Výchozí zahrnutí Idle Detection API do Chrome 94 vedlo k vlně kritiky, citující námitky od vývojářů Firefoxu a WebKit/Safari.
Idle Detection API umožňuje webům detekovat čas, kdy je uživatel neaktivní, tzn. Nekomunikuje s klávesnicí/myší ani neprovádí práci na jiném monitoru. API také umožňuje zjistit, zda v systému běží spořič obrazovky či nikoliv. Informace o nečinnosti se provádí zasláním upozornění po dosažení stanoveného prahu nečinnosti, jehož minimální hodnota je nastavena na 1 minutu.
Je důležité si uvědomit, že použití Idle Detection API vyžaduje výslovné udělení uživatelských oprávnění, tzn. Pokud se aplikace pokusí detekovat nečinnost poprvé, uživateli se zobrazí okno s dotazem, zda udělit oprávnění nebo operaci zablokovat. Chcete-li zcela zakázat rozhraní API detekce nečinnosti, je v části nastavení „Ochrana soukromí a zabezpečení“ k dispozici speciální možnost („chrome://settings/content/idleDetection“).
Oblasti použití zahrnují chat, sociální sítě a komunikační aplikace, které mohou změnit stav uživatele v závislosti na jeho přítomnosti u počítače nebo zpozdit upozornění na nové zprávy, dokud uživatel nepřijde. Rozhraní API lze také použít v kioskových aplikacích pro návrat na původní obrazovku po určité době nečinnosti nebo pro zakázání interaktivních operací náročných na zdroje, jako je překreslování složitých, neustále aktualizace grafů, když uživatel není u počítače.
Pozice odpůrců povolení API pro detekci nečinnosti je taková, že informace o tom, zda je uživatel u počítače nebo ne, lze považovat za důvěrné. Kromě užitečných aplikací lze toto API využít i ke špatným účelům, například ke snaze zneužít zranitelnosti v době, kdy je uživatel pryč, nebo skrýt nápadné škodlivé aktivity, jako je těžba. Pomocí příslušného API lze také shromažďovat informace o vzorcích chování uživatelů a denním rytmu jeho práce. Můžete například zjistit, kdy uživatel obvykle chodí na oběd nebo kdy opouští pracoviště. V souvislosti s povinnou žádostí o prokázání autorizace jsou tyto obavy společností Google vnímány jako bezvýznamné.
Kromě toho si můžete všimnout poznámky od vývojářů Chrome o podpoře nových technik pro zajištění bezpečného provozu s pamětí. Podle Googlu je 70 % bezpečnostních problémů v prohlížeči Chrome způsobeno chybami paměti, jako je použití vyrovnávací paměti po uvolnění paměti s tím spojené (use-after-free). Jsou identifikovány tři hlavní strategie pro řešení takových chyb: posílení kontrol ve fázi kompilace, blokování chyb za běhu a používání jazyka bezpečného pro paměť.
Uvádí se, že experimenty začaly přidávat schopnost vyvíjet komponenty v jazyce Rust do kódové základny Chromium. Kód Rust zatím není součástí sestavení dodávaných uživatelům a je zaměřen především na testování možnosti vývoje jednotlivých částí prohlížeče v Rustu a jejich integraci s ostatními částmi napsanými v C++. Paralelně se pro C++ kód pokračuje ve vývoji projektu využívajícího typ MiraclePtr místo nezpracovaných ukazatelů k zablokování možnosti zneužití zranitelností způsobených přístupem k již uvolněným blokům paměti a jsou také navrženy nové metody pro detekci chyb ve fázi kompilace.
Google navíc zahajuje experiment, který má otestovat možné narušení stránek poté, co prohlížeč dosáhne verze sestávající ze tří číslic namísto dvou. Zejména v testovacích verzích Chrome 96 se objevilo nastavení „chrome://flags#force-major-version-to-100“, když bylo uvedeno v záhlaví User-Agent, verze 100 (Chrome/100.0.4650.4) se začne zobrazovat. V srpnu proběhl podobný experiment ve Firefoxu, který odhalil problémy se zpracováním třímístných verzí na některých stránkách.
Zdroj: opennet.ru