Chrome 94 中的空闲检测 API 引发了一波批评

在 Chrome 94 版发布时 se 默认包含空闲检测 API， Firefox 和 WebKit / Safari 开发人员的反对链接引发了一波批评。

空闲检测API 允许站点检测用户何时处于非活动状态， 也就是说，它不与键盘/鼠标交互或在另一台显示器上工作。 API 还可以让您知道屏幕保护程序是否在系统上运行。 不活动通知是通过在达到预定的不活动阈值后发送通知来完成的，该阈值的最小值设置为 1 分钟。

重要的是要注意 使用空闲检测 API 需要明确授予用户凭据也就是说，如果应用程序首次尝试确定不活动的事实，则将向用户显示一个窗口，其中包含授予权限或阻止操作的建议。

聊天应用程序， 社交网络和通信被称为应用程序， 可以根据用户在计算机上的状态更改用户的状态或推迟通知的显示 新消息，直到用户到达。

该 API 还可用于其他应用程序，以在特定时间不活动后返回原始屏幕，或禁用交互式、资源密集型操作，例如重绘用户不在屏幕上时不断更新的复杂图表。计算机。

反对启用 API 的立场 非活动检测 归结为这样一个事实，即有关用户是否在计算机上的信息可以被视为机密信息。 除了有用的用途外，此 API 还可用于非良好目的，例如，在用户不在时尝试利用漏洞或隐藏可见的恶意活动，例如挖矿。

使用有问题的 API， 还可以收集有关行为模式的信息 用户和他们的日常工作节奏。 例如，您可以了解用户通常何时去吃午饭或何时离开工作场所。 在强制授权确认请求的背景下，Google 认为这些问题无关紧要。

要完全禁用空闲检测 API，在设置的“隐私和安全”部分提供了一个特殊选项（“chrome://settings/content/idleDetection”）。

另外， 我们必须考虑 Chrome 开发人员关于新技术进步以确保安全内存管理的说明. 据谷歌称，Chrome 中 70% 的安全问题是由内存错误引起的，例如在免费访问缓冲区后使用。 确定了处理此类错误的三个主要策略：加强编译时检查、阻止运行时错误和使用内存安全语言。

据悉 实验已经开始向 Chromium 代码库添加使用 Rust 语言开发组件的能力. Rust 代码尚未包含在提供给用户的编译中，其主要目标是测试在 Rust 中开发浏览器的各个部分并将它们与用 C++ 编写的其余部分集成的可能性。

同时，对于C++代码，项目继续开发使用MiraclePtr类型而不是原始指针来阻断由于访问已经释放的内存块而导致的漏洞被利用的可能性，并提出了新的方法来检测阶段中的错误汇编。

另外， 谷歌正在开始一项实验以测试可能的网站中断 在浏览器达到三位数版本而不是两位数之后。

特别是，Chrome 100 试用版中出现的设置“chrome://flags #force-major-version-to-96”，当在 User-Agent 标头中指定时，版本 100 (Chrome / 100.0.4650.4) 将是显示。 XNUMX 月，在 Firefox 中进行了类似的实验，该实验揭示了在某些站点上处理三位数版本的问题。