LinkedIn đang "soi" tận gầm giường trình duyệt của các ông đấy, biết chưa?

Tưởng lên LinkedIn để "build profile" bóng loáng nhằm thoát cảnh lương bèo, ai dè lại bị nó soi ngược lại cả những thứ riêng tư nhất trên trình duyệt. Vụ "BrowserGate" vừa nổ ra khiến anh em dev trên Hacker News đứng ngồi không yên. LinkedIn đang âm thầm quét xem các ông cài extension gì, và tin tôi đi, nó không phải để giúp các ông tìm việc nhanh hơn đâu.

BrowserGate: Khi mạng xã hội "tri thức" hành xử như thám tử tư

Câu chuyện bắt đầu từ trang BrowserGate, khi người ta phát hiện ra LinkedIn sử dụng một kỹ thuật khá "ảo ma" để kiểm tra danh sách các extension mà người dùng đang cài trên Chrome, Brave hay Edge.

Cách thức thì cũng chẳng có gì là cao siêu nhưng lại cực kỳ khó chịu: LinkedIn cố gắng truy cập vào các file tài nguyên của extension (thường nằm trong mục web_accessible_resources). Nếu file đó phản hồi (200 OK), nghĩa là ông đang cài cái extension đó.

Nó quét từ tool chặn quảng cáo (AdBlock), tool hỗ trợ tuyển dụng, cho đến các loại tool "vớ vẩn" khác. Vấn đề là việc này diễn ra hoàn toàn âm thầm, không một lời xin phép, làm anh em cảm giác như đang bị "lột trần" giữa thanh thiên bạch nhật vậy.

Giang hồ mạng nổi sóng: Bảo mật cái nịt hay là biến thái?

Trên các diễn đàn công nghệ, đặc biệt là Hacker News với hơn 1500 upvote, dân tình đang chia phe combat cực gắt:

Phe Cảnh giác cao độ: Đa số cho rằng đây là hành vi xâm phạm quyền riêng tư nghiêm trọng. Tại sao một trang web lại cần biết tôi cài extension gì? Liệu nó có dùng thông tin này để làm "fingerprinting" (định danh người dùng dựa trên cấu hình máy) để theo dõi xuyên biên giới không?
Phe Nhìn đời bằng nửa con mắt: Một số dev thì tặc lưỡi bảo: "Chuyện thường ở huyện". LinkedIn làm thế để chống bot, chống mấy ông dùng tool auto-scraping lấy data ứng viên thôi. Muốn bảo vệ nồi cơm của mình thì phải chơi chiêu thôi.
Phe Quay xe: Nhiều ông đã bắt đầu share nhau cách chặn cái script "thọc mạch" này của LinkedIn hoặc chuyển sang dùng các trình duyệt đề cao bảo mật hơn như Firefox (vốn có cơ chế chặn kiểu quét này tốt hơn).

Bài học sinh tồn cho SME và Dev từ vụ "úp sọt" này

Từ góc nhìn của một nền tảng Work OS như WorkCloud, mình thấy vụ này có mấy điểm anh em làm app hay quản lý doanh nghiệp cần lưu ý:

Đừng đùa với Privacy: Big Tech như LinkedIn bị soi một, thì SME chúng ta mà làm láo là user họ "quay xe" trong một nốt nhạc. Việc thu thập data là cần thiết để tối ưu sản phẩm, nhưng phải minh bạch. Đừng để user cảm thấy họ đang bị "theo dõi" thay vì được "phục vụ".
Tối ưu vận hành kiểu thực dụng: Thay vì tốn tài nguyên đi "soi" user rồi dính drama, các doanh nghiệp nên tập trung vào việc bảo mật hệ thống từ bên trong. Giống như cách WorkCloud giúp SME quản lý công việc - cứ tập trung vào hiệu năng và sự tiện lợi, chi phí rẻ mà chạy "mượt" thì user tự khắc trung thành, chẳng cần phải dùng "chiêu trò" làm gì cho mệt xác.
Kỹ năng sinh tồn cho Dev: Anh em làm dev cũng nên tỉnh táo. Khi tích hợp các script bên thứ ba vào web của mình, hãy kiểm tra kỹ xem chúng nó có "tác dụng phụ" gì không. Đừng để đến lúc dính bug hay dính phốt bảo mật mới đi hotfix thì toang hẳn.

Nói chung, công nghệ là con dao hai lưỡi. Dùng để hỗ trợ người dùng thì là "đỉnh cao", còn dùng để soi mói thì sớm muộn cũng bị cộng đồng mạng bóc phốt. Anh em cứ làm ăn chân chính, tối ưu vận hành bằng các tool tử tế là đời thanh thản nhất.

Nguồn: Hacker News

BrowserGate: Khi mạng xã hội "tri thức" hành xử như thám tử tư

Giang hồ mạng nổi sóng: Bảo mật cái nịt hay là biến thái?

Trên các diễn đàn công nghệ, đặc biệt là Hacker News với hơn 1500 upvote, dân tình đang chia phe combat cực gắt:

Phe Cảnh giác cao độ: Đa số cho rằng đây là hành vi xâm phạm quyền riêng tư nghiêm trọng. Tại sao một trang web lại cần biết tôi cài extension gì? Liệu nó có dùng thông tin này để làm "fingerprinting" (định danh người dùng dựa trên cấu hình máy) để theo dõi xuyên biên giới không?

Phe Nhìn đời bằng nửa con mắt: Một số dev thì tặc lưỡi bảo: "Chuyện thường ở huyện". LinkedIn làm thế để chống bot, chống mấy ông dùng tool auto-scraping lấy data ứng viên thôi. Muốn bảo vệ nồi cơm của mình thì phải chơi chiêu thôi.

Phe Quay xe: Nhiều ông đã bắt đầu share nhau cách chặn cái script "thọc mạch" này của LinkedIn hoặc chuyển sang dùng các trình duyệt đề cao bảo mật hơn như Firefox (vốn có cơ chế chặn kiểu quét này tốt hơn).

Bài học sinh tồn cho SME và Dev từ vụ "úp sọt" này

Từ góc nhìn của một nền tảng Work OS như WorkCloud, mình thấy vụ này có mấy điểm anh em làm app hay quản lý doanh nghiệp cần lưu ý:

Đừng đùa với Privacy: Big Tech như LinkedIn bị soi một, thì SME chúng ta mà làm láo là user họ "quay xe" trong một nốt nhạc. Việc thu thập data là cần thiết để tối ưu sản phẩm, nhưng phải minh bạch. Đừng để user cảm thấy họ đang bị "theo dõi" thay vì được "phục vụ".

Tối ưu vận hành kiểu thực dụng: Thay vì tốn tài nguyên đi "soi" user rồi dính drama, các doanh nghiệp nên tập trung vào việc bảo mật hệ thống từ bên trong. Giống như cách WorkCloud giúp SME quản lý công việc - cứ tập trung vào hiệu năng và sự tiện lợi, chi phí rẻ mà chạy "mượt" thì user tự khắc trung thành, chẳng cần phải dùng "chiêu trò" làm gì cho mệt xác.

Kỹ năng sinh tồn cho Dev: Anh em làm dev cũng nên tỉnh táo. Khi tích hợp các script bên thứ ba vào web của mình, hãy kiểm tra kỹ xem chúng nó có "tác dụng phụ" gì không. Đừng để đến lúc dính bug hay dính phốt bảo mật mới đi hotfix thì toang hẳn.