Chrome94のアイドル検出APIが批判の波を引き起こしました

Chromeバージョン94の発売時 se アイドル検出APIをデフォルトで含めるようにしました。 これは、FirefoxとWebKit / Safariの開発者からの反対意見へのリンクで批判の波を引き起こしました。

アイドル検出API ユーザーがアイドル状態になったことをサイトが検出できるようにします。 つまり、キーボード/マウスと相互作用したり、別のモニターで動作したりすることはありません。 APIは、スクリーンセーバーがシステムで実行されているかどうかも通知します。 非アクティブ通知は、最小値が1分に設定されている所定の非アクティブしきい値に達した後に通知を送信することによって行われます。

注意を払うことが重要です アイドル検出APIを使用するには、ユーザー資格情報を明示的に付与する必要がありますつまり、アプリケーションが初めて非アクティブの事実を判別しようとすると、ユーザーには、アクセス許可を付与するか、操作をブロックするための提案を含むウィンドウが表示されます。

チャットアプリケーション、 ソーシャルネットワークとコミュニケーションはアプリケーションと呼ばれ、 コンピューター上でのユーザーの存在に基づいてユーザーのステータスを変更したり、通知の表示を延期したりできます ユーザーの到着までの新しいメッセージの。

APIを他のアプリケーションで使用して、指定した非アクティブ期間の後に元の画面に戻ったり、ユーザーが画面に表示されていないときに常に更新される複雑なグラフを再描画するなど、インタラクティブでリソースを大量に消費する操作を無効にすることもできます。コンピューター。

APIの有効化に反対する人々の立場 非アクティブな検出 つまり、ユーザーがコンピューターを使用しているかどうかに関する情報は機密情報と見なすことができるという事実です。 このAPIは、便利な用途に加えて、たとえば、ユーザーが不在のときに脆弱性を悪用しようとしたり、マイニングなどの目に見える悪意のあるアクティビティを隠したりするために、適切な目的で使用することもできません。

問題のAPIを使用して、 行動パターンに関する情報も収集できます ユーザーと彼らの仕事の毎日のリズムの。 たとえば、ユーザーが通常昼食に行くときや職場を離れるときを知ることができます。 必須の承認確認リクエストのコンテキストでは、Googleはこれらの懸念を無関係であると認識しています。

アイドル検出APIを完全に無効にするために、設定の「プライバシーとセキュリティ」セクションに特別なオプションが用意されています（「chrome：//設定/コンテンツ/ idleDetection」）。

さらに、 安全なメモリ管理を確保するための新しい技術の進歩に関するChrome開発者からのメモを考慮に入れる必要があります。 Googleによると、Chromeのセキュリティ問題の70％は、バッファへの無料アクセス後の使用などのメモリエラーが原因です。 このようなエラーに対処するためのXNUMXつの主要な戦略が特定されています。コンパイル時チェックの強化、ランタイムエラーのブロック、およびメモリセーフ言語の使用です。

報告されている 実験により、Rust言語でコンポーネントを開発する機能がChromiumコードベースに追加され始めました。 Rustコードは、ユーザーに提供されるコンパイルにはまだ含まれていません。その主な目的は、Rustでブラウザーの個々の部分を開発し、C ++で記述された残りの部分と統合する可能性をテストすることです。

並行して、C ++コードの場合、プロジェクトは、生のポインターの代わりにMiraclePtrタイプを使用して開発を続け、すでに解放されたメモリブロックへのアクセスによって引き起こされる脆弱性を悪用する可能性をブロックし、ステージでエラーを検出する新しい方法を提案します。コンパイル。

さらに、 Googleは、サイトの停止の可能性をテストするための実験を開始しています ブラウザがXNUMX桁ではなくXNUMX桁のバージョンに達した後。

特に、設定「chrome：// flags＃force-major-version-to-100」はChrome 96試用版に表示され、User-Agentヘッダーで指定すると、バージョン100（Chrome /100.0.4650.4。XNUMX）は次のようになります。表示されます。 XNUMX月にFirefoxで同様の実験が行われ、一部のサイトでXNUMX桁のバージョンの処理に問題があることが明らかになりました。