АПИ за откривање празног хода у Цхроме 94 изазвао је талас критика

Приликом покретања Цхроме верзије 94 se подразумевано укључио АПИ за откривање празног хода, што је изазвало талас критика линковима на примедбе програмера Фирефока и ВебКит / Сафарија.

АПИ за откривање празног хода омогућава веб локацијама да открију када је корисник неактиван, односно не комуницира са тастатуром / мишем или ради на другом монитору. АПИ вам такође омогућава да знате да ли чувар екрана ради на систему или не. Обавештење о неактивности се врши слањем обавештења након достизања унапред утврђеног прага неактивности, чија је минимална вредност постављена на 1 минут.

Важно је обратити пажњу коришћење АПИ -ја за откривање празног хода захтева експлицитно одобравање корисничких акредитиваТо јест, ако апликација по први пут покуша да утврди чињеницу неактивности, кориснику ће се приказати прозор са предлогом за додељивање дозвола или блокирање операције.

Апликације за ћаскање, друштвене мреже и комуникације називају се апликације, које може променити статус корисника на основу њиховог присуства на рачунару или одложити приказивање обавештења нових порука до доласка корисника.

АПИ се може користити и у другим апликацијама за повратак на оригинални екран након одређеног периода неактивности или за онемогућавање интерактивних операција које захтевају много ресурса, попут поновног исцртавања сложених графикона који се стално ажурирају када корисник није на екрану. рачунар.

Став оних који се противе омогућавању АПИ -ја неактивно откривање своди се на чињеницу да се информације о томе да ли је корисник на рачунару или не могу сматрати поверљивим. Поред корисне употребе, овај АПИ се такође може користити у добре сврхе, на пример, за покушај експлоатације рањивости док је корисник одсутан или за скривање видљивих злонамерних активности, попут рударства.

Користећи дотични АПИ, такође се могу прикупити информације о обрасцима понашања корисника и дневног ритма њиховог рада. На пример, можете сазнати када корисник обично иде на ручак или напушта радно место. У контексту обавезног захтева за потврду ауторизације, Гоогле ову забринутост доживљава као небитну.

Да бисте потпуно онемогућили АПИ за откривање празног хода, у одељку „Приватност и безбедност“ поставки обезбеђена је посебна опција („цхроме: // сеттингс / цонтент / идлеДетецтион“).

Поред тога, морамо узети у обзир напомену Цхроме програмера о напретку нових техника како би се осигурало сигурно управљање меморијом. Према Гоогле -у, 70% безбедносних проблема у Цхроме -у узроковано је грешкама у меморији, попут употребе након слободног приступа баферу. Идентификоване су три главне стратегије за решавање таквих грешака: пооштравање провере током компајлирања, блокирање грешака у току извођења и коришћење језика безбедног у меморији.

Пријављено је да експерименти су почели да додају могућност развоја компоненти на језику Руст у Цхромиум базу података. Код Руст још увек није укључен у компилације које се испоручују корисницима, а његов главни циљ је да испита могућност развоја појединих делова прегледача у Русту и њихову интеграцију са осталим деловима написаним на Ц ++.

Паралелно, за Ц ++ код, пројекат се наставља развијати користећи тип МирацлеПтр уместо сирових показивача како би се блокирала могућност искоришћавања рањивости узрокованих приступом већ ослобођеним блоковима меморије, а предлажу се и нове методе за откривање грешака у фази компилација.

Поред тога, Гоогле започиње експеримент како би тестирао могући прекид рада веб локације након што прегледач достигне троцифрену верзију уместо две.

Конкретно, подешавање "цхроме: // флагс # форце-мајор-версион-то-100" појавило се у пробним верзијама Цхроме 96, када је наведено у заглављу Усер-Агент, верзија 100 (Цхроме / 100.0.4650.4. XNUMX) ће бити приказати. У августу је сличан експеримент изведен у Фирефоку, који је открио проблеме са руковањем троцифреним верзијама на неким веб локацијама.