API de detecção de ociosidade no Chrome 94 gerou uma onda de críticas

No lançamento do Chrome versão 94 se fez a inclusão padrão da API de detecção de inatividade, que gerou uma onda de críticas com links para objeções dos desenvolvedores do Firefox e WebKit / Safari.

A API de detecção de inatividade permite que os sites detectem quando um usuário está ocioso, ou seja, não interage com o teclado / mouse ou funciona em outro monitor. A API também permite que você saiba se o protetor de tela está sendo executado no sistema ou não. A notificação de inatividade é feita enviando uma notificação após atingir um limite de inatividade predeterminado, cujo valor mínimo é definido como 1 minuto.

É importante colocar atenção usar a API de detecção de inatividade requer a concessão explícita de credenciais do usuário, ou seja, se o aplicativo tentar determinar o fato de inatividade pela primeira vez, o usuário verá uma janela com uma proposta para conceder permissões ou bloquear a operação.

Aplicativos de bate-papo, redes sociais e comunicações são chamadas de aplicativos, que pode alterar o status do usuário com base em sua presença no computador ou adiar a exibição de notificações de novas mensagens até a chegada do usuário.

A API também pode ser usada em outros aplicativos para retornar à tela original após um período específico de inatividade ou para desativar operações interativas que consomem muitos recursos, como redesenhar gráficos complexos que são atualizados constantemente quando o usuário não está na tela. computador.

A posição daqueles que se opõem à habilitação da API detecção inativa tudo se resume ao fato de que as informações sobre se o usuário está ou não no computador podem ser consideradas confidenciais. Além de usos úteis, esta API também pode ser usada não para bons propósitos, por exemplo, para tentar explorar vulnerabilidades enquanto o usuário está ausente ou para ocultar atividades maliciosas visíveis, como mineração.

Usando a API em questão, informações sobre padrões de comportamento também podem ser coletadas do usuário e do ritmo diário de seu trabalho. Por exemplo, você pode descobrir quando um usuário geralmente vai almoçar ou sai do local de trabalho. No contexto de uma solicitação de confirmação de autorização obrigatória, o Google considera essas preocupações irrelevantes.

Para desativar completamente a API de detecção de inatividade, uma opção especial é fornecida na seção "Privacidade e segurança" das configurações ("chrome: // settings / content / idleDetection").

Além disso, Devemos levar em consideração uma nota dos desenvolvedores do Chrome sobre o avanço de novas técnicas para garantir o gerenciamento seguro da memória. De acordo com o Google, 70% dos problemas de segurança no Chrome são causados ​​por erros de memória, como o uso após acesso livre a um buffer. Três estratégias principais para lidar com esses erros são identificadas: restringir as verificações de tempo de compilação, bloquear erros de tempo de execução e usar uma linguagem de memória segura.

É relatado que experimentos começaram a adicionar a capacidade de desenvolver componentes na linguagem Rust para a base de código do Chromium. O código Rust ainda não está incluído nas compilações fornecidas aos usuários e seu principal objetivo é testar a possibilidade de desenvolver partes individuais do navegador em Rust e integrá-las com o resto das partes escritas em C ++.

Paralelamente, para o código C ++, o projeto continua a se desenvolver utilizando o tipo MiraclePtr ao invés de ponteiros brutos para bloquear a possibilidade de exploração de vulnerabilidades causadas pelo acesso a blocos de memória já liberados, e novos métodos são propostos para detectar erros no estágio compilação.

Além disso, O Google está iniciando um experimento para testar uma possível interrupção do site depois que o navegador atinge uma versão de três dígitos em vez de dois.

Em particular, a configuração "chrome: // flags # force-major-version-to-100" apareceu nas versões de teste do Chrome 96, quando é especificada no cabeçalho do agente do usuário, versão 100 (Chrome / 100.0.4650.4. XNUMX) será exibido. Em agosto, um experimento semelhante foi conduzido no Firefox, que revelou problemas com o manuseio de versões de três dígitos em alguns sites.


O conteúdo do artigo segue nossos princípios de ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.