Google sulgeb kolmanda osapoole juurdepÀÀsu Chrome Sync API-le

Auditi kÀigus tuvastas Google, et mÔned kolmandate osapoolte tooted, mis pÔhinevad Chromiumi koodil, kasutavad vÔtmeid, mis vÔimaldavad ligipÀÀsu teatud Google'i API-dele ja teenustele, mis on mÔeldud siseotstarbeks. EelkÔige viidatakse google_default_client_id ja google_default_client_secret. Selle tulemusena saavad kasutajad ligipÀÀsu oma Chrome Sync andmetele (nt jÀrjehoidjad) mitte ainult Chrome'is, vaid ka kolmandate osapoolte brauserites, mis pÔhinevad Chromiumi koodil. Google suletakse juurdepÀÀs kolmandate osapoolte tarkvarale eespool nimetatud API-dele turvakaalutlustel. See otsus jÔustub alates 15. mÀrtsist kÀesoleval aastal.

SeetÔttu kaaluvad paljud jaotused vÔimalust kui Chromiumist tÀielikult loobuda oma pakkumistes. Nende hulgas on: Arch Linux, Fedora, Debian, Slackware, OpenSUSE ja teised.

Algallikas:

Tere Chromiumi arendaja,

Me kirjutame, et teavitada teid, et alates 15. mÀrtsist 2021 ei saa Chromiumi ja Chromium OS-i derivaadid, mis kasutavad oma ehituskohandustes google_default_client_id ja google_default_client_secret, enam oma Google'i kontodega sisse logida.
Mida pean teadma?

Hiljutise audiidi kÀigus avastasime, et mÔnedes kolmandate osapoolte Chromiumi-pÔhistes brauserites olid vÔtmed, mis said pÀÀseda Google'i API-dele ja teenustele, mis on reserveeritud ainult Google'i kasutamiseks. Chrome Sync on neist API-dest kÔige silmapaistvam. EelkÔige google_default_client_id ja google_default_client_secret.

Praktiliselt tÀhendab see, et kasutaja saab oma isikliku Chrome Synci andmetele (nt jÀrjehoidjad) juurde pÀÀseda mitte ainult Chrome'is, vaid ka mitte-Google'i, Chromiumi-pÔhises brauseris. Palun mÀrkige, et kasutajad saavad juurde pÀÀseda vaid oma Chrome Synci andmetele ja et ainult vÀike osa Chromiumi pÔhist brauserit kasutavatest kasutajatest oli mÔjutatud. Meil ei ole pÔhjust uskuda, et kasutajaandmeid kasutab vÔi pÀÀseb neile ligi keegi peale kasutajate endi.

Osana Google’i pingutustest parandada kasutajate andmete turvalisust, eemaldame 15. mĂ€rtsil 2021 juurdepÀÀsu Chromiumi ja Chromium OS'i tuletistes, mis kasutasid google_default_client_id ja google_default_client_secret nende ehituse konfiguratsioonis Google'i eksklusiivsetele API-dele. Juhised Chromiumi tuletiste tootjatele on saadaval Chromiumi vikis.
Mida see tÀhendab minu kasutajatele?

Toodete kasutajad, kes kasutavad neid API-sid vale kasutusega, mÀrkavad, et nad ei saa enam nende toodete kaudu oma Google'i kontodele sisse logida.

Kasutajad, kes pÀÀsesid Google'i funktsioonidele (nt Chrome Sync) juurde kolmanda osapoole Chromiumi pÔhise brauseri kaudu, saavad oma andmeid endiselt oma Google'i kontol ja kohaliku salvestatud andmed jÀÀvad endiselt kohapeale kÀtte saadavaks.

K nagu alati, saavad kasutajad vaadata ja hallata oma andmeid Google Chrome'is, Chrome OS-is ja/vÔi oma Google'i tegevuse lehe kaudu, samuti saavad nad oma andmeid alla laadida Google Takeouti lehe kaudu vÔi kustutada need sealt.
Mida ma pean tegema?

Katkestuste vĂ€ltimiseks jĂ€rgige Chromiumi tuletiste konfigureerimise ja ehitamise juhiseid Chromiumi vikis (link on ĂŒlaltoodud).

VÔimalikud viisid selle rakendamiseks on:

Eemaldades google_default_client_id ja google_default_client_secret oma ehituskonfiguratsioonist.
AlgkĂ€ivitamisel —allow-browser-signin=false lipu edastamine.

Teie projektid, mida see muudatus vÔib mÔjutada, on loetletud allpool:

Arch Linux Chromium (arch-linux-chromium)

Kui teil on kĂŒsimusi vĂ”i vajate abi, palun pöörduge aadressile embedd
@chromium.org.

Lugupidamisega,

Google Chrome'i meeskond

Allikas: linux.org.ru

Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid đŸ”„ Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster