340 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Расширение для браузера; Steam Inventory Helper

Расширение для браузера – Steam Inventory Helper

Steam Inventory Helper – Это расширение-помощник для Steam. Доступно для chromium браузеров (сам Chrome, Яндекс Браузер, 360 Extreme Explorer, vivaldi и подобные). Для установки в Opera и в Mozilla Firefox требуется установить расширение “Download Chrome Extension”, которое позволит ставить надстройки из Chrome Store.

Если вы уже знаете что такое SIH и как он работает, то сразу даю ссылки на скачивание:

Зачем нужен Steam inventory helper?

Вот список основных возможностей расширения:

  • ускоряет покупку на Steam – нажимаешь кнопку Quick buy и предмет твой, морочиться с галочками больше не нужно;
  • упрощает дозакупку инвентаря – если у игрока есть хоть один предмет с сета, то в инвентаре на этой вещи появляется кнопка Buy missing parts – «докупить недостающие части»;
  • ускоряет продажу – одно нажатие кнопки, и предмет тут же уходит на одну копейку дешевле последней ставки на него;
  • позволяет одновременную продажу без перезагрузки с очередью за товаром;
  • при обмене подсчитывает общую стоимость всех предметов, сразу предупреждает, если меняться невыгодно;
  • быстро проверяет цену, показывает стоимость вещей внутри чужого инвентаря – и нет нужды рыскать по площадке, сравнивая цены и выясняя, за сколько можно продать свои предметы не прогадав при этом;
  • сообщает, используется ли та или другая вещь – надета ли она в данный момент на героя;
  • уведомляет в правом нижнем углу браузера о новых друзьях, комментах, обменах;
  • продает-покупает с автопринятием соглашения ТП;
  • содержит авторегулятор цен

и немало других фишек, которыми, как говорят физики, «можно пренебречь», но можно и наслаждаться, заценив уже в процессе юзания Steam inventory helper’а.

Как скачать Steam inventory?

  • придти в магазин по ссылке https://chrome.google.com/webstore?hl=ru ;
  • вбить или копировать-вставить запрос steam inventory helper в форму поиска дополнений (в левом верхнем углу вкладки – «Поиск по магазину») и нажать Enter;
  • найти нужное дополнение в результатах поиска (хотя чего искать – вверху появится) и кликнуть «Установить»;
  • подтвердить установку;
  • получить уведомление, что расширение установлено, и активировать его, нажав на значок
  • в открывшемся всплывающем окне ознакомиться с настройками (для начала лучше оставить всё по умолчанию, потом можно менять под себя) и покликать по меню, где есть и такие полезнейшие пункты, как «ЧаВо» и «О нас» (инфа на английском, но в Сети достаточно хороших онлайн-переводчиков).

Как пользоваться Steam inventory helper ?

Научиться юзать новое дополнение – простая задача для любого трейдера либо игрока, уже имеющего опыт использования ТП Steam.

Прежде чем приступить, можно посмотреть обучающее видео в YouTube. Например, вот это:

Это здорово, если информация об этом расширении оказалась полезной именно вам.

Примечание: может показаться странным, что расширения ставим в Яндекс браузер, а качаем его с магазина Google Chrome. Дело в том, что эти браузеры созданы на одной платформе и соответственно все расширения Гугла полностью подходят и к Яндекс браузеру.

Расширения для Chrome похищали вещи из инвентаря Steam

Xakep #258. NPM Hijacking

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперт компании Panda Security выявил новую угрозу, нацеленную на пользователей Steam. Опасными признаны четыре расширения для браузера Chrome, якобы призванные облегчить жизнь всем тем, кто торгует предметами CS:GO (Counter Strike Global Offensive). На деле эти расширения обчистят Steam-инвентарь жертвы, переправив все предметы скаммерам.

Проблему обнаружил сотрудник Panda Security Барт Блейз (Bart Blaze), ознакомившись с расследованием, которое самостоятельно провели пользователи форумов TeamFortress.tv. Пользователи обратили внимание, что ранее уже попадавшийся на мошенничестве юзер Extrence (публичное имя BeerBear) теперь работает с другого аккаунта — MetrixTf2 (текущее публичное имя Delta) и затевает что-то нехорошее. Достаточно зайти в Steam-профиль MetrixTf2, чтобы убедиться, что опасения пользователей были небеспочвенны. Он имеет бан в торговой системе Steam, а его репутация на специализированном ресурсе SteamRep и того хуже.

Выяснилось, что скаммер разработал четыре «полезных» расширения для браузера Chrome, которые на деле оказались малварью. Барт Блейз выявил в Chrome Web Store следующие вредоносные аддоны, добавленные пользователем Double Script:

  • CSGODouble Theme Changer;
  • CS:GO Double Withdraw Helper;
  • Csgodouble AutoGambling Bot;
  • Improved CSGODouble.

Эти «полезные» расширения тесно работают со Steam API и веб-сайтом Steam, оперируют скрытыми JavaScript-командами и инициируют несанкционированную передачу предметов из инвентаря жертвы злоумышленнику.

Форма атаки выбрана не совсем обычная, но от расширений избавиться проще, чем от обычных декстоп-вредоносов – достаточно удалить их из списка аддонов в браузере, что полностью ликвидирует заражение. На данный момент все четыре расширения уже изъяты из Chrome Web Store, а ссылки на них (еще до удаления из магазина) были добавлены в черный список Steam.

Читать еще:  World of Tanks: Тактика обороны в рандоме

Согласно сообщениям на форумах TeamFortress.tv, от этой атаки, длившейся чуть меньше месяца, успело пострадать немало пользователей. Все же компания Valve недаром закручивает гайки торговых механизмов Steam, вынуждая пользователей использовать двухфакторную аутентификацию. Если пользователь не активировал двухфакторную аутентификацию, все предметы, которые он передаст другим пользователям, будут удерживаться на срок «до трех дней». Предполагается, что за это время можно успеть обнаружить и предотвратить кражу.

3 комментария

Fatalizator

Поначалу весьма удивился, какие теневые механизмы Steam API могут быть задействованы, чтобы обойти все защиты при обмене. Напомню, что включенный Steam Guard как минимум предполагает подтверждение каждой операции кодом, высылаемым на электронную почту, а при двухфакторной авторизации – кодом из мобильного приложения. Также в профиле Steam Guard может быть отключен, но этого опять-таки не сделать без соответствующего подтверждения. Кроме сказанного, для защиты от мошенничества во всех случаях, кроме двухфакторной авторизации, всякая сделка откладывается на 72 часа.
Оригинальная статья все разъясняет: instead of trading with X or Y person you trust, the items go to the scammer rather than whoever you’re trading with. Т.е. плагин не ворует весь ваш инвентарь, а лишь перенаправляет авторизованные вами же операции на мошенника. Занятно, что для данной ситуации пользователям с двухфакторной авторизацией не остается шансов, т.к. отсутствует временной лаг в 72 часа на отмену операции. Поэтому пресловутый мобильный аутентификатор Steam в данном случае будет скорее злом, чем благом.

ShadowHD

Какой странный первый абзац. До этого всегда казалось, что Guard предполагает подтверждение исключительно одной операции — вход в систему. Нигде больше он еще пока не срабатывал.

Evang

Ха-ха! Какие игры, такие и игроки. Засрали новую контру всякой фигнёй, в итоге большинство в неё не играет, а просто держит в фоне, чтоб им это г… выпадало.

Они своими гайками в основном нормальных людей прикручивают, а не этих мудаков. Если кого-то засоциально-инженерили, то он сам виноват и эти гайки ему не помогут, потому что он уже всё подтвердил.
Если кто-то использует скрипты, это тоже его проблемы. В соглашении Стима явно написано, что использование любых средств автоматизации на торговой площадке запрещено, так что надо не гайки бесполезные закручивать, а просто банить и тех, и других.

Вкладка «Инвентарь»

Активация настроек из вкладки «Инвентарь» поможет вам продуктивней работать с инвентарем торговой площадки Steam.

«Показать цены всех предметов»

«Показать цены всех предметов»

Функция «Показать цены всех предметов» позволит увидеть стоимость предметов в вашем инвентаре Steam на торговой площадке. На основе данной информации вы сможете сделать вывод, где предмет стоит дороже или дешевле.

На изображении ниже показан пример отображения стоимости предмета на торговой площадке.

Пример отображения стоимости предмета

«Приобрести отсутствующие предметы для сета Dota 2»

Активация этой функции позволит вам очень быстро документ предметы Dota 2, которых не хватает для полного сета. Названия этих предметов отображаются в виде ссылок. Кликнув по ссылке, вы перейдет на торговую площадку, где сможете приобрести недостающий предмет.

«Приобрести отсутствующие предметы для сета Dota 2»

«Показывать предметы в трейд бане»

Активация этой функции позволит вам видеть какие предметы в вашем инвентаре Steam в «трейд бане». Это очень удобно, так как не надо делать лишних кликов и листать страницу вверх или вниз.

«Показывать предметы в трейд бане»

«Посмотреть товар на торговой площадке»

Активация этой функции позволит вам переходить на торговую площадку кликнув по названию выбранного предмета для дальнейших действий с выбранным предметом. Название превратилось в ссылку.

«Посмотреть товар на торговой площадке»

Opera

В браузере Опера подключение осуществляется практически точно так же, как и в Яндекс. Браузере. Чтобы воспользоваться расширением, сделайте следующее:

1. Нажмите вверху слева кнопку «Меню».

2. Наведите курсор (не нажимая кнопки!) на раздел «Расширения».

3. В выпавшей мини-панели щёлкните «Загрузить расширения».

4. В поле «Поиск» задайте запрос – steam trader helper.

5. Кликните в появившейся подсказке логотип с таким же названием.

Читать еще:  Grand Theft Auto VI — Дата выхода и все последние подробности об игре

Довольно большое время, еще с 2015 года мне была известна некая уязвимость, которую можно интересно использовать. Но я думал, что она быстро станет популярной и её пофиксят, но вышло совсем не так. Вся уязвимость связана с вещами Dota 2 , а точнее с их подписями. Как вы знаете, когда вы дарите вещь в Dota 2 вы можете подписать её. И все дело в том, что если у человека, который откроет ваш инвентарь Steam установлено расширение Steam Inventory Helper , то html код в подписи начнет воспроизводится.

На первой картинке расширения нет, на второй оно установлено:

Единственное, чего мне удалось выбить с этой уязвимости это воспроизведение музыки и звуков, другие скрипты не сработали. (скорее всего это из-за политики к расширениям, которая не дает использовать множетсво других функкций)

Итак, как же воспроизвести все это самому:
1) Заливаем файл с музыкой на любой хостинг. (но имейте ввиду, что бы директория была покороче, потому что подпись имеет ограничение)
2) Далее вставляем свою ссылку в нужное место в данном коде:

3) Отправляем кому-то любую вещь с помощью функции “Завернуть в подарок”.

Google Chrome

1. Откройте офсайт аддона — http://steaminventoryhelper.com/.

2. Клацните кнопку «Free install» (расположена посередине страницы).

3. В новой вкладке откроется страница для скачивания в официальном магазине приложений для Хрома. Чтобы скачать и подключить аддон, клацните команду «Установить».

4. Подтвердите подключение в дополнительном запросе: снова клацните «Установить… ».

5. Чтобы запустить скачанный плагин, щёлкните по его иконке вверху справа. Откроется вкладка с разделами настроек и опций.

Что такое Steam Inventory Helper

Данное расширение устанавливается в Яндекс.Браузер, и вот что оно умеет делать:

  • Ускоряет покупку предмета на торговой площадке в Steam: пользователю не надо ставить галочки для подтверждения действий.
  • Ускоряет продажу ― чтобы выставить предмет на продажу, достаточно нажать одну кнопку, и он окажется на торговой площадке Steam. Цена такого предмета будет на 1 копейку ниже, чем актуальная цена от другого продавца.

  • Помогает быстро купить недостающие элементы сета ― если у пользователя есть один или несколько предметов из одного сета, то при помощи функции Buy missing parts можно докупить недостающие элементы.
  • Если осуществляется обмен, то расширение подсчитывает цену всех предметов, и таким образом определяет, будет ли выгоден обмен.

  • Указывает стоимость вещей в момент, когда пользователь находится в чужом инвентаре.

  • При просмотре инвентаря указывает, надета ли конкретная вещь на героя или используется ли она, например, в качестве HUD и тому подобное.

  • Отображает уведомления в нижнем углу браузера о новых друзьях, обменах и комментариях.
  • Совершает покупку и продажу и автоматически подтверждает соглашение торговой площадки.
  • Имеет авторегулятор цен.
  • Отображает, какие предметы из сета имеются у пользователя, а каких не хватает.

У расширения есть и несколько других интересных фишек, которые пригодятся в процессе использования программы.

Везде

Корзина

Страница игры

1 – Сразу показывается номер подписки того, что добавиться в корзину
2 – Номер подписки – это ссылка на просмотр информации на SteamDB.info
3 – Справа блок с ссылками связаных с текущим товаром. Набор ссылок зависит от версии

Возможность добавления в корзину без перезагрузки страницы
Возможность всегда показывать кнопку корзины, даже если она пуста

Быстрое получение цен для других стран:

Отправка гифта

Страница профиля

    • Отображение SteamID64 (Постоянная ссылка на профиль)
    • Статус(ссылка) пользователя в чекере CSmania.RU и SteamRep.com
    • Кнопка “Get more info” для получения дополнительной информации об аккаунте такой, как дата регистрации и бан-статусы
  1. Измененная кнопка открытия чата: слева – в клиенте, справа – в браузере
  2. Дополнительные ссылки в меню “Еще”, с просмотром профиля в популярных трэйд-сообществах (набор зависит от версии)
  3. Ссылки на открытие инвентаря нужной игры, гифтов, карточек

Кнопка “Еще/More” также добавленна на страницу своего профиля

Страница инвентаря

Убрано большое лого текущего инвентаря

Позволяет сделать инвентарь компактным, скрыв дубликаты предметов и показав их кол-во. Дубликаты определяются по ClassID.
Показывает цену предмета на торговой площадке в чужих инвентарях

Выбор и отправка сразу нескольких гифтов. При включенной функции скрытия дубликатов, есть возможность указать выбираемое кол-во.
При выборе более одного гифта, есть возможность отправлять их на разные email’ы

Выставление на торговую площадку сразу несколько одинаковых предметов:
При включенной функции скрытия дубликатов, есть возможность указать кол-во.

В диалоге продажи сразу отмечена галка о согласии с SSA

Читать еще:  Ошибка Crash dump в Wolfenstein 2: The New Colossus

Страница значков

Список лотов ограничен в высоту, имеет свою полосу прокрутки
Возможность быстрого удаления нескольких лотов

В названии таба высавленных своих предметов возле кол-ва указывается полная сумма

При покупки галочка о согласии с SSA уже стоит

Расширения для Chrome похищали вещи из инвентаря Steam

Xakep #258. NPM Hijacking

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперт компании Panda Security выявил новую угрозу, нацеленную на пользователей Steam. Опасными признаны четыре расширения для браузера Chrome, якобы призванные облегчить жизнь всем тем, кто торгует предметами CS:GO (Counter Strike Global Offensive). На деле эти расширения обчистят Steam-инвентарь жертвы, переправив все предметы скаммерам.

Проблему обнаружил сотрудник Panda Security Барт Блейз (Bart Blaze), ознакомившись с расследованием, которое самостоятельно провели пользователи форумов TeamFortress.tv. Пользователи обратили внимание, что ранее уже попадавшийся на мошенничестве юзер Extrence (публичное имя BeerBear) теперь работает с другого аккаунта — MetrixTf2 (текущее публичное имя Delta) и затевает что-то нехорошее. Достаточно зайти в Steam-профиль MetrixTf2, чтобы убедиться, что опасения пользователей были небеспочвенны. Он имеет бан в торговой системе Steam, а его репутация на специализированном ресурсе SteamRep и того хуже.

Выяснилось, что скаммер разработал четыре «полезных» расширения для браузера Chrome, которые на деле оказались малварью. Барт Блейз выявил в Chrome Web Store следующие вредоносные аддоны, добавленные пользователем Double Script:

  • CSGODouble Theme Changer;
  • CS:GO Double Withdraw Helper;
  • Csgodouble AutoGambling Bot;
  • Improved CSGODouble.

Эти «полезные» расширения тесно работают со Steam API и веб-сайтом Steam, оперируют скрытыми JavaScript-командами и инициируют несанкционированную передачу предметов из инвентаря жертвы злоумышленнику.

Форма атаки выбрана не совсем обычная, но от расширений избавиться проще, чем от обычных декстоп-вредоносов – достаточно удалить их из списка аддонов в браузере, что полностью ликвидирует заражение. На данный момент все четыре расширения уже изъяты из Chrome Web Store, а ссылки на них (еще до удаления из магазина) были добавлены в черный список Steam.

Согласно сообщениям на форумах TeamFortress.tv, от этой атаки, длившейся чуть меньше месяца, успело пострадать немало пользователей. Все же компания Valve недаром закручивает гайки торговых механизмов Steam, вынуждая пользователей использовать двухфакторную аутентификацию. Если пользователь не активировал двухфакторную аутентификацию, все предметы, которые он передаст другим пользователям, будут удерживаться на срок «до трех дней». Предполагается, что за это время можно успеть обнаружить и предотвратить кражу.

3 комментария

Fatalizator

Поначалу весьма удивился, какие теневые механизмы Steam API могут быть задействованы, чтобы обойти все защиты при обмене. Напомню, что включенный Steam Guard как минимум предполагает подтверждение каждой операции кодом, высылаемым на электронную почту, а при двухфакторной авторизации – кодом из мобильного приложения. Также в профиле Steam Guard может быть отключен, но этого опять-таки не сделать без соответствующего подтверждения. Кроме сказанного, для защиты от мошенничества во всех случаях, кроме двухфакторной авторизации, всякая сделка откладывается на 72 часа.
Оригинальная статья все разъясняет: instead of trading with X or Y person you trust, the items go to the scammer rather than whoever you’re trading with. Т.е. плагин не ворует весь ваш инвентарь, а лишь перенаправляет авторизованные вами же операции на мошенника. Занятно, что для данной ситуации пользователям с двухфакторной авторизацией не остается шансов, т.к. отсутствует временной лаг в 72 часа на отмену операции. Поэтому пресловутый мобильный аутентификатор Steam в данном случае будет скорее злом, чем благом.

ShadowHD

Какой странный первый абзац. До этого всегда казалось, что Guard предполагает подтверждение исключительно одной операции — вход в систему. Нигде больше он еще пока не срабатывал.

Evang

Ха-ха! Какие игры, такие и игроки. Засрали новую контру всякой фигнёй, в итоге большинство в неё не играет, а просто держит в фоне, чтоб им это г… выпадало.

Они своими гайками в основном нормальных людей прикручивают, а не этих мудаков. Если кого-то засоциально-инженерили, то он сам виноват и эти гайки ему не помогут, потому что он уже всё подтвердил.
Если кто-то использует скрипты, это тоже его проблемы. В соглашении Стима явно написано, что использование любых средств автоматизации на торговой площадке запрещено, так что надо не гайки бесполезные закручивать, а просто банить и тех, и других.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: