A inclusión predeterminada da API de detección inactiva en Chrome 94 provocou unha onda de críticas, citando obxeccións dos desenvolvedores de Firefox e WebKit/Safari.
A API de detección inactiva permite que os sitios detecten o momento no que un usuario está inactivo, é dicir. Non interactúa co teclado/rato nin realiza traballos noutro monitor. A API tamén che permite saber se se está a executar un protector de pantalla no sistema ou non. A información sobre a inactividade realízase enviando unha notificación despois de alcanzar un limiar de inactividade especificado, cuxo valor mínimo está establecido en 1 minuto.
É importante ter en conta que o uso da API de detección inactiva require a concesión explícita de permisos de usuario, é dicir. Se a aplicación tenta detectar a inactividade por primeira vez, o usuario presentará unha xanela na que lle preguntará se concede permisos ou bloquea a operación. Para desactivar completamente a API de detección inactiva, ofrécese unha opción especial ("chrome://settings/content/idleDetection") na sección de configuración de "Privacidade e seguridade".
As áreas de aplicación inclúen aplicacións de chat, redes sociais e comunicacións que poden cambiar o estado do usuario en función da súa presenza no ordenador ou retrasar a notificación de novas mensaxes ata que chegue o usuario. A API tamén se pode usar en aplicacións de quiosco para volver á pantalla orixinal despois dun período de inactividade, ou para desactivar operacións interactivas de uso intensivo de recursos, como redeseñar gráficos complexos e actualizar constantemente, cando o usuario non está no ordenador.
A posición dos opositores á habilitación da API de detección inactiva é que a información sobre se o usuario está no ordenador ou non pode considerarse confidencial. Ademais de aplicacións útiles, esta API tamén se pode usar con fins malos, por exemplo, para intentar explotar vulnerabilidades mentres o usuario está ausente ou para ocultar actividade maliciosa visible, como a minería. Mediante a API en cuestión tamén se pode recoller información sobre os patróns de comportamento dos usuarios e o ritmo diario do seu traballo. Por exemplo, podes saber cando o usuario adoita ir xantar ou abandona o lugar de traballo. No contexto dunha solicitude obrigatoria de proba de autorización, estas preocupacións son percibidas por Google como insignificantes.
Ademais, podes observar a nota dos desenvolvedores de Chrome sobre a promoción de novas técnicas para garantir un funcionamento seguro coa memoria. Segundo Google, o 70% dos problemas de seguridade en Chrome son causados por erros de memoria, como usar un búfer despois de liberar a memoria asociada a el (use-after-free). Identificáronse tres estratexias principais para tratar estes erros: reforzar as comprobacións na fase de compilación, bloquear os erros durante a execución e utilizar unha linguaxe segura para a memoria.
Infórmase de que comezaron os experimentos para engadir a capacidade de desenvolver compoñentes na linguaxe Rust ao código base de Chromium. O código de Rust aínda non está incluído nas compilacións que se entregan aos usuarios e está dirixido principalmente a probar a posibilidade de desenvolver partes individuais do navegador en Rust e a súa integración con outras partes escritas en C++. Paralelamente, para o código C++, continúa a desenvolverse un proxecto para utilizar o tipo MiraclePtr en lugar de punteiros en bruto para bloquear a posibilidade de explotar vulnerabilidades provocadas polo acceso a bloques de memoria xa liberados, e tamén se propoñen novos métodos para detectar erros na fase de compilación.
Ademais, Google está a iniciar un experimento para probar a posible interrupción dos sitios despois de que o navegador chegue a unha versión formada por tres díxitos en lugar de dous. En particular, nas versións de proba de Chrome 96, apareceu a configuración "chrome://flags#force-major-version-to-100", cando se especificaba na cabeceira User-Agent, versión 100 (Chrome/100.0.4650.4) comeza a mostrarse. En agosto, realizouse un experimento similar en Firefox, que revelou problemas co procesamento de versións de tres díxitos nalgúns sitios.
Fonte: opennet.ru