API виявлення простою в Chrome 94 викликав хвилю критики

Під час запуску Chrome версії 94 se зробив за замовчуванням включення API виявлення простою, що викликало хвилю критики з посиланнями на заперечення розробників Firefox та WebKit / Safari.

API виявлення простою дозволяє сайтам визначати, коли користувач перебуває в режимі очікування, тобто він не взаємодіє з клавіатурою / мишею або працює на іншому моніторі. API також дає вам знати, чи заставка працює в системі чи ні. Повідомлення про бездіяльність здійснюється шляхом надсилання повідомлення після досягнення заздалегідь визначеного порогу бездіяльності, мінімальне значення якого встановлено на 1 хвилину.

Важливо звернути увагу використання API виявлення простою вимагає явного надання облікових даних користувачаТобто, якщо програма вперше спробує визначити факт бездіяльності, користувачеві буде показано вікно з пропозицією надати дозволи або заблокувати операцію.

Додатки для чату, соціальні мережі та комунікації називаються програмами, які може змінити статус користувача на основі його присутності на комп’ютері або відкласти відображення сповіщень нових повідомлень до прибуття користувача.

API також можна використовувати в інших програмах для повернення на початковий екран після певного періоду бездіяльності або для відключення інтерактивних ресурсомістких операцій, таких як перемальовування складних діаграм, які постійно оновлюються, коли користувача немає на екрані. комп'ютер.

Позиція тих, хто виступає проти включення API неактивне виявлення це зводиться до того, що інформацію про те, чи є користувач на комп’ютері чи ні, можна вважати конфіденційною. На додаток до корисного використання, цей API також можна використовувати не в корисних цілях, наприклад, для спроби використати уразливості, коли користувача немає, або приховати видиму шкідливу активність, наприклад, майнінг.

Використовуючи відповідний API, також можна збирати інформацію про моделі поведінки користувача та щоденний ритм його роботи. Наприклад, ви можете дізнатися, коли користувач зазвичай йде на обід або залишає робоче місце. У контексті обов’язкового запиту на підтвердження авторизації Google сприймає ці проблеми як недоречні.

Щоб повністю вимкнути API виявлення простою, у розділі «Конфіденційність і безпека» налаштувань передбачена спеціальна опція («chrome: // settings / content / idleDetection»).

Крім того, ми повинні взяти до уваги примітку від розробників Chrome про просування нових методів для забезпечення безпечного управління пам'яттю. За даними Google, 70% проблем безпеки в Chrome викликані помилками пам'яті, такими як використання після вільного доступу до буфера. Визначено три основні стратегії боротьби з такими помилками: посилення перевірок часу компіляції, блокування помилок під час виконання та використання мови, безпечної для пам’яті.

Повідомляється, що експерименти почали додавати можливість розробки компонентів мовою Rust до кодової бази Chromium. Код Rust ще не включений у компіляції, що надаються користувачам, і його основна мета - перевірити можливість розробки окремих частин браузера в Rust та їх інтеграції з рештою частин, написаних на C ++.

Паралельно, для коду C ++, проект продовжує розвиватися з використанням типу MiraclePtr замість необроблених покажчиків, щоб блокувати можливість використання вразливостей, викликаних доступом до вже звільнених блоків пам'яті, і пропонуються нові методи виявлення помилок на етапі компіляція.

Крім того, Google розпочинає експеримент з перевірки можливого відключення сайту після того, як браузер досягне тризначної версії замість двох.

Зокрема, параметр "chrome: // flags # force-major-version-to-100" з'явився у пробних версіях Chrome 96, якщо зазначено у заголовку User-Agent, версія 100 (Chrome / 100.0.4650.4. XNUMX) буде відображається. У серпні подібний експеримент був проведений у Firefox, який виявив проблеми з обробкою тризначних версій на деяких сайтах.