Suicide
08.06.2020, 18:28
В web-браузере Brave выявлена (https://twitter.com/cryptonator1337/status/1269201480105578496) подстановка реферальных ссылок при попытке открытия некоторых сайтов через набор их домена в адресной строке (на открытых страницах ссылки не изменяются). Например, при вводе "binance.com" в адресной строке система автодополнения ввода автоматически добавляет к домену реферальную ссылку "binance.com/en?ref=35089877". Аналогичное поведение наблюдалось для доменов coinbase.com, binance.us, ledger.com и trezor.io. Подобные действия были (https://www.reddit.com/r/linux/comments/gya0jv/brave_browser_is_hijacking_links_and_inserting/) восприняты (https://news.ycombinator.com/item?id=23442027) многими как некорректная манипуляция, подрывающая доверие пользователей, или как попытка скрыто заработать нечистых на руку участников проекта.
Руководитель проекта пояснил (https://twitter.com/BrendanEich/status/1269313200127795201), что появление (https://github.com/brave/brave-browser/issues/10129) подобной функциональности в механизме автодополнения ввода вызвано ошибкой. Brave действительно связан партнёрской программой с Binance и некоторыми другими криптобиржами, но реферальный код используется в виджете, показываемом в отключаемом рекламном блоке на странице новой вкладки. Автодополение ввода не должно было добавлять реферальный код к вводимому адресу и эта проблема будет устранена.
Проблема вызвана недоработкой в коде передачи идентификатора партнёра при трансляции из адресной строки запросов к поисковым системам. Ввод ключевых слов в адресной строке приводит к отправке запроса к поисковой системе с передачей индентификатора - подобные идентификаторы передают все браузеры, участвующие в программах оплаты отчислений поисковыми системами за трафик. Из-за ошибки прямой ввод домена рекомендуемого (https://github.com/brave/brave-core/blob/1cac2377c9a2d5e35873d4d3d74130336b86d062/components/omnibox/browser/suggested_sites_provider_data.cc) партнёрского сервиса также приводил к прикреплению идентификатора партнёра в адресной строке.
Напомним, что web-браузер Brave (https://brave.com/) развивается под руководством Брендена Айка (Brendan Eich), создателя языка JavaScript и бывшего руководителя Mozilla. Браузер построен на базе движка Chromium, сосредоточен на оберегании приватности пользователей, включает интегрированный движок для вырезания рекламы, может работать через Tor, предоставляет встроенную поддержку HTTPS Everywhere, IPFS и WebTorrent, предлагает (https://www.opennet.ru/opennews/art.shtml?num=51859) альтернативный баннерам механизм финансирования издателей на основе подписки. Код проекта распространяется (https://github.com/brave/brave-browser) под свободной лицензией MPLv2.
Дополнение: Исправление свелось (https://github.com/brave/brave-browser/issues/10129#issuecomment-640187828) к отключению по умолчанию настройки, управляющей подстановкой рекомендаций Brave при автодополнении в адресной строке (ранее настройка была включена по умолчанию). Сам список замен, в котором обозначены реферальные ссылки, оставлен (https://github.com/brave/brave-core/blob/master/components/omnibox/browser/suggested_sites_provider_data.cc) в том же виде.
https://www.opennet.ru/opennews/pics_base/0_1591593415.png (https://user-images.githubusercontent.com/4733304/83965222-e1fff500-a866-11ea-8d08-6e44d69545c0.png)
07.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53112
Руководитель проекта пояснил (https://twitter.com/BrendanEich/status/1269313200127795201), что появление (https://github.com/brave/brave-browser/issues/10129) подобной функциональности в механизме автодополнения ввода вызвано ошибкой. Brave действительно связан партнёрской программой с Binance и некоторыми другими криптобиржами, но реферальный код используется в виджете, показываемом в отключаемом рекламном блоке на странице новой вкладки. Автодополение ввода не должно было добавлять реферальный код к вводимому адресу и эта проблема будет устранена.
Проблема вызвана недоработкой в коде передачи идентификатора партнёра при трансляции из адресной строки запросов к поисковым системам. Ввод ключевых слов в адресной строке приводит к отправке запроса к поисковой системе с передачей индентификатора - подобные идентификаторы передают все браузеры, участвующие в программах оплаты отчислений поисковыми системами за трафик. Из-за ошибки прямой ввод домена рекомендуемого (https://github.com/brave/brave-core/blob/1cac2377c9a2d5e35873d4d3d74130336b86d062/components/omnibox/browser/suggested_sites_provider_data.cc) партнёрского сервиса также приводил к прикреплению идентификатора партнёра в адресной строке.
Напомним, что web-браузер Brave (https://brave.com/) развивается под руководством Брендена Айка (Brendan Eich), создателя языка JavaScript и бывшего руководителя Mozilla. Браузер построен на базе движка Chromium, сосредоточен на оберегании приватности пользователей, включает интегрированный движок для вырезания рекламы, может работать через Tor, предоставляет встроенную поддержку HTTPS Everywhere, IPFS и WebTorrent, предлагает (https://www.opennet.ru/opennews/art.shtml?num=51859) альтернативный баннерам механизм финансирования издателей на основе подписки. Код проекта распространяется (https://github.com/brave/brave-browser) под свободной лицензией MPLv2.
Дополнение: Исправление свелось (https://github.com/brave/brave-browser/issues/10129#issuecomment-640187828) к отключению по умолчанию настройки, управляющей подстановкой рекомендаций Brave при автодополнении в адресной строке (ранее настройка была включена по умолчанию). Сам список замен, в котором обозначены реферальные ссылки, оставлен (https://github.com/brave/brave-core/blob/master/components/omnibox/browser/suggested_sites_provider_data.cc) в том же виде.
https://www.opennet.ru/opennews/pics_base/0_1591593415.png (https://user-images.githubusercontent.com/4733304/83965222-e1fff500-a866-11ea-8d08-6e44d69545c0.png)
07.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53112