
  • ในรายการสแกนของ LinkedIn มีส่วนขยายเกี่ยวกับการหางานอยู่หลายร้อยรายการ ทำให้สามารถเดาได้ว่าผู้ใช้กำลังหางานอย่างเงียบ ๆ ก่อนที่นายจ้างจะรู้หรือไม่
  • ยังมีส่วนขยายที่เกี่ยวข้องกับเนื้อหาทางการเมือง การปฏิบัติทางศาสนา เครื่องมือช่วยเหลือผู้พิการ และความหลากหลายทางระบบประสาทอยู่ในรายการด้วย ทำให้ซอฟต์แวร์ในเบราว์เซอร์อาจถูกใช้เป็นฐานในการอนุมานชีวิตส่วนตัวของบุคคล
  • เพราะ LinkedIn รู้ว่าผู้ใช้ทำงานที่ไหน ผลการสแกนของพนักงานคนหนึ่งจึงอาจช่วยบอกได้ไม่ใช่แค่เรื่องของบุคคลนั้น แต่ยังรวมถึงเครื่องมือภายในองค์กร ผลิตภัณฑ์ด้านความปลอดภัย บริการของคู่แข่ง และขั้นตอนการทำงานขององค์กรนั้นด้วย
  • privacy policy ของ LinkedIn ไม่ได้เปิดเผยเรื่องการสแกนส่วนขยาย และผู้ใช้ก็ไม่ได้ถูกขอความยินยอมหรือได้รับการแจ้งเตือน

ปัญหาที่ไปไกลกว่า LinkedIn

  • การบังคับใช้และบรรทัดฐาน

    • LinkedIn ใช้รายการส่วนขยายเพื่อตั้งข้อสังเกตเกี่ยวกับผู้ใช้ที่ติดตั้งส่วนขยายบางตัว และดำเนินมาตรการบังคับใช้
    • ตาม browsergate, Milinda Lakkam ยืนยันภายใต้คำสาบานว่า “LinkedIn took action against users who had specific extensions installed.”
    • ผู้ใช้ไม่มีทางรู้ได้เลยว่าซอฟต์แวร์ของตนกำลังถูกทำเป็นรายการ รายการนั้นถูกนำไปใช้ในทางเสียหายกับตน หรือเรื่องนี้ไม่ได้ปรากฏอยู่ในนโยบายความเป็นส่วนตัวของ LinkedIn

  • ระบบนิเวศของการเก็บลายนิ้วมือ

    • โดยปกติ การเก็บลายนิ้วมือของเบราว์เซอร์มักถูกมองว่าเป็นปัญหาที่เว็บไซต์หนึ่งรวบรวมสัญญาณต่าง ๆ เพื่อสร้างโปรไฟล์และจดจำผู้ใช้ข้ามเซสชัน
    • การสแกนส่วนขยายของ LinkedIn สร้างรายการซอฟต์แวร์แบบละเอียดที่เชื่อมกับตัวตนที่ผ่านการยืนยันแล้ว และโปรไฟล์นั้นไม่จำเป็นต้องอยู่แค่ภายใน LinkedIn
    • หาก LinkedIn ซื้อชุดข้อมูลพฤติกรรมจากบุคคลที่สาม และในนั้นมีลายนิ้วมือของผู้ใช้ LinkedIn ก็สามารถนำข้อมูลนั้นมาเติมเข้ากับข้อมูลผู้ใช้ที่มีอยู่แล้วได้
    • พฤติกรรมการท่องเว็บนอก LinkedIn ประวัติการซื้อ รูปแบบตำแหน่งที่อยู่ และความสนใจ อาจกลายเป็นส่วนหนึ่งของโปรไฟล์ที่เชื่อมโยงกับบัญชี LinkedIn
    • ในทางกลับกัน LinkedIn ก็ผสานสคริปต์จากบุคคลที่สาม รวมถึง Google reCAPTCHA enterprise ที่ถูกโหลดในทุกการเข้าหน้าเว็บ ทำให้ข้อมูลไหลข้ามแพลตฟอร์มได้
    • ลายนิ้วมือที่ LinkedIn เชื่อมเข้ากับตัวตนที่ผ่านการยืนยันแล้ว อาจส่งผลต่อระบบโฆษณาและติดตามนอก linkedin.com ด้วย
    • เมื่อล็อกอิน LinkedIn เพียงครั้งเดียว ลายนิ้วมือที่สร้างขึ้นจากการเยี่ยมชมนั้นอาจติดตามผู้ใช้ไปทั่วทั้งเว็บ

  • กลุ่มผู้ใช้ที่เผชิญความเสี่ยงจริง

    • สำหรับนักข่าว ทนาย นักวิจัย และผู้สืบสวนด้านสิทธิมนุษยชน โปรไฟล์ LinkedIn อาจเป็นเอกสารยืนยันตัวตนออนไลน์ที่ละเอียดที่สุดชิ้นหนึ่ง
    • โปรไฟล์ LinkedIn เป็นข้อมูลที่สร้างขึ้นโดยตั้งใจเพื่อการใช้งานทางวิชาชีพ ภายใต้ชื่อจริง
    • การสแกนส่วนขยายจะเชื่อมข้อมูลการติดตั้งเครื่องมือความเป็นส่วนตัว ส่วนขยายความปลอดภัย เครื่องมือสืบค้น และแอปเพิ่มประสิทธิภาพเข้ากับโปรไฟล์นั้น โดยที่ผู้ใช้ไม่รับรู้
    • หากใช้ LinkedIn และ Chrome การเก็บข้อมูลนี้กำลังเกิดขึ้นอยู่ในตอนนี้

APFC และการเก็บลายนิ้วมือ JavaScript ขั้นสูง

  • การสแกนส่วนขยายไม่ใช่ฟังก์ชันเดี่ยว แต่เป็นส่วนหนึ่งของระบบเก็บลายนิ้วมืออุปกรณ์ที่ LinkedIn เรียกภายในว่า APFC
  • APFC ย่อมาจาก Anti-fraud Platform Features Collection และภายในยังเรียกว่า DNA, Device Network Analysis ด้วย
  • LinkedIn เปิดเผยเกี่ยวกับวิธีติดตามแบบนี้มากกว่าการสแกนส่วนขยาย แต่เทคนิคเหล่านี้ก็พบได้ทั่วไปในเว็บไซต์เชิงพาณิชย์
  • ระบบนี้รวบรวม คุณลักษณะของเบราว์เซอร์และอุปกรณ์ 48 รายการ ในทุกการเยี่ยมชม
  • รายการที่เก็บรวมถึง canvas fingerprint, ตัวเรนเดอร์และพารามิเตอร์ของ WebGL, พฤติกรรมการประมวลผลเสียง, ฟอนต์ที่ติดตั้ง, ความละเอียดหน้าจอ, อัตราส่วนพิกเซล, hardware concurrency, หน่วยความจำอุปกรณ์, ระดับแบตเตอรี่, local IP address ผ่าน WebRTC, เขตเวลา และภาษา
  • การสแกนส่วนขยายเป็นเพียงหนึ่งในอินพุตที่ใช้ประกอบโปรไฟล์ที่ใหญ่กว่า

สิ่งที่เกิดขึ้นในทางเทคนิค

  • โค้ดของ LinkedIn ส่งคำขอ fetch() ไปยัง URL chrome-extension:// เพื่อค้นหาไฟล์เฉพาะที่อยู่ใน Chrome
  • หากไม่ได้ติดตั้งส่วนขยายนั้น Chrome จะบล็อกคำขอและบันทึกความล้มเหลวไว้ในล็อก
  • หากติดตั้งส่วนขยายนั้นอยู่ คำขอจะสำเร็จแบบเงียบ ๆ และ LinkedIn จะบันทึกผลนั้น
  • ในสภาพแวดล้อมที่ได้รับการยืนยัน การสแกนทำงานนานราว 15 นาที และค้นหาส่วนขยายมากกว่า 6,000 รายการ
  • ผู้ใช้สามารถยืนยันได้เองโดยเปิด LinkedIn ใน Chrome แล้วดูแท็บคอนโซลของเครื่องมือนักพัฒนา
  • ข้อผิดพลาดสีแดงแต่ละรายการในคอนโซลสอดคล้องกับบางส่วนของลายนิ้วมือผู้ใช้

โครงสร้างโค้ดและวิธีตรวจจับ

  • LinkedIn รันโค้ด JavaScript ในเบราว์เซอร์ของผู้เยี่ยมชม Chrome ทุกคน และระบบที่รับผิดชอบการสแกนส่วนขยายก็อยู่ในนั้น
  • ไฟล์ดังกล่าวเป็นไฟล์ JavaScript แบบย่อและถูกทำให้อ่านยากบางส่วน ขนาดประมาณ 1.6MB
  • การย่อโค้ดโดยทั่วไปคือการบีบอัดโค้ดเพื่อประสิทธิภาพ แต่การทำให้อ่านยากเป็นอีกขั้นตอนหนึ่งที่ทำให้โค้ดถูกอ่านและทำความเข้าใจได้ยากขึ้น
  • LinkedIn ทำให้โมดูลที่แน่นอนซึ่งบรรจุระบบสแกนส่วนขยายอ่านยาก และซ่อนไว้ในไฟล์ JavaScript ที่ยาวหลายพันบรรทัด
  • ภายในไฟล์มีอาร์เรย์ฮาร์ดโค้ดของ ID ส่วนขยายเบราว์เซอร์
  • ณ เดือนกุมภาพันธ์ 2026 อาร์เรย์นี้มี 6,278 รายการ
  • แต่ละรายการมีสองฟิลด์ คือ ID ของส่วนขยายบน Chrome Web Store และพาธไฟล์เฉพาะภายในแพ็กเกจของส่วนขยายนั้น
  • พาธไฟล์นี้ไม่ใช่ค่าที่สุ่มขึ้นมา แต่จำเป็นเพราะส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในแก่หน้าเว็บได้ผ่านฟิลด์ web_accessible_resources
  • หากมีการติดตั้งส่วนขยายและประกาศให้เข้าถึงไฟล์นั้นได้ คำขอ fetch() ที่ส่งไปยัง chrome-extension://{id}/{file} จะสำเร็จ
  • หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอ
  • LinkedIn ระบุไฟล์ที่เข้าถึงได้เฉพาะเจาะจงและตรวจจับโดยตรงสำหรับส่วนขยายทั้ง 6,278 รายการในรายการ
  • รายการนี้ยังคงได้รับการดูแลและขยายต่อไป และดูเหมือนว่าจะมีเครื่องมือที่ใช้ครอว์ลแพ็กเกจส่วนขยายใน Chrome Web Store แล้วพาร์ส web accessible resources จากแต่ละ manifest เพื่อเพิ่มเป้าหมายการตรวจจับ

โหมดการสแกนสองแบบและ Spectroscopy

  • การสแกนส่วนขยายทำงานอยู่สองโหมด
  • โหมดแรกใช้ Promise.allSettled() เพื่อส่งทุกคำขอพร้อมกัน และตรวจจับส่วนขยายทั้งหมดแบบขนาน
  • โหมดที่สองจะส่งคำขอแบบลำดับต่อเนื่อง โดยมีช่วงหน่วงที่ตั้งค่าได้ระหว่างแต่ละคำขอ เพื่อกระจายกิจกรรมเครือข่ายไปตามเวลาและทำให้สังเกตได้ยากขึ้นในเครื่องมือตรวจสอบ
  • LinkedIn สามารถสลับระหว่างสองโหมดนี้ได้ด้วย feature flag ภายใน
  • การสแกนอาจถูกหน่วงด้วย requestIdleCallback เช่นกัน ทำให้รันตอนที่เบราว์เซอร์ว่างเพื่อให้ผู้ใช้ไม่เห็นผลกระทบด้านประสิทธิภาพ
  • ระบบตรวจจับอีกตัวหนึ่งชื่อ Spectroscopy ทำงานแยกจากรายการส่วนขยาย
  • Spectroscopy จะไล่ดู DOM tree ทั้งหมดและตรวจสอบ text node กับ attribute ของ element ทุกตัวเพื่อหาอ้างอิง URL chrome-extension://
  • วิธีนี้สามารถจับส่วนขยายที่แก้ไขหน้าเว็บได้ แม้จะไม่ได้อยู่ในรายการฮาร์ดโค้ดของ LinkedIn
  • เมื่อรวมสองระบบเข้าด้วยกัน จึงครอบคลุมทั้งส่วนขยายที่ติดตั้งไว้และส่วนขยายที่โต้ตอบกับหน้าเว็บจริง

การส่งเทเลเมทรี

  • ระบบตรวจจับทั้งสองส่งผลลัพธ์ผ่าน telemetry pipeline เดียวกัน
  • ID ของส่วนขยายที่ตรวจพบจะถูกแพ็กเป็นอ็อบเจ็กต์ AedEvent และ SpectroscopyEvent
  • อ็อบเจ็กต์เหล่านี้จะถูกเข้ารหัสด้วยกุญแจสาธารณะ RSA แล้วส่งไปยังเอนด์พอยต์ li/track ของ LinkedIn
  • ลายนิ้วมือที่เข้ารหัสแล้วจะถูกแทรกเข้าไปใน HTTP header ของทุกคำขอ API ที่เกิดขึ้นในเซสชันถัดมา
  • LinkedIn ได้รับค่านี้พร้อมกับทุกการกระทำที่ผู้ใช้ทำระหว่างการเยี่ยมชม

บริบททางกฎหมาย

  • browsergate.eu ได้สรุปเหตุผลทางกฎหมายที่เกี่ยวข้องไว้อย่างละเอียด
  • ในปี 2024 Microsoft ถูกกำหนดให้เป็น gatekeeper ภายใต้ EU Digital Markets Act และ LinkedIn เป็นหนึ่งในผลิตภัณฑ์ที่อยู่ภายใต้การกำกับดูแล
  • DMA กำหนดให้ gatekeeper ต้องอนุญาตให้เครื่องมือของบุคคลที่สามเข้าถึงข้อมูลผู้ใช้ และห้ามดำเนินการกับผู้ใช้ของเครื่องมือเหล่านั้น
  • browsergate.eu มองว่า LinkedIn ละเมิดข้อกำหนดดังกล่าว เพราะบังคับใช้มาตรการต่อผู้ใช้เครื่องมือของบุคคลที่สามอย่างเป็นระบบ และใช้การสแกนส่วนขยายแบบลับเพื่อระบุตัวผู้ใช้เหล่านั้น
  • ข้ออ้างนี้จะได้รับการยอมรับทางกฎหมายหรือไม่ ยังเป็นเรื่องของการวินิจฉัยทางกฎหมาย
  • หน่วย Cybercrime ของ Bavarian Central Cybercrime Prosecution Office in Bamberg ยืนยันว่ามีการเปิดการสอบสวนทางอาญาแล้ว
  • หน่วยงานนี้รับผิดชอบคดีอาชญากรรมไซเบอร์ร้ายแรงที่ข้ามเขตอำนาจศาล
  • browsergate.eu ระบุว่าได้ยืนยันการสอบสวนทางอาญาและให้หมายเลขคดีไว้แล้ว พร้อมบอกว่ากำลังเตรียมเผยแพร่เอกสารศาลฉบับเต็ม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความคิดเห็นจาก Hacker News

  • “แทบไม่มีข้อสงสัยเลยว่ามีการเริ่มสืบสวนทางอาญาแล้ว” ดีเลย บริษัทแบบนี้ สมควรโดนขว้างหิน และควรรับผลที่หนักกว่านั้นด้วย

    • สิ่งที่จำเป็นจริงๆ คือการเปิดโปงว่าเดิมทีนี่เป็น ไอเดียของใคร
      ถ้าเป็นทีมที่ตั้งใจจะไม่ทำเว็บไซต์ให้พังแย่กว่ามาตรฐานเฉลี่ย ก็ควรคัดผู้สมัครออกได้จากรายชื่อ ตัวการทำบริการเสื่อมคุณภาพที่รู้กันอยู่แล้ว
      อาจสายเกินไปแล้วที่จะตัดไฟแต่ต้นลม แต่ก็ไม่มีเหตุผลที่จะปล่อยให้คนพวกนี้ยังทำงานได้โดยไร้ข้อจำกัดและเติบโตต่อไป

  • “ต่อมาพอเห็นคนพูดถึง browsergate บน mastodon ก็คิดว่า ‘คงไม่จริงมั้ง’ แต่ปรากฏว่ามีการเตรียมฟ้องร้องจริง” - un-nf
    Farrell v LinkedIn Corporation 4:26-cv-02953-KAW (N.D. Cal. Apr. 6, 2026)
    https://ia601503.us.archive.org/33/items/gov.uscourts.cand.4...

  • ทำไม Chrome ของฉันถึงบอกเว็บไซต์ไหนก็ได้ว่าฉันติดตั้งส่วนขยายอะไรไว้?

    • เอาจริงๆ ไม่ได้บอกตรงๆ แบบนั้น มันสร้างรายการ ID ของส่วนขยายกับรายชื่อไฟล์ที่ทราบว่ามีอยู่ในส่วนขยายนั้น แล้วให้เว็บไซต์ไล่ตรวจแต่ละคู่ด้วยการพยายามโหลดไฟล์นั้น
      ถ้าไม่เกิดข้อผิดพลาด ก็แปลว่าส่วนขยายนั้นถูกติดตั้งอยู่ เป็นวิธีที่ฉลาดและใช้แรงเยอะ แต่ก็เป็นการเลี่ยงกลไกความปลอดภัยที่มีไว้เพื่อป้องกันเรื่องแบบนี้
      เท่าที่อ่านมา เหตุผลที่ใช้วิธีนี้คือเพื่อบล็อกผู้ใช้ ส่วนขยายสำหรับสแครปข้อมูล ที่รู้กันว่าใช้หลบข้อกำหนดการใช้งาน แต่ฉันก็ยังไม่ค่อยเชื่อนัก
    • ส่วนที่เกี่ยวข้องในต้นฉบับคือ:
      “ส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในให้หน้าเว็บเห็นได้ผ่านฟิลด์ web_accessible_resources ใน manifest.json หากส่วนขยายนั้นถูกติดตั้งและเปิดเผย resource ไว้ คำขอ fetch() ไปยัง chrome-extension://{id}/{file} จะสำเร็จ หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอและ promise จะ reject
      LinkedIn ทดสอบส่วนขยายทุกตัวในรายการด้วยวิธีนี้”
    • จะถามคำถามเดียวกันนี้กับ ความผิดพลาดด้านความปลอดภัย สุดเลวร้ายที่เว็บเบราว์เซอร์ก่อมาตลอดหลายสิบปีก็ได้
    • ข้อมูลนั้นถูกส่งให้เว็บไซต์เลยเหรอ? ฉันนึกว่าเป็นการแฮ็กแบบใหม่ที่ตรวจจับเองผ่านพฤติกรรมบางอย่างซึ่งจะเกิดขึ้นก็ต่อเมื่อติดตั้งส่วนขยายบางตัว
      แต่ถ้าต้องทำกับ ส่วนขยาย 6,300 ตัว มันก็ดูงานเยอะเกินไป มีบริการที่ทำเรื่องนี้ให้หรือเปล่า?
    • Brave บล็อกเรื่องนี้ไว้ชัดเจน

  • ทุกคน ถ้าในที่ทำงานถูกขอให้ทำแบบนี้ คุณจะเลือกอะไร: คัดค้านและยืนกรานจนตกงาน หรือทำตามเพื่อรักษางานไว้
    ในฐานะคนทำงานจริง เส้นแบ่งระหว่าง telemetry กับการสอดส่อง ควรอยู่ตรงไหน?

    • ฉันเลือกไม่ทำงานที่ LinkedIn, Meta หรือที่ไหนก็ตามที่รับเงินจากซาอุหรืออิสราเอล หางานจะยากขึ้นนิดหน่อย แต่หลับสบายกว่าตอนกลางคืน
    • ยังมีทางเลือกที่สาม คือรับปากว่าจะทำ แล้วจงใจทำไม่สำเร็จหรือถ่วงเวลาไปเรื่อยๆ ยากที่จะพิสูจน์ว่าคุณตั้งใจทำงานพัง
      แต่ถ้าคุณกำลังเล่นเกมแบบนั้นอยู่ ก็อาจถึงเวลาหางานใหม่แล้ว ;)
    • ฉันคิดว่าการ แจ้งให้โลกภายนอกรู้ว่าจะเกิดอะไรขึ้น แบบไม่เปิดเผยตัวตนก็เป็นทางเลือกนะ แบบนั้นก็ยังรักษางานไว้ได้และอย่างน้อยคนอื่นก็จะได้รับรู้
      เพียงแต่ถ้ามีคนรู้เรื่องนี้อยู่แค่สักสามคน ก็คงเดาได้ทันทีว่าเป็นใคร
    • ฉันก็คิดเหมือนกันว่า คนที่สร้างสิ่งนี้อาจไม่ได้เปลี่ยนงานได้ง่าย และอาจต้องพึ่งงานนี้เพราะประกันสุขภาพหรือเหตุผลทางการเงิน อาจอยู่ในสภาพที่เอาเงินเดือนมาประคองชีวิตเดือนต่อเดือน
      ผู้จัดการที่สั่งการก็อาจอยู่ในสถานะคล้ายกัน ส่วนผู้จัดการเหนือขึ้นไปสนใจแค่รายได้เพิ่มโดยไม่แคร์วิธีการ ถึงอย่างนั้นก็น่าจะต้องมีใครสักคนพูดว่า “เรากำลังทำอะไรกันอยู่เนี่ย?” มันแปลกมาก
      ถ้าจะตอบคำถาม ฉันก็คงคัดค้านแน่นอน ตอนนี้ฉันโชคดีพอที่จะเลือกแบบนั้นได้โดยไม่ต้องจ่ายราคาที่หนักเกินไป แต่จะมีใครมาโพสต์บน HN ว่า “ใช่ ฉันไม่มีศีลธรรม!” กันล่ะ? ต่อให้เป็นบัญชีเผาเราก็ไม่มีทางรู้ว่าเรื่องจริงไหม
    • พูดตามตรง ถ้าเป็นฉันก็คงทำ มันเป็น ความรับผิดชอบของ Chrome ที่ปล่อยให้ทุกเว็บไซต์รู้ว่าส่วนขยายอะไรถูกติดตั้งไว้ และยังไงมันก็ไม่ได้สร้างความเสียหายให้ผู้ใช้โดยตรงอยู่ดี

  • ส่วนที่ฉันคิดว่าเกี่ยวข้องที่สุดในต้นฉบับคือ:
    “ส่วนขยาย Chrome สามารถเปิดเผยไฟล์ภายในให้หน้าเว็บเห็นได้ผ่านฟิลด์ web_accessible_resources ใน manifest.json หากส่วนขยายนั้นถูกติดตั้งและเปิดเผย resource ไว้ คำขอ fetch() ไปยัง chrome-extension://{id}/{file} จะสำเร็จ หากไม่ได้ติดตั้ง Chrome จะบล็อกคำขอและ promise จะ reject
    LinkedIn ทดสอบส่วนขยายทุกตัวในรายการด้วยวิธีนี้”

    • ถ้างั้นสามารถสร้าง ส่วนขยายปลอมที่แสร้งว่าติดตั้งอยู่ โดยตอบใช่/ไม่ใช่แบบสุ่มกับคำถามพวกนี้ได้ไหม? ดูค่อนข้างชัดว่า LinkedIn หรือเว็บทำ fingerprint อื่นๆ ทดสอบไฟล์ไหนบ้าง และอย่างที่ผู้เขียนต้นฉบับบอก มันสังเกตได้
      ก็น่าสนใจเหมือนกันว่าจะมีเว็บไซต์อื่นไหนที่ทดสอบไฟล์ชุดเดียวกันบ้าง มีใครสำรวจเรื่องนี้ไปแล้วหรือยัง?
    • โค้ดที่มาจากเว็บไซต์ ไม่ใช่โค้ดจากส่วนขยายด้วยซ้ำ ไม่น่าจะถูกปล่อยให้เข้าถึงสิ่งนั้นได้

  • นี่เป็นแนวปฏิบัติที่ค่อนข้างมาตรฐานใน การทำ device fingerprinting LinkedIn น่าจะใช้มันเพื่อปกป้องแพลตฟอร์มจากการสแครปข้อมูลหรืออะไรทำนองนั้น และรายชื่อส่วนขยายก็มี entropy มากพอที่จะใช้ระบุตัวผู้ใช้และเป็นองค์ประกอบที่มีประโยชน์ของ fingerprint ได้

    • ตอนนี้การสร้างส่วนขยายที่ช่วยสแครปข้อมูลขึ้นมาใช้เองทีเดียวก็ง่ายมากอยู่แล้ว และ LinkedIn ก็แทบทำอะไรเพื่อหยุดมันไม่ได้
      ฉันเคยเห็นคนสร้างและติดตั้งส่วนขยาย Chrome แบบโลคัลได้ภายในไม่กี่วัน แล้วทำให้ AI ถูกฉีดเข้าไปใน developer tools เพื่อสแครปได้แทบทุกเว็บไซต์ เรื่องนั้นเกิดขึ้นเมื่อไม่กี่เดือนก่อนเอง
      ฉันคิดว่าเดี๋ยวนี้แทบไม่มีวิธีป้องกันเรื่องแบบนั้นได้ง่ายๆ แล้ว มาตรการ defensive programming แบบนี้จะไร้ประโยชน์ก็เป็นแค่เรื่องของเวลา

  • นี่ หลอนข้อมูล หรือเปล่า? หา quote นี้จากที่อื่นไม่เจอเลย
    “ตาม browsergate นั้น Milinda Lakkam ยืนยันภายใต้คำสาบานว่า ‘LinkedIn ได้ดำเนินการกับผู้ใช้ที่ติดตั้งส่วนขยายบางตัว’”

    • ก็จริงอยู่ระดับหนึ่ง แต่ไม่ใช่คำพูดตามตัวอักษร ฉันไม่ได้ไล่ย้อนกลับไปไกลกว่าลิงก์นี้:
      https://browsergate.eu/the-evidence-pack/
      ระบบของ LinkedIn “อาจได้ดำเนินการกับผู้ใช้ LinkedIn ที่ติดตั้ง [XXXXXX]”
      แก้ไข: ดีเลย! เพิ่งสังเกตว่าข้อความที่ย่อหน้าเข้าไปตอนนี้ตัดบรรทัดบนเบราว์เซอร์มือถือแล้ว อย่างน้อยใน ffm เป็นแบบนั้น สงสัยว่าแก้ตั้งแต่เมื่อไร

  • พูดอย่างเป็นธรรม นโยบายความเป็นส่วนตัวของ LinkedIn ระบุไว้ชัดเจน ว่ามีการเก็บข้อมูลนี้ ดู https://www.linkedin.com/legal/privacy-policy?ref=cms.hondas...
    “1.5 อุปกรณ์และตำแหน่งที่ตั้ง
    เมื่อคุณเข้าใช้หรือออกจากบริการของเรา (รวมถึงปลั๊กอินบางตัวของเรา และคุกกี้ของเราหรือเทคโนโลยีที่คล้ายกันบนเว็บไซต์ของผู้อื่น) เราจะได้รับ URL ของทั้งเว็บไซต์ที่คุณมาจากและเว็บไซต์ที่คุณไป รวมถึงเวลาที่คุณเข้าใช้งาน เรายังได้รับข้อมูลเกี่ยวกับเครือข่ายและอุปกรณ์ของคุณด้วย (เช่น IP address, proxy server, operating system, web browser และ add-ons, device identifiers และ features, cookie IDs และ/หรือ ISP หรือผู้ให้บริการมือถือของคุณ) หากคุณใช้บริการของเราจากอุปกรณ์มือถือ อุปกรณ์นั้นจะส่งข้อมูลตำแหน่งที่ตั้งมาให้เราตามการตั้งค่าโทรศัพท์ของคุณ เราจะขอให้คุณ opt-in ก่อนใช้ GPS หรือเครื่องมืออื่นเพื่อระบุตำแหน่งที่แน่นอนของคุณ”
    ส่วนที่เกี่ยวข้องตรงนี้คือ “รวมถึงปลั๊กอินบางตัว

  • ฉันลบบัญชี LinkedIn ไปแล้ว และชีวิตก็ดีขึ้น

    • นั่นเป็นคำพูดของคนที่มีงานอยู่แล้ว การหางานโดยไม่มีบัญชี LinkedIn ไม่ได้ง่ายขนาดนั้น