API wykrywania bezczynności w Chrome 94 wywołało falę krytyki

W momencie premiery Chrome w wersji 94 se wprowadzono domyślne włączenie interfejsu API wykrywania bezczynności, co wywołało falę krytyki z linkami do zastrzeżeń ze strony twórców Firefoksa i WebKit/Safari.

API wykrywania bezczynności pozwala witrynom wykryć, kiedy użytkownik jest nieaktywny, to znaczy nie współdziała z klawiaturą/myszą lub działa na innym monitorze. Interfejs API informuje również, czy wygaszacz ekranu jest uruchomiony w systemie, czy nie. Powiadomienie o braku aktywności odbywa się poprzez wysłanie powiadomienia po osiągnięciu określonego progu braku aktywności, którego minimalna wartość jest ustawiona na 1 minutę.

Ważne jest, aby zwrócić na to uwagę korzystanie z API wykrywania bezczynności wymaga jawnego przyznania poświadczeń użytkownikaOznacza to, że jeśli aplikacja po raz pierwszy spróbuje ustalić fakt braku aktywności, użytkownikowi zostanie wyświetlone okno z propozycją nadania uprawnień lub zablokowania operacji.

Aplikacje czatowe, sieci społecznościowe i komunikacja to aplikacje, które: może zmienić status użytkownika na podstawie jego obecności na komputerze lub opóźnić wyświetlanie powiadomień nowych wiadomości do przybycia użytkownika.

Interfejsu API można również używać w innych aplikacjach, aby powrócić do pierwotnego ekranu po określonym czasie braku aktywności lub wyłączyć interaktywne, wymagające dużej ilości zasobów operacje, takie jak przerysowywanie złożonych wykresów, które są stale aktualizowane, gdy użytkownik nie jest na ekranie. komputer.

Stanowisko tych, którzy sprzeciwiają się włączeniu API nieaktywne wykrywanie sprowadza się to do tego, że informację o tym, czy użytkownik przebywa na komputerze, czy nie, można uznać za poufną. Oprócz użytecznych zastosowań, ten interfejs API może być również wykorzystywany do celów nieodpowiednich, na przykład do prób wykorzystania luk w zabezpieczeniach podczas nieobecności użytkownika lub do ukrycia widocznej złośliwej aktywności, takiej jak wydobycie.

Korzystając z przedmiotowego API, można również zbierać informacje o wzorcach zachowań użytkownika i codzienny rytm jego pracy. Na przykład możesz dowiedzieć się, kiedy użytkownik zwykle idzie na lunch lub opuszcza miejsce pracy. W kontekście obowiązkowej prośby o potwierdzenie autoryzacji Google uważa te obawy za nieistotne.

Aby całkowicie wyłączyć interfejs API wykrywania bezczynności, dostępna jest specjalna opcja w sekcji „Prywatność i bezpieczeństwo” ustawień („chrome: // settings / content / idleDetection”).

Ponadto, musimy wziąć pod uwagę notatkę twórców Chrome o rozwoju nowych technik zapewniających bezpieczne zarządzanie pamięcią. Według Google 70% problemów z bezpieczeństwem w Chrome jest spowodowanych błędami pamięci, takimi jak użycie po bezpłatnym dostępie do bufora. Zidentyfikowano trzy główne strategie radzenia sobie z takimi błędami: zaostrzenie kontroli w czasie kompilacji, blokowanie błędów w czasie wykonywania i używanie języka bezpiecznego dla pamięci.

Poinformowano, że eksperymenty rozpoczęły dodawanie możliwości tworzenia komponentów w języku Rust do bazy kodu Chromium. Kod Rusta nie jest jeszcze zawarty w kompilacjach dostarczanych użytkownikom, a jego głównym celem jest przetestowanie możliwości rozwoju poszczególnych części przeglądarki w Ruście i zintegrowanie ich z resztą części napisanych w C++.

Równolegle dla kodu C++ projekt nadal rozwija się z wykorzystaniem typu MiraclePtr zamiast surowych wskaźników, aby zablokować możliwość wykorzystania podatności spowodowanych dostępem do już uwolnionych bloków pamięci, a także proponuje się nowe metody wykrywania błędów na etapie kompilacja.

Ponadto, Google rozpoczyna eksperyment w celu przetestowania możliwej awarii witryny po tym, jak przeglądarka osiągnie wersję trzycyfrową zamiast dwóch.

W szczególności ustawienie „chrome: // flags # force-major-version-to-100” pojawiło się w wersjach próbnych Chrome 96, gdy określono w nagłówku User-Agent, wersja 100 (Chrome / 100.0.4650.4. XNUMX) będzie wystawiany. W sierpniu podobny eksperyment został przeprowadzony w Firefoksie, który ujawnił problemy z obsługą wersji trzycyfrowych na niektórych stronach.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.