Được rồi, cùng tìm hiểu xem Rủng Rỉnh là cái khỉ gì nào!?
Do chưa từng sử dụng trình duyệt Cốc Cốc, tớ liền Google và tải về rồi cài vào... Sandbox. Và ngạc nhiên chưa... Rủng Rỉnh đã mặc định được cài sẵn trong Cốc Cốc, cùng với hai extension khác là Từ Điển và Savior.
Nhưng trong khi Savior giành được tình cảm của người dùng Cốc Cốc, thậm chí tớ biết có nhiều bạn đã tìm cách cài nó sang Chrome, thì Rủng Rỉnh lại bị chửi bới thậm tệ, một cơn bão đánh giá 1 sao đổ lên Chrome Store. Tại sao lại như thế?
Cốc Cốc không cho phép người dùng gỡ bỏ extension này. Nhưng điều buồn cười là: Savior hay Từ Điển đã có từ lâu và cũng không thể gỡ khỏi Cốc Cốc cơ mà? Theo tớ thì do hầu như người dùng của Cốc Cốc đều biết Savior và Từ Điển có tác dụng gì, trong khi Rủng Rỉnh đột nhiên xuất hiện trong những bản cập nhật gần đây (có thể nhận thấy dựa vào các đánh giá trên Chrome Store) cộng với việc người dùng không thể gỡ bỏ nó khiến họ càng thêm phần bực tức.
Cốc Cốc có sai không khi cài đặt sẵn một số extension mặc định? KHÔNG! Chrome và nhiều trình duyệt khác (được phát triển dựa trên Chromium) cũng vậy. Đây là các extension mặc định khi cài Chrome:
Phân tích kỹ thuật đôi chút về extension
Bật Chế độ dành cho nhà phát triển, sau đó dùng lệnhchrome.runtime.reload()
để khởi động lại Rủng Rỉnh, tớ thấy có mấy truy vấn HTTP thú vị sau:Với đường dẫn của endpoint và phần phản hồi với các từ khóa khá là tường minh như "remote scripts", "domain", "script" - bất cứ một lập trình viên nào cũng có thể dễ dàng đoán được đây là hành động "thực thi lệnh từ xa". Tức là các file JavaScript kia sẽ được chèn vào và thực thi trên các trang web có liên kết khớp với các đoạn regex như trong hình. Có thể thấy, trong danh sách này toàn là những trang thương mại điện tử lớn ở Việt Nam.
Khi được chèn vào, các file JavaScript này tiếp tục nạp thêm các file JavaScript khác và gửi các truy vấn tracking thu thập thông tin, hành động của người dùng trên các trang web kia và gửi về cho bên thứ 3.
Về vấn đề thu thập dữ liệu người dùng
Có nhiều trang đã viết về việc Cốc Cốc gửi dữ liệu của người dùng về máy chủ của họ, điều này thực ra là do tính năng kiểm tra lỗi chính tả và tự động thêm dấu tiếng Việt của Cốc Cốc.Sau khi ngó qua Chính sách bảo mật của họ thì tớ thấy họ đã ghi rõ điều này:
Nếu bạn sử dụng chức năng kiểm tra lỗi chính tả và thêm dấu, đoạn văn bản bạn nhập vào sẽ được gửi tới máy chủ của Cốc Cốc, đồng thời bạn sẽ được gợi ý các phương án viết từ cho phù hợp. Bạn có thể tắt cả hai chức năng này trong cài đặt của trình duyệt.
Để chắc chắn là chính sách này không phải được bổ sung sau khi scandal xảy ra, tớ có kiểm tra bằng công cụ Web Archive và thấy vốn dĩ nó đã được ghi rõ từ lâu rồi.
Để công bằng, tớ cũng đọc thử qua Chính sách bảo mật của Chrome, có một phần khá giống trong tính năng Dịch vụ dự đoán tìm kiếm:
Khi bạn tìm kiếm bằng thanh địa chỉ trong Chrome, các ký tự bạn nhập (ngay cả khi bạn chưa nhấn “enter”) được gửi tới công cụ tìm kiếm mặc định của bạn.
Và thường thì Google chính là công cụ tìm kiếm mặc định trên Chrome, nên chúng ta có thể hiểu là "dữ liệu bạn nhập được gửi tới Google". Điều này khá dễ hiểu, ví dụ bạn gõ "J2" thì Chrome gửi về Google và nhận lại danh sách từ khóa gợi ý cho người dùng như "J2 Pro", "J2TEAM", "J2TEAM Community",...
OK, tôi đã hiểu. Nhưng tại sao Cốc Cốc vẫn bị... chửi trong trường hợp này?
Vì Cốc Cốc thu thập dữ liệu nhập vào của người dùng ở một phạm vi lớn hơn rất nhiều, không chỉ khi họ tìm kiếm, mà kể cả khi bạn chat với người yêu, soạn email cho đối tác,... thì những gì bạn nhập vào đều được gửi tới một nơi nào đó mà trước giờ bạn không hề biết. Nhưng có một điều các bạn chưa biết. Đó là việc này đã được phát hiện ra từ năm 2014:
Kết luận
Vậy có nên gỡ bỏ Cốc Cốc và chuyển sang một trình duyệt khác hay không?Hmm, câu trả lời là ở các bạn. Còn tớ thì trước giờ vốn dĩ tớ chưa bao giờ là người dùng của Cốc Cốc. Tớ đã có Chrome và IDM rồi! <3