API za otkrivanje praznog hoda u Chromeu 94 izazvao je val kritika

Prilikom lansiranja Chrome verzije 94 se zadano je uključilo API za otkrivanje praznog hoda, što je izazvalo val kritika poveznicama na prigovore programera Firefoxa i WebKita / Safarija.

API za otkrivanje praznog hoda omogućuje web lokacijama da otkriju kada je korisnik neaktivan, odnosno ne komunicira s tipkovnicom / mišem ili radi na drugom monitoru. API vam također daje do znanja radi li čuvar zaslona na sustavu ili ne. Obavijest o neaktivnosti vrši se slanjem obavijesti nakon dostizanja unaprijed utvrđenog praga neaktivnosti čija je minimalna vrijednost postavljena na 1 minutu.

Važno je obratiti pažnju korištenje API -ja za otkrivanje praznog hoda zahtijeva izričito odobravanje korisničkih vjerodajnica, odnosno ako aplikacija po prvi put pokuša utvrditi činjenicu neaktivnosti, korisniku će se prikazati prozor s prijedlogom za dodjelu dopuštenja ili blokiranje operacije.

Aplikacije za chat, društvene mreže i komunikacije nazivaju se aplikacije, koje može promijeniti status korisnika na temelju njihove prisutnosti na računalu ili odgoditi prikaz obavijesti novih poruka do dolaska korisnika.

API se može koristiti i u drugim aplikacijama za povratak na izvorni zaslon nakon određenog razdoblja neaktivnosti ili za onemogućavanje interaktivnih operacija koje zahtijevaju resurse, poput ponovnog iscrtavanja složenih grafikona koji se stalno ažuriraju kada korisnik nije na zaslonu. Računalo.

Položaj onih koji se protive omogućavanju API -ja neaktivno otkrivanje svodi se na činjenicu da se podaci o tome je li korisnik na računalu ili ne mogu smatrati povjerljivima. Osim korisnih upotreba, ovaj se API može koristiti i u dobre svrhe, na primjer za pokušaj iskorištavanja ranjivosti dok je korisnik odsutan ili za skrivanje vidljivih zlonamjernih aktivnosti, poput rudarstva.

Koristeći dotični API, mogu se prikupiti i podaci o obrascima ponašanja korisnika i dnevni ritam njihovog rada. Na primjer, možete saznati kada korisnik obično ide na ručak ili napušta radno mjesto. U kontekstu obveznog zahtjeva za potvrdu autorizacije, Google ovu zabrinutost doživljava kao nevažnu.

Da biste potpuno onemogućili API za otkrivanje praznog hoda, u odjeljku "Privatnost i sigurnost" postavki dostupna je posebna opcija ("chrome: // settings / content / idleDetection").

Osim toga, Moramo uzeti u obzir napomenu programera Chromea o napretku novih tehnika kako bi se osiguralo sigurno upravljanje memorijom. Prema Googleu, 70% sigurnosnih problema u Chromeu uzrokovano je pogreškama u memoriji, poput upotrebe nakon slobodnog pristupa međuspremniku. Identificirane su tri glavne strategije za rješavanje takvih pogrešaka: pooštravanje provjera vremena kompajliranja, blokiranje grešaka tijekom izvođenja i korištenje jezika koji je siguran u memoriju.

Prijavljeno je da eksperimenti su počeli dodavati mogućnost razvoja komponenata na jeziku Rust u Chromium bazu kodova. Kod Rust još nije uključen u kompilacije isporučene korisnicima, a glavni mu je cilj ispitati mogućnost razvoja pojedinih dijelova preglednika u Rustu i njihove integracije s ostalim dijelovima napisanim na C ++.

Paralelno, za C ++ kod, projekt se nastavlja razvijati koristeći tip MiraclePtr umjesto sirovih pokazivača kako bi se blokirala mogućnost iskorištavanja ranjivosti uzrokovanih pristupom već oslobođenim blokovima memorije, a predlažu se i nove metode za otkrivanje pogrešaka u fazi kompilacija.

Osim toga, Google započinje eksperiment kako bi testirao mogući prekid rada web stranice nakon što preglednik dosegne troznamenkastu verziju umjesto dvije.

Konkretno, postavka "chrome: // flags # force-major-version-to-100" pojavila se u probnim verzijama Chrome 96, kada je navedeno u zaglavlju User-Agent, verzija 100 (Chrome / 100.0.4650.4. XNUMX) bit će prikazano. U kolovozu je sličan eksperiment proveden u Firefoxu koji je otkrio probleme s rukovanjem troznamenkastim verzijama na nekim web stranicama.