Google schließt den externen Zugriff auf die Chrome Sync API.

Im Rahmen eines Audits hat Google festgestellt, dass einige Drittanbieterprodukte, die auf Chromium-Code basieren, Schlüssel verwenden, die den Zugriff auf bestimmte Google-APIs und -Dienste ermöglichen, die für den internen Gebrauch vorgesehen sind. Insbesondere auf google_default_client_id und google_default_client_secret. Dadurch haben Nutzer die Möglichkeit, auf ihre eigenen Chrome Sync-Daten (wie Lesezeichen) nicht nur in Chrome, sondern auch in anderen, auf Chromium basierenden Browsern zuzugreifen. Um die Sicherheitsanstrengungen zu rechtfertigen, schließt Google den Zugriff für Drittanbieter-Software auf die genannten APIs. Diese Entscheidung tritt am 15. März dieses Jahres in Kraft.

In diesem Zusammenhang haben viele Distributionen betrachten die Möglichkeit, Chromium vollständig aus ihren Lieferungen zu entfernen. Dazu gehören: Arch Linux, Fedora, Debian, Slackware, OpenSUSE und andere.

Quelle:

Hallo Chromium-Entwickler,

wir möchten Ihnen mitteilen, dass ab dem 15. März 2021 Endnutzer von Chromium und Chromium OS-Derivaten, die google_default_client_id und google_default_client_secret in ihrer Build-Konfiguration verwenden, sich nicht mehr bei ihren Google-Konten anmelden können.
Was muss ich wissen?

Bei einer kürzlich durchgeführten Prüfung haben wir festgestellt, dass einige 3rd-Party Chromium-basierte Browser Schlüssel hatten, die den Zugriff auf Google APIs und Dienste ermöglichten, die ausschließlich für die Nutzung durch Google reserviert sind. Chrome Sync ist das bekannteste dieser APIs. Insbesondere handelt es sich um google_default_client_id und google_default_client_secret.

In der Praxis bedeutet dies, dass ein Benutzer in der Lage wäre, auf seine persönlichen Chrome Sync-Daten (wie Lesezeichen) nicht nur mit Chrome, sondern auch mit einem nicht von Google stammenden, Chromium-basierten Browser zuzugreifen. Bitte beachten Sie, dass Nutzer nur auf ihre eigenen Chrome Sync-Daten zugreifen könnten und nur eine kleine Anzahl von Nutzern von Chromium-basierten Browsern betroffen war. Wir haben keinen Grund zu der Annahme, dass Benutzerdaten von jemand anderem als den Nutzern selbst missbraucht oder zugegriffen werden.

Im Rahmen von Googles Bemühungen, die Datensicherheit der Nutzer zu verbessern, werden wir den Zugriff von Chromium- und Chromium OS-Derivaten entfernen, die google_default_client_id und google_default_client_secret in ihrer Build-Konfiguration für Google-exklusive APIs verwendet haben, beginnend am 15. März 2021. Anleitungen für Anbieter von Chromium-Derivaten sind im Chromium-Wiki verfügbar.
Was bedeutet das für meine Nutzer?

Nutzer von Produkten, die diese APIs falsch verwenden, werden feststellen, dass sie sich nicht mehr in ihren Google-Konten in diesen Produkten anmelden können.

Für Nutzer, die über einen 3rd-Party Chromium-basierten Browser auf Google-Funktionen (wie Chrome Sync) zugegriffen haben, bleiben ihre Daten in ihrem Google-Konto verfügbar, und Daten, die lokal gespeichert sind, bleiben weiterhin lokal verfügbar.

Wie immer können die Nutzer ihre Daten über Google Chrome, Chrome OS und/oder auf der Seite 'Meine Google-Aktivitäten' einsehen und verwalten. Sie können auch ihre Daten von der Google Takeout-Seite herunterladen und/oder sie von dieser Seite löschen.
Was muss ich tun?

Um Unterbrechungen zu vermeiden, befolgen Sie die Anweisungen zur Konfiguration und Erstellung von Chromium-Derivaten im Chromium-Wiki (Link oben bereitgestellt).

Mögliche Implementierungsoptionen sind:

Entfernen von google_default_client_id und google_default_client_secret aus Ihrer Build-Konfiguration.
Übergeben des Flags —allow-browser-signin=false beim Start.

Ihre Projekte, die von dieser Änderung betroffen sein könnten, sind unten aufgeführt:

Arch Linux Chromium (arch-linux-chromium)

Wenn Sie Fragen haben oder Unterstützung benötigen, kontaktieren Sie bitte embedd…@chromium.org.

Mit freundlichen Grüßen,

Das Google Chrome Team

Quelle: linux.org.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster