Wenn Browser-Plugins das tun, was sie nicht sollten

Browser-Plugins sind toll. Sie erweitern einen Browser um tolle und nützliche Funktionen. Doch was, wenn diese Plugins tun, wofür sie nicht gedacht sind? Diese Erfahrung musste ich heute mit dem Plugin „Photobucket Hotlink Fix“ machen.

Ich sah heute in Google Chrome oben rechts ein gelbes Warnzeichen und dachte es wäre nur wieder ein Hinweis, dass es ein Update gibt. Allerdings war es kein Update, sondern ein Plugin (in diesem Fall „Amazon Tag Remover„) das ein Fehler hatte.

Die Fehlermeldung vom Amazon Tag Remover
Ich hab auf das gelbe Warnzeichen geklickt und wurde mit ner dicken roten Warnung begrüßt. Erst war mir unklar, warum das Photobucket-Plugin und das Amazon-Plugin im Konflikt sind. Bemerkte jedoch dann, dass das Photobucket-Plugin einfach Amazon.de Links mit eigenen Tags ersetzt. Dadurch verdient der Ersteller des Photobucket-Plugins Geld, wenn ich etwas bei Amazon.de kaufe. Und das, ohne das ich es weiß. Ein absolutes Nogo. Das ist wie Plugins, die einfach Cryptominer einbauen. Das Plugin ist nicht dafür gedacht, es soll mir helfen und nicht mich betrügen und ausbeuten.
Code des Firefox Plugins
Das betrifft allerdings wohl nur derzeit die Chrome Version des Plugins. In der Firefox Version des Plugins gibt es allerdings ein Stück Code, der das gleiche wie beim Chrome macht, wie mein Bekannter Brawl herausfand. Jedoch ist der Abschnitt auskommentiert, was ihn funktionslos macht. Der Grund dürfte wohl sein, dass Firefox bei sowas „strenger“ ist und der Author angst hat, dass das Plugin deswegen von Firefox entfernt wird.

Wirklich schade, dass man immer weniger Plugins vertrauen kann. Hätte das Amazon-Plugin nich diesen Fehler gehabt, wär mir das nie aufgefallen. Das Photobucket-Plugin hat über 30.000 Benutzer. Da dürfte der Author nicht schlecht verdienen.

Code im Chrome-Plugin
Lustig ist auch, das Plugin ist Open-Source auf Github, jedoch ist dort von den Amazon-Code nichts zu sehen. Der Author hat im Chrome Store also eine andere Version, als er in Github angibt. Wenn man die .crx des Plugins zerlegt, kann man dort den Code finden, der den Amazon-Tag setzt. Lächerlich…

Naja, das Plugin hab ich nun aus meinem Chrome entfernt und auch gleich gemeldet. Vielleicht bringt es ja was. Jetzt muss ich nur ne gute Alternative finden. Dürfte jedoch schwer werden.