I april ble det kjent at den populære Chrome og Firefox-utvidelsen Mediahint, som lar brukerne lure amerikanske strømme-tjenester til å tro at de befinner seg i USA, plutselig ville ha betalt.
Plutselig skulle de ha betalt
Det førte ikke helt overraskende til rasende tilbakemeldinger fra brukerne som til da hadde brukt utvidelsen helt uten å betale en krone.
Irritasjonen etter at abonnements-ordningen ble kjent har ikke ført til en særlig hyggelig stjerne-score på Chrome Web Store (2 av 5).
Noen hundrelapper i året
Man kan prøve tjenesten gratis en uke, men etter testperioden må man betale 4 dollar (24 kroner) måneden, eller 40 dollar (238 kroner) for et helt år.
Annonse
«Digget den når den var gratis, men skjer ikke at jeg betaler for dette! For dere andre som leter etter et alternativ, prøv ut “ProxMate” 🙂», skriver en norsk Chrome-bruker.
Etter den plutselige omleggingen har det dukket opp flere måter for å omgå betalings-funksjonen. Det er blant annet mulig å manuelt installere en eldre versjon av utvidelsen.
– De har ikke gjort noe
Norske Andrew Larsen (21) var nysgjerrig på hvordan utviklerne tar betalt for utvidelsen, og fant ut at JavaScript-koden er særdeles simpel, og derfor veldig enkel å lure seg rundt.
Det eneste som skal til for å unngå betalings-sjekken er å deaktivere koden som ber om brukernavn og passord.
«Jeg kontaktet Mediahint for en stund siden, og de stor pris på informasjonen, men enda er ingenting gjort», avslører Larsen til ITavisen.no.
Slik fungerer påloggingen
«Selve påloggingen skjer på Mediahints nettsider. Der utføres så en påloggings-sjekk på selskapets server.
F.eks. ved bruk av programmeringsspråket PHP eller ASP.»
Ikke elendig sikkerhet, men heller ikke veldig god
Larsen omtaler ikke sikkerheten som spesielt dårlig i forhold til andre utvidelser (de fleste bruker JavaScript på en eller annen måte), men det er heller ikke spesielt gode sikkerhetsmekanismer.
Måten Mediahint har programmert systemet gjør det også lett å snoke på koden, og hva som skjer mellom klient og server:
«Selv om sikkerheten er relativt dårlig, vil jeg ikke påstå det er enkelt å stjele passord. Når det er sagt: De aller fleste utvidelser er bygd med JavaScript, og dette er kode som blir eksekvert på hver enkelt brukers maskin, og ikke en server – det er derfor ikke mulig å hindre at brukeren av maskinen selv vil kunne styre og se hva som skjer.»
Å lure en server er enkelt:
«Det er av samme grunn man har både JavaScript og PHP-verifisering på ting som kontaktskjemaer.
Javascript undersøker om alle felt er fylt ut, men man kan enkelt lure scriptet til å tro at man har fylt ut alt.
Det er derfor man også sjekker dette på selskapets-serveren ved bruk av PHP og ASP. Men den samme sjekken kan man ikke utføre på disse utvidelsene.»
Annonse
