API обнаружения простоя в Chrome 94 вызвал волну критики

При запуске Chrome версии 94 se сделали включение по умолчанию API обнаружения простоя, который вызвал волну критики со ссылками на возражения со стороны разработчиков Firefox и WebKit / Safari.

API обнаружения простоя позволяет сайтам определять, когда пользователь бездействует, то есть он не взаимодействует с клавиатурой / мышью или работает на другом мониторе. API также позволяет узнать, запущена ли в системе хранитель экрана или нет. Уведомление о неактивности осуществляется путем отправки уведомления после достижения заранее определенного порога неактивности, минимальное значение которого устанавливается равным 1 минуте.

Важно обратить внимание на использование API обнаружения простоя требует явного предоставления учетных данных пользователя, то есть, если приложение впервые попытается определить факт бездействия, пользователю будет показано окно с предложением предоставить разрешения или заблокировать операцию.

Приложения для чата, социальные сети и коммуникации называются приложениями, которые может изменить статус пользователя в зависимости от его присутствия на компьютере или отложить отображение уведомлений новых сообщений до прихода пользователя.

API также можно использовать в других приложениях для возврата к исходному экрану после определенного периода бездействия или для отключения интерактивных ресурсоемких операций, таких как перерисовка сложных диаграмм, которые постоянно обновляются, когда пользователя нет на экране. компьютер.

Позиция противников включения API неактивное обнаружение все сводится к тому, что информация о том, находится ли пользователь за компьютером или нет, может считаться конфиденциальной. Помимо полезных применений, этот API также можно использовать не для хороших целей, например, чтобы попытаться использовать уязвимости, пока пользователя нет, или для сокрытия видимой вредоносной активности, такой как майнинг.

Используя рассматриваемый API, информация о моделях поведения также может быть собрана пользователя и ежедневный ритм их работы. Например, вы можете узнать, когда пользователь обычно идет на обед или уходит с рабочего места. В контексте запроса на обязательное подтверждение авторизации Google считает эти опасения неуместными.

Чтобы полностью отключить API обнаружения простоя, в разделе настроек «Конфиденциальность и безопасность» предусмотрена специальная опция («chrome: // settings / content / idleDetection»).

Кроме того, мы должны принять во внимание примечание разработчиков Chrome о развитии новых методов для обеспечения безопасного управления памятью.. По данным Google, 70% проблем безопасности в Chrome вызваны ошибками памяти, такими как использование после свободного доступа к буферу. Выделяются три основные стратегии работы с такими ошибками: ужесточение проверок во время компиляции, блокирование ошибок времени выполнения и использование безопасного для памяти языка.

Сообщается, что начались эксперименты по добавлению возможности разработки компонентов на языке Rust в кодовую базу Chromium. Код Rust еще не включен в компиляции, предоставляемые пользователям, и его основная цель - проверить возможность разработки отдельных частей браузера на Rust и их интеграции с остальными частями, написанными на C ++.

Параллельно для кода C ++ продолжается развитие проекта с использованием типа MiraclePtr вместо сырых указателей, чтобы заблокировать возможность эксплуатации уязвимостей, вызванных доступом к уже освобожденным блокам памяти, и предлагаются новые методы обнаружения ошибок на этапе компиляция.

Кроме того, Google начинает эксперимент, чтобы проверить возможное отключение сайта после того, как браузер достигнет трехзначной версии вместо двух.

В частности, параметр «chrome: // flags # force-major-version-to-100» появился в пробных версиях Chrome 96, при указании в заголовке User-Agent версии 100 (Chrome / 100.0.4650.4. XNUMX) будет отображается. В августе аналогичный эксперимент был проведен в Firefox, который выявил проблемы с обработкой трехзначных версий на некоторых сайтах.