API за откриване на празен ход в Chrome 94 предизвика вълна от критики

При стартирането на версия 94 на Chrome se направи включване по подразбиране на API за откриване на празен ход, което предизвика вълна от критики с връзки към възражения от разработчиците на Firefox и WebKit / Safari.

API за откриване на празен ход позволява на сайтовете да откриват, когато потребителят е празен, тоест не взаимодейства с клавиатурата / мишката или работи на друг монитор. API също ви позволява да знаете дали скрийнсейвърът работи в системата или не. Известието за бездействие се извършва чрез изпращане на известие след достигане на предварително определен праг на бездействие, чиято минимална стойност е зададена на 1 минута.

Важно е да се обърне внимание използването на API за откриване на празен ход изисква изрично предоставяне на потребителски идентификационни данни, тоест ако приложението се опита за първи път да определи факта на бездействие, на потребителя ще бъде показан прозорец с предложение за предоставяне на разрешения или блокиране на операцията.

Приложения за чат, социалните мрежи и комуникациите се наричат ​​приложения, които могат да променят състоянието на потребителя въз основа на тяхното присъствие на компютъра или да отложат показването на известия на нови съобщения до пристигането на потребителя.

API може да се използва и в други приложения за връщане към първоначалния екран след определен период на бездействие или за деактивиране на интерактивни, интензивни операции, като например прекрояване на сложни диаграми, които постоянно се актуализират, когато потребителят не е на екрана. компютър.

Позицията на онези, които се противопоставят на активирането на API неактивно откриване тя се свежда до факта, че информацията за това дали потребителят е на компютъра или не може да се счита за поверителна. В допълнение към полезни приложения, този API може да се използва и за добри цели, например, за да се опита да използва уязвимости, докато потребителят е далеч, или да скрие видима злонамерена активност, като например добив.

Използвайки въпросния API, също може да се събира информация за моделите на поведение на потребителя и ежедневния ритъм на тяхната работа. Например, можете да разберете кога потребителят обикновено отива на обяд или напуска работното място. В контекста на задължително искане за потвърждение на оторизация, Google възприема тези опасения като неуместни.

За да деактивирате напълно API за откриване на празен ход, в раздела „Поверителност и сигурност“ на настройките е предоставена специална опция („chrome: // settings / content / idleDetection“).

Освен това, Трябва да вземем предвид бележката от разработчиците на Chrome относно напредъка на новите техники, за да се гарантира безопасно управление на паметта. Според Google 70% от проблемите със сигурността в Chrome са причинени от грешки в паметта, като например използване след свободен достъп до буфер. Идентифицирани са три основни стратегии за справяне с такива грешки: затягане на проверките по време на компилация, блокиране на грешки по време на работа и използване на безопасен за паметта език.

Съобщава се, че експериментите започнаха да добавят възможност за разработване на компоненти на езика Rust към кодовата база на Chromium. Кодът Rust все още не е включен в компилациите, предоставени на потребителите, и основната му цел е да тества възможността за разработване на отделни части от браузъра в Rust и интегрирането им с останалите части, написани на C ++.

Успоредно с това, за C ++ кода, проектът продължава да се развива, използвайки типа MiraclePtr вместо необработени указатели, за да блокира възможността за използване на уязвимости, причинени от достъп до вече освободени блокове памет, и се предлагат нови методи за откриване на грешки на етапа компилация.

Освен това, Google започва експеримент, за да тества възможно прекъсване на сайта след като браузърът достигне трицифрена версия вместо две.

По-специално, настройката „chrome: // flags # force-major-version-to-100“ се появи в пробните версии на Chrome 96, когато е посочена в заглавката на User-Agent, версия 100 (Chrome / 100.0.4650.4. XNUMX) ще се покаже. През август подобен експеримент беше проведен във Firefox, който разкри проблеми с обработката на трицифрени версии на някои сайтове.