Chrome 94 に Idle Detection API がデフォルトで組み込まれたことは、Firefox および WebKit/Safari 開発者からの反対意見として批判の波を引き起こしました。
Idle Detection API を使用すると、サイトはユーザーが非アクティブな時間を検出できます。 キーボード/マウスを操作したり、別のモニターで作業を実行したりしません。 API を使用すると、スクリーン セーバーがシステム上で実行されているかどうかを確認することもできます。 非アクティブに関する情報は、指定された非アクティブしきい値 (最小値は 1 分に設定) に達した後に通知を送信することによって実行されます。
アイドル検出 API を使用するには、ユーザー権限の明示的な付与が必要であることに注意することが重要です。 アプリケーションが初めて非アクティブ状態を検出しようとすると、権限を付与するか操作をブロックするかを尋ねるウィンドウがユーザーに表示されます。 アイドル検出 API を完全に無効にするには、「プライバシーとセキュリティ」設定セクションに特別なオプション (「chrome://settings/content/idleDetection」) が用意されています。
アプリケーション領域には、チャット、ソーシャル ネットワーキング、通信アプリケーションが含まれます。これらのアプリケーションでは、ユーザーがコンピュータにアクセスしているかどうかに応じてユーザーのステータスを変更したり、ユーザーが到着するまで新しいメッセージの通知を遅らせたりすることができます。 この API をキオスク アプリケーションで使用すると、一定期間非アクティブな状態が続いた後に元の画面に戻ったり、ユーザーがコンピューターの前にいないときに複雑で常に更新されるグラフの再描画などのリソースを大量に消費する対話型操作を無効にしたりすることもできます。
Idle Detection API の有効化に反対する側の立場は、ユーザーがコンピュータの前にいるかどうかに関する情報は機密とみなされ得る、というものです。 この API は、有用なアプリケーションに加えて、ユーザーの外出中に脆弱性を悪用しようとしたり、マイニングなどの顕著な悪意のあるアクティビティを隠蔽したりするなど、悪い目的にも使用される可能性があります。 当該 API を使用すると、ユーザーの行動パターンや日常の仕事のリズムに関する情報も収集できます。 たとえば、ユーザーが通常いつ昼食に行ったり、職場から退出したりするかを知ることができます。 認可証明の要求が必須であるという状況において、これらの懸念は Google によって重要ではないと認識されています。
さらに、メモリを使用した安全な操作を確保するための新しい技術の推進に関する Chrome 開発者からのメモにも注目してください。 Google によると、Chrome のセキュリティ問題の 70% は、バッファに関連付けられたメモリを解放した後にバッファを使用する (use-after-free) などのメモリ エラーが原因です。 このようなエラーに対処するための XNUMX つの主な戦略が特定されています。それは、コンパイル段階でのチェックの強化、実行時のエラーのブロック、およびメモリセーフな言語の使用です。
Rust言語でコンポーネントを開発する機能をChromiumコードベースに追加する実験が開始されたと報告されています。 Rust コードはまだユーザーに提供されるビルドには含まれておらず、主にブラウザの個々の部分を Rust で開発する可能性と、C++ で書かれた他の部分との統合をテストすることを目的としています。 並行して、C++ コードについては、すでに解放されたメモリ ブロックへのアクセスによって引き起こされる脆弱性が悪用される可能性をブロックするために、生のポインタの代わりに MiraclePtr 型を使用するプロジェクトの開発が継続されており、コンパイル段階でエラーを検出するための新しい方法も提案されています。
さらに、Google は、ブラウザが 96 桁ではなく 100 桁で構成されるバージョンに達した後、サイトが中断される可能性をテストする実験を開始しています。 特に、Chrome 100 のテスト リリースでは、User-Agent ヘッダー、バージョン 100.0.4650.4 (Chrome/XNUMX) で指定されている場合、「chrome://flags#force-major-version-to-XNUMX」設定が表示されました。が表示され始めます。 XNUMX月にはFirefoxでも同様の実験が行われ、一部のサイトでXNUMX桁のバージョンの処理に問題があることが判明した。
出所: オープンネット.ru