API za otkrivanje praznog hoda u Chromeu 94 izazvao je val kritika

Prilikom izdavanja verzije Chrome 94 se napravio zadano uključivanje API-ja za otkrivanje neaktivnosti, što je izazvalo val kritika sa linkovima na prigovore od strane Firefox i WebKit/Safari programera.

API za otkrivanje mirovanja omogućava web lokacijama da otkriju kada je korisnik neaktivan, to jest, ne stupa u interakciju sa tastaturom/mišem niti radi na drugom monitoru. API vam takođe omogućava da znate da li je čuvar ekrana pokrenut na sistemu ili ne. Obaveštenje o neaktivnosti se vrši slanjem obaveštenja nakon dostizanja unapred određenog praga neaktivnosti, čija je minimalna vrednost postavljena na 1 minut.

Važno je obratiti pažnju Upotreba API-ja za otkrivanje mirovanja zahtijeva eksplicitno dodjeljivanje korisničkih vjerodajnica, odnosno ako aplikacija prvi put pokuša utvrditi činjenicu neaktivnosti, korisniku će se prikazati prozor s prijedlogom za dodjelu dozvola ili blokiranje operacije.

aplikacije za ćaskanje, društvene mreže i komunikacije nazivaju se aplikacijama, koje Oni mogu promijeniti status korisnika na osnovu prisustva na računaru ili odgoditi prikaz obavještenja novih poruka do dolaska korisnika.

API se također može koristiti u drugim aplikacijama za povratak na originalni ekran nakon određenog perioda neaktivnosti ili za onemogućavanje interaktivnih operacija koje zahtijevaju velike resurse, kao što je ponovno iscrtavanje složene grafike koja se stalno ažurira kada korisnik nije na ekranu. .

Stav onih koji se protive omogućavanju API-ja neaktivna detekcija To se svodi na činjenicu da se podaci o tome da li je korisnik na računaru ili ne mogu smatrati povjerljivim. Osim korisnih upotreba, ovaj API se može koristiti i u loše svrhe, na primjer za pokušaj eksploatacije ranjivosti dok je korisnik odsutan ili za sakrivanje vidljivih zlonamjernih aktivnosti, kao što je rudarenje.

Koristeći dotični API, mogu se prikupiti i informacije o obrascima ponašanja korisnika i dnevnog ritma njihovog rada. Na primjer, možete saznati kada korisnik obično ide na ručak ili napušta radno mjesto. U kontekstu obaveznog zahtjeva za potvrdu autorizacije, Google ove zabrinutosti smatra irelevantnim.

Da biste potpuno onemogućili API za otkrivanje mirovanja, posebna opcija je data u odjeljku "Privatnost i sigurnost" postavki ("chrome://settings/content/idleDetection").

Takođe, Moramo uzeti u obzir bilješku Chrome programera o napretku novih tehnika kako bismo garantirali sigurno upravljanje memorijom. Prema Google-u, 70% sigurnosnih problema u Chromeu uzrokovano je greškama u memoriji, kao što je korištenje nakon slobodnog pristupa baferu. Identificirane su tri glavne strategije za rješavanje takvih grešaka: pooštravanje provjera u vrijeme kompajliranja, blokiranje grešaka u vremenu izvođenja i korištenje jezika koji je siguran u memoriju.

Izvještava se da eksperimenti su počeli da dodaju mogućnost razvoja komponenti na Rust jeziku u Chromium kodnu bazu. Rust kod još uvek nije uključen u verzije koje se pružaju korisnicima i uglavnom je namenjen testiranju mogućnosti razvoja pojedinačnih delova pretraživača u Rustu i njihove integracije sa ostalim delovima napisanim u C++.

Paralelno, za C++ kod, nastavlja se razvoj projekta korištenjem tipa MiraclePtr umjesto sirovih pokazivača kako bi se blokirala mogućnost iskorištavanja ranjivosti uzrokovanih pristupom već oslobođenim memorijskim blokovima, a predlažu se nove metode za otkrivanje grešaka u fazi kompilacije.

Takođe, Google počinje eksperiment za testiranje mogućih poremećaja na web lokaciji nakon što pretraživač dostigne trocifrenu verziju umjesto dvije.

Konkretno, postavka "chrome://flags#force-major-version-to-100" pojavila se u testnim verzijama Chromea 96, kada će biti prikazana verzija 100 (Chrome/100.0.4650.4. XNUMX). U avgustu je sličan eksperiment sproveden u Firefoxu, koji je otkrio probleme sa rukovanjem trocifrenim verzijama na nekim sajtovima.