Idle detection API i Chrome 94 har utløst en bølge av kritikk

Ved lanseringen av Chrome versjon 94 se gjort standard inkludering av inaktiv deteksjons -API, som har utløst en bølge av kritikk med lenker til innvendinger fra utviklerne av Firefox og WebKit / Safari.

API for påvisning av tomgang lar nettsteder oppdage når en bruker er inaktiv, det vil si at den ikke samhandler med tastaturet / musen eller fungerer på en annen skjerm. API -en gir deg også beskjed om skjermspareren kjører på systemet eller ikke. Inaktivitetsvarsel utføres ved å sende et varsel etter å ha nådd en forhåndsbestemt inaktivitetsterskel, hvis minimumsverdi er satt til 1 minutt.

Det er viktig å sette oppmerksomhet på bruk av inaktiv deteksjons -API krever eksplisitt tildeling av brukerlegitimasjonDet vil si at hvis programmet prøver å fastslå faktum om inaktivitet for første gang, vil brukeren bli vist et vindu med et forslag om å gi tillatelser eller blokkere operasjonen.

Chat -applikasjoner, sosiale nettverk og kommunikasjon kalles applikasjoner, som kan endre brukerens status basert på tilstedeværelsen på datamaskinen eller utsette visningen av varsler nye meldinger frem til brukeren kommer.

API-en kan også brukes i andre applikasjoner for å gå tilbake til det opprinnelige skjermbildet etter en bestemt inaktivitet, eller for å deaktivere interaktive, ressurskrevende operasjoner, for eksempel å tegne komplekse diagrammer som oppdateres kontinuerlig når brukeren ikke er på skjermen. datamaskin.

Posisjonen til de som er imot å aktivere API inaktiv deteksjon det går ut på at informasjon om hvorvidt brukeren er på datamaskinen eller ikke kan anses som konfidensiell. I tillegg til nyttig bruk, kan denne API -en også brukes ikke til gode formål, for eksempel for å prøve å utnytte sårbarheter mens brukeren er borte eller for å skjule synlig ondsinnet aktivitet, for eksempel gruvedrift.

Ved å bruke den aktuelle APIen, informasjon om atferdsmønstre kan også samles inn av brukeren og den daglige rytmen i arbeidet sitt. For eksempel kan du finne ut når en bruker vanligvis går til lunsj eller forlater arbeidsplassen. I forbindelse med en obligatorisk forespørsel om godkjenning, oppfatter Google disse bekymringene som irrelevante.

For å deaktivere API -en for deteksjon av inaktivitet, er det gitt et spesielt alternativ i delen "Personvern og sikkerhet" i innstillingene ("chrome: // settings / content / idleDetection").

Videre vi må ta hensyn til et notat fra Chrome -utviklerne om utvikling av nye teknikker for å sikre sikker minnestyring. Ifølge Google er 70% av sikkerhetsproblemene i Chrome forårsaket av minnefeil, for eksempel bruk etter gratis tilgang til en buffer. Tre hovedstrategier for å håndtere slike feil er identifisert: stramming av kompileringstidskontroller, blokkering av kjøretidsfeil og bruk av et minnesikkert språk.

Det er rapportert at eksperimenter har begynt å legge muligheten til å utvikle komponenter på Rust -språket til Chromium -kodebasen. Rust -koden er ennå ikke inkludert i samlingene som leveres til brukerne, og hovedmålet er å teste muligheten for å utvikle individuelle deler av nettleseren i Rust og integrere dem med resten av delene skrevet i C ++.

Parallelt, for C ++ - koden, fortsetter prosjektet å utvikle seg ved hjelp av MiraclePtr -typen i stedet for råpekere for å blokkere muligheten for å utnytte sårbarheter forårsaket av tilgang til allerede frigjorte blokker av minne, og nye metoder foreslås for å oppdage feil i scenen samling.

Videre Google starter et eksperiment for å teste mulig nettstans etter at nettleseren når en tresifret versjon i stedet for to.

Spesielt vises innstillingen "chrome: // flags # force-major-version-to-100" i Chrome 96-prøveversjonene, når den er spesifisert i User-Agent-overskriften, vil versjon 100 (Chrome / 100.0.4650.4. XNUMX) være vises. I august ble et lignende eksperiment utført i Firefox, som avslørte problemer med håndtering av tresifrede versjoner på noen nettsteder.