Die standardmĂ€Ăige Aktivierung der API fĂŒr die Erkennung von InaktivitĂ€t in Chrome 94 hat eine Welle der Kritik ausgelöst, mit Verweisen auf EinwĂ€nde von Entwicklern von Firefox und WebKit/Safari.
Die API zur Erkennung von InaktivitĂ€t ermöglicht es Websites, festzustellen, wann ein Benutzer inaktiv ist, d. h. keine Eingaben ĂŒber Tastatur/Maus macht oder an einem anderen Monitor arbeitet. Die API kann auch erkennen, ob ein Bildschirmschoner im System aktiv ist. Die Information ĂŒber InaktivitĂ€t erfolgt durch das Senden einer Benachrichtigung, nachdem ein festgelegter InaktivitĂ€tszeitraum erreicht wurde, dessen Mindestwert auf 1 Minute festgelegt ist.
Es ist wichtig zu beachten, dass die Verwendung der API zur Erkennung von InaktivitĂ€t eine ausdrĂŒckliche Berechtigung des Benutzers erfordert. Wenn die Anwendung zum ersten Mal versucht, die InaktivitĂ€t festzustellen, wird dem Benutzer ein Fenster angezeigt, in dem er aufgefordert wird, die Berechtigung zu erteilen oder die Operation zu blockieren. Um die API zur Erkennung von InaktivitĂ€t vollstĂ€ndig zu deaktivieren, gibt es im Abschnitt âDatenschutz und Sicherheitâ eine spezielle Option (âchrome://settings/content/idleDetectionâ).
Typische Anwendungsbereiche sind Chat-Apps, soziale Netzwerke und Kommunikationsdienste, die den Status eines Nutzers je nach dessen ComputerprĂ€senz Ă€ndern oder die Anzeige von Benachrichtigungen fĂŒr neue Nachrichten bis zur RĂŒckkehr des Nutzers verzögern können. Die API kann auch in Kiosk-Anwendungen genutzt werden, um nach einer bestimmten Zeit der InaktivitĂ€t zum ursprĂŒnglichen Bildschirm zurĂŒckzukehren oder ressourcenintensive interaktive Funktionen wie das Neuzeichnen komplexer, stĂ€ndig aktualisierter Diagramme zu deaktivieren, wenn der Nutzer nicht am Computer ist.
Die Argumentation der Gegner der API Idle Detection besagt, dass Informationen darĂŒber, ob ein Nutzer am Computer ist oder nicht, als vertraulich angesehen werden können. Neben nĂŒtzlichen Anwendungen könnte diese API auch fĂŒr weniger edle Zwecke verwendet werden, etwa um Schwachstellen auszunutzen, wĂ€hrend der Nutzer abwesend ist, oder um auffĂ€llige bösartige AktivitĂ€ten wie Mining zu verschleiern. Mit dieser API können auĂerdem Informationen ĂŒber das Nutzerverhalten und dessen tĂ€glicher Rhythmus gesammelt werden. So lĂ€sst sich beispielsweise feststellen, wann ein Nutzer normalerweise Mittagspause macht oder seinen Arbeitsplatz verlĂ€sst. Unter den Bedingungen einer obligatorischen BestĂ€tigung zur Erteilung von Berechtigungen betrachtet Google diese Bedenken als unwesentlich.
ZusĂ€tzlich kann die Mitteilung der Chrome-Entwickler ĂŒber die Förderung neuer Techniken zur sicheren Speicherverwaltung hervorgehoben werden. Laut Google sind 70 % der Sicherheitsprobleme in Chrome auf Fehler bei der Speicherverwaltung zurĂŒckzufĂŒhren, wie beispielsweise der Zugriff auf einen Puffer nach der Freigabe des dazugehörigen Speichers (Use-after-free). Es werden drei Hauptstrategien zur BekĂ€mpfung solcher Fehler definiert: die VerstĂ€rkung der ĂberprĂŒfungen wĂ€hrend der Kompilierung, die Blockierung von Fehlern zur Laufzeit und die Verwendung von Sprache, die eine sichere Speicherverwaltung gewĂ€hrleistet.
Es wird berichtet, dass Experimente zur Integration von Rust-Entwicklungsoptionen in die Chromium-Codebasis begonnen haben. Der Rust-Code ist derzeit nicht in den fĂŒr Benutzer bereitgestellten Builds enthalten und konzentriert sich hauptsĂ€chlich auf das Testen der Möglichkeit, bestimmte Teile des Browsers in Rust zu entwickeln und deren Integration mit den in C++ geschriebenen Komponenten. Gleichzeitig wird das Projekt zur Verwendung des MiraclePtr-Typs anstelle von raw-Pointern zur Verhinderung von SicherheitsanfĂ€lligkeiten, die durch den Zugriff auf bereits freigegebene Speicherblöcke verursacht werden, sowie neue Methoden zur Fehlererkennung wĂ€hrend der Kompilierung weiterentwickelt.
DarĂŒber hinaus beginnt Google mit Experimenten zur ĂberprĂŒfung möglicher BeeintrĂ€chtigungen der Website-FunktionalitĂ€t, nachdem der Browser eine Versionsnummer mit drei Ziffern anstelle von zwei erreicht hat. Insbesondere wurde in den Testversionen von Chrome 96 eine Einstellung eingefĂŒhrt: «chrome://flags#force-major-version-to-100», bei deren Aktivierung im User-Agent-Header die Version 100 (Chrome/100.0.4650.4) angezeigt wird. Im August wurde ein Ă€hnliches Experiment in Firefox durchgefĂŒhrt, das Probleme bei der Verarbeitung von dreiziffrigen Versionen auf bestimmten Websites aufzeigte.
Quelle: opennet.ru
