「ブラウザ拡張」タグアーカイブ

有名人をフィーチャーしたブラウザ拡張

nCage

説明不要の有名俳優ニコラス・ケイジ。ブラウザ拡張 nCage は、ウェブページ上のすべての画像をニコラス・ケイジの画像に差し替えてくれるという、彼のファンにはたまらない拡張機能です。

Yahoo!ニュースをこの拡張で表示するとこんな感じに。

ncage on Yahoo Japan News

Rick Roulette

YouTube上の動画を、ランダムにリック・アストリーの”Never Gonna Give You Up”に差し替えるという拡張です。置き換わる確率はデフォルトで6分の1、つまり6回に一回ですが、これは設定で変更できます。

ブラウザ拡張の公式サイトがあり、ソースコードはgithubで公開されています

Cenafy

WWEの人気レスラー、ジョン・シナ。シナ化(Cenafy)という名前のこの拡張を入れると、新たにページを開いた際に1/100の確率でジョン・シナ登場シーンの動画を自動再生してくれます。

こちらは動作状態を撮影した動画。動画の00:30 あたりで拡張が発動します。

ファンの人はネットサーフィン中に定期的に流れるシナの動画にアガるんでしょうか。

McKayla Is Not Impressed

アメリカの体操選手マッケイラ・マロニー。ロンドン五輪で銀メダルに終わった際の「不満顔」がネット・ミームとなり、アメリカではとても有名だそうです。

オバマ前大統領と不満顔でのツーショット

「McKayla Is Not Impressed(マッケイラは感心しない)」というネット・ミーム名をそのままつけたこのブラウザ拡張では、ウェブサイト上の画像に、ランダムにマッケイラ・マロニー選手が不満顔で入り込みます。

Cera is planet

子役からコメディ俳優になったマイケル・セラのブラウザ拡張。

この拡張は、サイト上の画像を全部マイケル・セラの写真に差し替えます。さらに、ページ上に”planet”(惑星)の文字があると、”Cera”に置き換えます。

BarbBlock – ブラックリストをDMCAで止めようとする組織をブロックするブラウザ拡張

盗用されたコンテンツを差し止めるための DMCA (デジタルミレニアム著作権法)という仕組みがアメリカにはあります。

YouTube などで、第三者が勝手に映画や音楽をアップロードしていたものを開いた時に「DMCA に基づいて」動画が観えなくなっていたりするので見覚えがあるかもしれません。

本来の権利者がコンテンツを守るために DMCA に従って取り下げ請求をするのは正しい使い方なのですが、世の中には自分が気に入らない情報をウェブから消すためにこの DMCA 請求を濫用している人たちというのもいます。

自分たちのドメインが掲載されているウェブ上のブラックリストに対して、DMCA の方式に従って「著作権侵害だ」と訴えることで、ホスティングサービス等がとりあえず掲載を止める、ということが実際に起こっているそうです。本当に侵害している場合もありますから、サービス側は掲載者に確認するまで止めざるを得ない、それを利用しているわけです。

BarbBlock は、そんな DMCA の濫用者のドメインをブロックするというブラウザ拡張です。ChromeWeb Extension 形式で Firefox に対応し、またテキストのリストも公開されていて AdBlock Plus など外部のブラックリストを読み込める拡張で(新たに別のブラウザ拡張をインストールしなくても)使うこともできます。すべてのソースコードも Github で公開されています。

BarbBlock の作者は、「ブラックリストに対して DMCA で公開を止めようとする時点で、濫用者である」という考え方でこのブラウザ拡張を制作公開したようです。

ちなみに、BarBlock の名前は、ストライサンド効果の名前の由来となった女優のバーバラ・ストライサンド氏から来ています。「ウェブから消そう消そうとするほど逆に広まってしまう」というストライサンド効果で、DMCA を濫用する者たちの行動を止めようというわけ。

これが正しいか意味があるかとかはともかく、コードを使った社会運動の一種と言えそう。実際にこの拡張をインストールする人がそんなにいるとは思えませんが、ブラックリストを止めようとしたらこっちのブラックリストにもドメインが増えちゃうわけで。

via Hacker News

ハートになったツイッターのお気に入りを星に戻す Fav Forever

Chromeブラウザ拡張 Fav Forever は、ハートに変わってしまったツイッターのお気に入りマークを、自分のパソコンのブラウザでだけ星に戻すための拡張機能です。(寿司ではなく)

拡張をインストールすると、変わってしまったこれが、

twitter-fav-heart

慣れ親しんだこれに戻ります。

twitter-fav-star

ブラウザ拡張なのでソースを(邪悪なものが混じったりしてないか)読んでみましたが、今の ver 1.0 はシンプルで問題のないものでした。

入れて比較してみて改めて気づきましたが、お気に入りを押すときにこんなアニメーションをしてたんですね。

via The Verge

Facebookスタンプを見えなくする Unsticker Me ブラウザ拡張

Unsticker Me は、@rodneyfolz による、Facebookのスタンプ(sticker = ステッカー)を見たくない人のためのブラウザ拡張です。

unsticker-me-top

Firefox や Chrome ブラウザにこの拡張を入れると、Facebook メッセージやコメントでのスタンプ画像が、表示されなくなります。

unsticker-me

左のようなメッセージ欄も、右のようにスッキリ。

cssを書き換えてスタンプの画像の代わりに[sticker]という文字を表示させているだけですけどね。[スタンプ]とだけ表示されても困ると思いますが、日本のLINEユーザーのような、スタンプ中心とかスタンプだけで会話を成立させてしまうようなやりとりは想定していないのかもしれません。

普通にテキストで情報を伝えた上でアクセント的に添えられるスタンプが嫌いだ、という人をターゲットにしているのかも。

via Hacker News

Awesome Screenshot が閲覧したサイトのURLを収集している疑い

ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。

Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。

外部から知りえないURLがアクセスされるからには、メンバーの誰かのクライアント側からURL情報が外部に漏れているのはと考えたチームは、内部で使われているブラウザ拡張を精査し、Diigo社のChrome拡張Awesome Screenshot がURLをネットに対して送信していることを見つけた、ということです。

awesome-screenshot-install-page

このAwesome Screenshot拡張、ブラウザ上で画面を画像として保存できる拡張機能で、日本語化もされています。メインの機能自体は使いやすいと評判が良いようで、日本語で推薦するブログ記事もいくつも見つかります。

しかし、この拡張をオンにしてウェブを閲覧していると、見ているページのURLが、Base64 エンコードを(なぜか2度)掛けて ld.crdui.com というドメインへ送られているというのです。

無関係なサーバに閲覧履歴を送る、なんてことをしているからには、当該部分のコードは、当然難読化されているのかと思いましたが、拡張のソースコードを見てみると tr.js というファイル中で送り先のURLや情報を送信するコードが隠されもせずに普通に読める形で書かれていますね。

SimilarWeb の元データ?

こちらのページでは、このAwesome Screenshot 拡張が7つもの外部のサーバにアクセスしていることを問題にしていますが、lb.crdui.com もこの7つのうちの1つで、webovernet.com にリダイレクトします。このwebovernet.com は SimilarWeb のサイトだと主張している人複数います。

SimilarWeb は、「このサイトを見ている人はこちらのサイトも見ています」というのを調べたりできるwebサイトです。サイトのページビューや訪問者数などの推測データも出してくれる数少ないwebサービスですが、以前から、どうやって色々なサイトのアクセス数などをそこそこ正確に推測できているのか、不思議に思われていました。

もし、Awesome Screenshot などのブラウザ拡張が SimilarWeb にユーザーのアクセスしたURL情報を横流ししているとすれば、サイトのトラフィックを推測できるのも道理です。

冒頭のbot、niki-bot の使っていたIPアドレスが、以前にSimilarWeb.com の使っていたアドレスだったという証拠も出てきました。

以上から、niki-bot = crdui.com = SimilarWeb が同じ運営者によるものという可能性は高いでしょう。

スクリーンショットを撮るために、どうして訪問したサイトのURLを外部に送信しなければいけないのか、Awesome Screenshot のインストールページには説明がありませんし、このURL送信を止めるオプションも無いようです。

パスワードなどの認証ではなく、URLのアドレスをランダムで長い文字列にすることによって関係者にしか開かれないページを作ったり共有したりできるサービスも多いですが、こういった擬似的な秘密ページも、そのまま送られてしまっては秘密でなくなります。

AlexaのAPIを使う拡張などで、閲覧ページの情報を収集するようなものもありますが、ユーザーが把握していたり、前記のような秘密のURLの収集をしないように対策するなど、ある程度のセキュリティーへの配慮をしているものもあります。しかし、この Awesome Screenshot のように何も予告せずに勝手に集めるというのは問題でしょう。URL がわかると限定公開の意味がなくなってしまうようなサービスの訪問アドレスも区別無くすべて送っているとなれば、悪用される可能性もあります。

この拡張、URL以外のもの、例えばwebサイトで入力した内容までも送っているのでは、と言っている人もいますが、Jacq さんの調査ではURLしか送られていないようだということ。

しかし、拡張のバージョンを上げてそういうコードを入れることもできますね。結局、ブラウザ拡張が安全かどうかは、提供元を信用するかどうかということになってしまうかと。毎回拡張のソースコードを読んだり、パケットの中を確認するのも現実的ではないですし。

Awesome Screenshot には Firefox版とSafari版もありますが、これらについて同じようなコードが入ってるかどうかはわかりません。Chrome版でだけやる理由もないので、安心はできないと思います。

まとめ

  • ChromeのAwesome Screenshot拡張が、見たページのURLをどこかに送信している
  • 送られたURLは SimilarWeb で使われているのではと思われる
  • URLを他人に知られるとまずいサイトを使っている人は利用を避けた方がいい
  • URL以外の送信は「今のところ」見つかっていない