search

h-enes-simsek / EksiEngel

Google Chrome extension that allows mass blocking of authors for the social media platform Ekşi Sözlük.
https://h-enes-simsek.github.io/EksiEngel/
MIT License
13 stars 3 forks source link

Eklenti Site Erişim İzinleri Kısıtlaması #12

Open Ardakilic opened 7 months ago

Ardakilic commented 7 months ago

Merhaba,

Eklenti şu an tüm sitelere erişebiliyor. Bunun sebebi de geçenlerde olan alan adı değiştirme sebebiyleydi. An itibari ile eksisozluk.com a erişim engeli kalmadığından izinlerin eski hale döndürülmesi daha iyi olacaktır.

Eklenti tarayıcıdaki Her sekmede script'ini inject ediyor an itibari ile.

Teşekkürler,

h-enes-simsek commented 7 months ago

Merhaba,

Evet haklısınız şu anda tüm sitelere Ekşi Engel scripti enjekte ediliyor. Ekşi Sözlük domain değiştirdikçe eklentiyi güncellemek gerekiyordu. Sürekli güncellememek, daha da önemlisi domain değişikliklerine daha hızlı tepki vermek için tüm sitelere erişim izni gerekti. Şu an öyle bir ihtiyaç yakında görünmese de gelecekte Ekşi Sözlük'ün engellenip engellemeyeceğini bilmiyorum.

Diğer yandan tüm sitelere erişim izni aslında alması zor ve zaman alan bir izin. Şimdi vazgeçtikten sonra gelecekte lazım olursa tekrar bu iznin verileceğinden şüphe ediyorum. Bundan dolayı da bu kadar hızlı vazgeçmek istemiyorum.

Son olarak enjekte edilen script, sadece birkaç MutationObserverdan ibaret. İzinden vazgeçmediğim halde yine de bunu yapmamak için her siteye 'programmatically' script enjekte edebilirim. Ama bu takdirde eklenti her sitede arka planda çalışıp enjekte edip edilmemesi gerektiğine karar verecek. Her site için eklentinin çalışması mı yoksa basit bir script enjekte edilmesi mi tarayıcıyı daha az yorar diye düşündüğümde script enjekte etmenin daha uygun olduğunu düşündüm.

Bu durumda sanırım en iyisi debug mesajlarını silmek :D böylece konsolu açtığınızda sürekli Ekşi Engel'i görmezsiniz.

Ardakilic commented 7 months ago

@h-enes-simsek Derdim konsolda mesajı görmek görmemek değil ki 🤦‍♂️ İstemediğim sitelere varsayılan olarak telemetry'si açılmış eklentinin inject olması. İnject olduktan sonra göreyim görmeyeyim 🤷‍♂️

Eklenti tarayıcıdaki Her sekmede script'ini inject ediyor an itibari ile.

İçinde ne observer çalıştırdığından bağımsız, bunun ne kadar riskli bir izin olduğunu anlatmama gerek yok herhalde.

Kapatabilirsin konsol debug mesajını, kapat da hatta. Zaten sources/content scripts kısmında da görebiliyorum, bu kaygıyla gelen adama konsolu gizlemenin bir manası yok, ondan gizleyebilirsin istersen ":D"

image

Kaygını anlamakla birlikte o zaman ben bu durumda temeletry'nin varsyaılan olarak kapanmasını öneriyorum. Kurulum ardından açılan popup'ta rica edebilirsin.

Programatik bir hatadan dolayı herhangi bir siteden herhangi bir bilginin tarafına aktarılmayacağının, bu zaafın paketleme aşamasında bile çıkmayacağının hiçbir garantisi yok. Ben de bu açıdan biraz paranoyak / defansif bakıyorum mevzuya.

Umarım telemetry'i varsayılan olarak kapatmayı değerlendirirsin diyim o zaman.

Teşekkürler, başarılar dilerim.

h-enes-simsek commented 6 months ago

Derdim konsolda mesajı görmek görmemek değil ki 🤦‍♂️ İstemediğim sitelere varsayılan olarak telemetry'si açılmış eklentinin inject olması. İnject olduktan sonra göreyim görmeyeyim 🤷‍♂️ Tabiki derdiniz bu değil, ben de böyle düşünmüyorum zaten. Esprili bir şekilde wontfix mesajı yazmaya çalıştım ama çok gergin olduğunuz için anlayamadınız sanırım.

Konu hakkında çeşitli insanlara danıştıktan ve bir miktar araştırma yaptıktan sonra eklentinin her siteye erişmesi benim de hoşuma gitmedi her ne kadar her erişilen siteden iddia ettiğiniz verileri toplamasa da. Ayrıca ben ne kadar Ekşi Sözlük'ün gerçek domaini tespit edilmeden ve kullanıcı bir butona basmadan veri toplanmıyor desem de gerçekte tam neyin çalıştığını oturup herkes inceleyecek değil. En iyisi biraz esneklikten vazgeçip güvenliğe öncelik vermek.

Şu an Ekşi Sözlük domain değiştirirse eklentinin adapte olması (nerdeyse) otomatik olarak gerçekleşiyordu ancak tüm sitelere erişimden vazgeçtiğimde eklenti güncellenene kadar çalışmayacak. Bir sonraki güncellemede gerekli düzenlemeleri yapacağım. Katkıda bulunduğunuz için teşekkür ederim.

Ardakilic commented 6 months ago

Gergin değilim, aksine normal hayatta ciddiyetten yıpranmış insanlar çevremde olduğumdan olayları normalden daha çok ti'ye alan goygoy yapan biriyim diyebilirim :) Lakin, karakterden bağımsız olarak, güvenlik özelindeki kaygıların espriyle karşılanmaması gerektiği taraftarıyım.

Edit: Bu arada ben amacı dışında veri topladığını iddia etmiyorum, kodu açık zaten, ama, olası bir zaaf buna yol açabilir, eklenti bundle edilirken girecek bir malware gider inject olur request atmaktan başlayarak teoride fantastik şeyler yapabilir. Bu nedenle hassas siteleri açtığımızda (govtr siteler, banka, borsalar vs.) eklentinin yüklenmesinin izni hiçbir şey yapmasa bile bence hoş değil demeye çalıştım kısaca.

Değerlendirdiğin için çok teşekkür ederim. Umarım sualde güzel bir senteze varılır.

Kolaylıklar dilerim.