“형사 수사가 시작됐다는 건 의문의 여지가 없다.” 좋다. 이런 회사들은 돌팔매를 맞아도 싸고, 그보다 더한 것도 감수해야 함
정말 필요한 건 이 일이 애초에 누구 아이디어였는지 밝혀내는 것임
웹사이트를 평균 이하로 망치지 않겠다는 팀이라면, 알려진 서비스 악화 주도자들 명단으로 지원자를 걸러낼 수 있어야 함
이미 싹을 자르기엔 늦었을 수 있지만, 이런 개인들이 계속 아무 제약 없이 활동하고 더 커지도록 둘 이유는 없음
정확히는 그대로 알려주는 건 아님. 확장 프로그램의 ID와 그 확장 안에 존재한다고 알려진 파일 목록을 만들고, 사이트가 각 쌍을 순회하면서 그 파일을 불러오려 시도함
오류가 나지 않으면 해당 확장 프로그램이 설치됐다는 걸 알 수 있음. 영리하고 손이 많이 가는 방식이지만, 이런 일을 막으려는 보안 장치를 우회함
이걸 쓰는 이유는 약관을 우회하는 알려진 스크래퍼 확장 프로그램 사용자를 차단하기 위해서라고 읽었지만, 완전히 납득되진 않음
원문에서 관련된 부분은 이거임:
“Chrome 확장 프로그램은 manifest.json의 web_accessible_resources 필드를 통해 내부 파일을 웹페이지에 노출할 수 있다. 확장 프로그램이 설치되어 있고 리소스를 노출했다면 chrome-extension://{id}/{file}로 fetch() 요청이 성공한다. 설치되어 있지 않으면 Chrome이 요청을 막고 promise가 reject된다.
LinkedIn은 목록의 모든 확장 프로그램을 이런 방식으로 테스트한다.”
웹브라우저가 수십 년 동안 저질러 온 끔찍한 보안 실수들에 대해서도 같은 질문을 할 수 있음
그 정보가 웹사이트에 제공되는 건가? 특정 확장 프로그램이 설치됐을 때만 나타나는 동작을 이용해 스스로 감지하는 식의 새로운 해킹을 하는 줄 알았음
하지만 6,300개 확장 프로그램에 대해 그렇게 하려면 일이 너무 많음. 혹시 이걸 서비스로 제공하는 곳이 있나?
Brave는 이걸 명시적으로 차단함
친구들, 직장에서 이런 걸 구현하라는 요청을 받으면 무엇을 택할 건가: 반대하고 버티다가 직장을 잃을 것인가, 아니면 따르고 직장을 지킬 것인가
실무자로서 텔레메트리와 감시의 경계는 어디에 그어야 하나?
LinkedIn, Meta, 또는 사우디나 이스라엘 자금을 받는 곳에서는 일하지 않는 쪽을 택함. 일자리 찾기는 조금 더 어려워지지만, 밤에 더 편히 잠
세 번째 선택지도 있음. 하겠다고 해놓고 일부러 못 하거나, 끝없이 질질 끄는 것임. 의도적으로 일을 망쳤다는 걸 증명하기는 어려움
다만 그런 게임을 하고 있다면, 새 직장을 찾을 때일 수도 있음 ;)
익명으로 세상에 무슨 일이 벌어질지 알리는 것도 선택지라고 봄. 그러면 직장은 유지하면서도 사람들이 최소한 알게 됨
단, 그 사실을 아는 사람이 세 명쯤뿐이라면 바로 누군지 들킬 수 있음
나도 같은 생각을 함. 쉽게 다른 직장을 찾기 어렵고, 의료보험이나 금전적 이유로 그 일이 필요한 사람들이 만든 걸지도 모름. 월급으로 간신히 버티는 상황일 수도 있고
비슷한 처지의 관리자들이 지시하고, 그 위 관리자는 매출 증가만 보고 방법은 신경 쓰지 않는 구조일 수도 있음. 그래도 어딘가에서는 “우리가 지금 뭘 하고 있는 거지?”라고 말하는 사람이 있어야 할 것 같은데, 이상함
질문에 답하자면 물론 반대할 것임. 지금은 심각한 대가 없이 그런 선택을 할 수 있을 만큼 운이 좋은 상태임. 그런데 누가 HN에 나와서 “네, 전 도덕심이 없습니다!”라고 말하겠나? 버너 계정이라도 실제인지 알 수 없을 텐데
솔직히 나라면 구현할 것 같음. 모든 웹사이트에 설치된 확장 프로그램을 알려주는 건 Chrome 책임임. 어쨌든 사용자에게 피해가 가는 것도 아니고
원문에서 내가 찾은 가장 관련 있는 부분은 이거임:
“Chrome 확장 프로그램은 manifest.json의 web_accessible_resources 필드를 통해 내부 파일을 웹페이지에 노출할 수 있다. 확장 프로그램이 설치되어 있고 리소스를 노출했다면 chrome-extension://{id}/{file}로 fetch() 요청이 성공한다. 설치되어 있지 않으면 Chrome이 요청을 막고 promise가 reject된다.
LinkedIn은 목록의 모든 확장 프로그램을 이런 방식으로 테스트한다.”
그렇다면 이런 질의에 무작위로 예/아니오를 반환하는 식으로 가짜 설치된 확장 프로그램을 만들 수 있나? LinkedIn이나 다른 지문 추적 사이트들이 어떤 파일을 테스트하는지는 꽤 명확하고, 원글 작성자가 말하듯 관찰할 수 있음
같은 파일들을 테스트하는 다른 사이트가 어디인지 보는 것도 흥미로울 텐데, 이미 누가 살펴봤나?
사이트에서 온 코드가, 확장 프로그램에서 온 코드도 아닌데, 거기에 접근할 수 있게 두면 안 될 것 같음
이건 기기 지문 추적에서 꽤 표준적인 관행임. LinkedIn은 아마 스크래핑 등으로부터 플랫폼을 보호하려고 이걸 쓰는 것 같고, 확장 프로그램 목록은 사용자를 식별하고 지문의 유용한 구성 요소가 될 만큼 충분한 엔트로피를 가짐
스크래핑을 돕는 확장 프로그램을 한 번에 만들어 쓰는 건 이미 꽤 쉽고, LinkedIn이 막을 수 있는 게 별로 없음
사람들이 며칠 만에 로컬 Chrome 확장 프로그램을 만들고 설치한 뒤, AI가 개발자 도구에 주입돼 거의 아무 웹사이트나 스크랩하게 만드는 걸 봤음. 그것도 몇 달 전 일임
이제 그런 걸 쉽게 방어할 방법은 없다고 봄. 이런 방어적 프로그래밍 조치가 쓸모없어지는 건 시간문제임
이거 환각인가? 이 인용문을 다른 곳에서는 찾을 수 없음
“browsergate에 따르면 Milinda Lakkam은 선서하에 ‘LinkedIn은 특정 확장 프로그램을 설치한 사용자에게 조치를 취했다’고 확인했다.”
어느 정도는 맞지만, 실제 인용문은 아님. 이 링크보다 더 거슬러 올라가 보진 않았음: https://browsergate.eu/the-evidence-pack/
LinkedIn 시스템은 “[XXXXXX]가 설치된 LinkedIn 사용자에게 조치를 취했을 수 있다.”
수정: 좋네! 들여쓰기된 텍스트가 이제 모바일 브라우저에서도 줄바꿈되는 걸 방금 봄. 적어도 ffm에서는 그렇다. 언제 고쳐진 건지 궁금함
공정하게 말하면, LinkedIn의 개인정보 처리방침에는 이 정보를 수집한다고 명시돼 있음. https://www.linkedin.com/legal/privacy-policy?ref=cms.hondas... 참고
“1.5 기기와 위치
귀하가 당사 서비스를 방문하거나 떠날 때(일부 플러그인 및 타 사이트의 당사 쿠키 또는 유사 기술 포함), 당사는 귀하가 온 사이트와 이동한 사이트의 URL 및 방문 시간을 받습니다. 또한 귀하의 네트워크와 기기 정보(예: IP 주소, 프록시 서버, 운영체제, 웹브라우저와 추가 기능, 기기 식별자와 기능, 쿠키 ID 및/또는 ISP, 또는 이동통신사)를 받습니다. 모바일 기기에서 당사 서비스를 사용하는 경우, 휴대전화 설정에 따라 해당 기기는 위치 데이터를 당사에 보냅니다. GPS 또는 기타 도구로 정확한 위치를 식별하기 전에 옵트인을 요청합니다.”
여기서 관련 있는 부분은 “일부 플러그인 포함”임
LinkedIn 계정을 삭제했고, 이제 삶이 더 나아짐
현재 직장이 있는 사람이라서 할 수 있는 큰소리임. LinkedIn 계정 없이 구직하는 건 그렇게 간단하지 않음
Hacker News 의견들
“형사 수사가 시작됐다는 건 의문의 여지가 없다.” 좋다. 이런 회사들은 돌팔매를 맞아도 싸고, 그보다 더한 것도 감수해야 함
웹사이트를 평균 이하로 망치지 않겠다는 팀이라면, 알려진 서비스 악화 주도자들 명단으로 지원자를 걸러낼 수 있어야 함
이미 싹을 자르기엔 늦었을 수 있지만, 이런 개인들이 계속 아무 제약 없이 활동하고 더 커지도록 둘 이유는 없음
“그다음 mastodon에서 browsergate 얘기가 터진 걸 보고 ‘설마’ 했는데, 실제로 소송이 준비 중이었다.” - un-nf
Farrell v LinkedIn Corporation 4:26-cv-02953-KAW (N.D. Cal. Apr. 6, 2026)
https://ia601503.us.archive.org/33/items/gov.uscourts.cand.4...
왜 내 Chrome이 내가 설치한 확장 프로그램 목록을 아무 웹사이트에 알려주는 거지?
오류가 나지 않으면 해당 확장 프로그램이 설치됐다는 걸 알 수 있음. 영리하고 손이 많이 가는 방식이지만, 이런 일을 막으려는 보안 장치를 우회함
이걸 쓰는 이유는 약관을 우회하는 알려진 스크래퍼 확장 프로그램 사용자를 차단하기 위해서라고 읽었지만, 완전히 납득되진 않음
“Chrome 확장 프로그램은 manifest.json의 web_accessible_resources 필드를 통해 내부 파일을 웹페이지에 노출할 수 있다. 확장 프로그램이 설치되어 있고 리소스를 노출했다면 chrome-extension://{id}/{file}로 fetch() 요청이 성공한다. 설치되어 있지 않으면 Chrome이 요청을 막고 promise가 reject된다.
LinkedIn은 목록의 모든 확장 프로그램을 이런 방식으로 테스트한다.”
하지만 6,300개 확장 프로그램에 대해 그렇게 하려면 일이 너무 많음. 혹시 이걸 서비스로 제공하는 곳이 있나?
친구들, 직장에서 이런 걸 구현하라는 요청을 받으면 무엇을 택할 건가: 반대하고 버티다가 직장을 잃을 것인가, 아니면 따르고 직장을 지킬 것인가
실무자로서 텔레메트리와 감시의 경계는 어디에 그어야 하나?
다만 그런 게임을 하고 있다면, 새 직장을 찾을 때일 수도 있음 ;)
단, 그 사실을 아는 사람이 세 명쯤뿐이라면 바로 누군지 들킬 수 있음
비슷한 처지의 관리자들이 지시하고, 그 위 관리자는 매출 증가만 보고 방법은 신경 쓰지 않는 구조일 수도 있음. 그래도 어딘가에서는 “우리가 지금 뭘 하고 있는 거지?”라고 말하는 사람이 있어야 할 것 같은데, 이상함
질문에 답하자면 물론 반대할 것임. 지금은 심각한 대가 없이 그런 선택을 할 수 있을 만큼 운이 좋은 상태임. 그런데 누가 HN에 나와서 “네, 전 도덕심이 없습니다!”라고 말하겠나? 버너 계정이라도 실제인지 알 수 없을 텐데
원문에서 내가 찾은 가장 관련 있는 부분은 이거임:
“Chrome 확장 프로그램은 manifest.json의 web_accessible_resources 필드를 통해 내부 파일을 웹페이지에 노출할 수 있다. 확장 프로그램이 설치되어 있고 리소스를 노출했다면 chrome-extension://{id}/{file}로 fetch() 요청이 성공한다. 설치되어 있지 않으면 Chrome이 요청을 막고 promise가 reject된다.
LinkedIn은 목록의 모든 확장 프로그램을 이런 방식으로 테스트한다.”
같은 파일들을 테스트하는 다른 사이트가 어디인지 보는 것도 흥미로울 텐데, 이미 누가 살펴봤나?
이건 기기 지문 추적에서 꽤 표준적인 관행임. LinkedIn은 아마 스크래핑 등으로부터 플랫폼을 보호하려고 이걸 쓰는 것 같고, 확장 프로그램 목록은 사용자를 식별하고 지문의 유용한 구성 요소가 될 만큼 충분한 엔트로피를 가짐
사람들이 며칠 만에 로컬 Chrome 확장 프로그램을 만들고 설치한 뒤, AI가 개발자 도구에 주입돼 거의 아무 웹사이트나 스크랩하게 만드는 걸 봤음. 그것도 몇 달 전 일임
이제 그런 걸 쉽게 방어할 방법은 없다고 봄. 이런 방어적 프로그래밍 조치가 쓸모없어지는 건 시간문제임
이거 환각인가? 이 인용문을 다른 곳에서는 찾을 수 없음
“browsergate에 따르면 Milinda Lakkam은 선서하에 ‘LinkedIn은 특정 확장 프로그램을 설치한 사용자에게 조치를 취했다’고 확인했다.”
https://browsergate.eu/the-evidence-pack/
LinkedIn 시스템은 “[XXXXXX]가 설치된 LinkedIn 사용자에게 조치를 취했을 수 있다.”
수정: 좋네! 들여쓰기된 텍스트가 이제 모바일 브라우저에서도 줄바꿈되는 걸 방금 봄. 적어도 ffm에서는 그렇다. 언제 고쳐진 건지 궁금함
공정하게 말하면, LinkedIn의 개인정보 처리방침에는 이 정보를 수집한다고 명시돼 있음. https://www.linkedin.com/legal/privacy-policy?ref=cms.hondas... 참고
“1.5 기기와 위치
귀하가 당사 서비스를 방문하거나 떠날 때(일부 플러그인 및 타 사이트의 당사 쿠키 또는 유사 기술 포함), 당사는 귀하가 온 사이트와 이동한 사이트의 URL 및 방문 시간을 받습니다. 또한 귀하의 네트워크와 기기 정보(예: IP 주소, 프록시 서버, 운영체제, 웹브라우저와 추가 기능, 기기 식별자와 기능, 쿠키 ID 및/또는 ISP, 또는 이동통신사)를 받습니다. 모바일 기기에서 당사 서비스를 사용하는 경우, 휴대전화 설정에 따라 해당 기기는 위치 데이터를 당사에 보냅니다. GPS 또는 기타 도구로 정확한 위치를 식별하기 전에 옵트인을 요청합니다.”
여기서 관련 있는 부분은 “일부 플러그인 포함”임
LinkedIn 계정을 삭제했고, 이제 삶이 더 나아짐