Scratchで共同作業ができるChrome拡張機能、blocklive。先日Turbowarp開発者のGarboMuffin氏が警告を発したようです。
Scratch addons公式Discordサーバー によると、どうやらblockliveの開発者 ( @ilhp10 )がエイプリルフール(?)でblocklive開発者のScratchアカウントをユーザー側の同意なしにフォローさせるというコードを追加したようで、このコードにはセキュリティ脆弱性が含まれているんだとか。
この問題がGitHubのIssuesに投稿された後、このコードを無効化したようですが、遠隔操作によって再度有効化できるようです。
さらに、blockliveの機能であるチャットメッセージは全てDiscordのウェブフックに送信・記録され、
「Your data is not being used or transferred for purposes that are unrelated to the item's core functionality」
(あなたのデータはアイテムのコア機能とは無関係な目的で使用または転送されることはありません)
という彼らの主張に反しているようです。
また、blockliveは XSS攻撃 (クロスサイトスクリプティング) に対して脆弱であることが報告されています。
なお、blocklive開発者は自身のサイトにて謝罪のページを公開していますが、ページ下部に SorryというYoutube動画が埋め込まれています。
これはだいぶ炎上しそうですが、海外ではこれが普通ぐらいの感覚なんですかね?
これらの報告の内容はTurbowarp開発者のGarboMuffin氏が警告したものです。
Blockliveを今後使用するかどうかは自己責任ですが、
開発者のScratchのコメント欄とかに嫌がらせとか書かないようにしてほしいです。
(開発者のScratchのコメント欄見るとだいぶ荒れてます、、、)
一応開発者は謝罪(?)しているので必要以上に非難しないようにしてほしいです(道徳ですよ。道徳。)
コメントをお書きください
島谷信広 (水曜日, 12 6月 2024 12:33)
必要以上に非難するときたら
ピーのトマトだったような
koromoko10の信者 (土曜日, 24 8月 2024 11:55)
koromoko10イケメン
h (土曜日, 24 8月 2024 11:56)
koromoko10イケメンカッコいい