Kemasukan lalai API Pengesanan Melahu dalam Chrome 94 telah membawa kepada gelombang kritikan, memetik bantahan daripada pemaju Firefox dan WebKit/Safari.
API Pengesanan Melahu membenarkan tapak mengesan masa apabila pengguna tidak aktif, i.e. Tidak berinteraksi dengan papan kekunci/tetikus atau melakukan kerja pada monitor lain. API juga membolehkan anda mengetahui sama ada penyelamat skrin sedang berjalan pada sistem atau tidak. Maklumat tentang ketidakaktifan dijalankan dengan menghantar pemberitahuan selepas mencapai ambang ketidakaktifan yang ditetapkan, yang nilai minimumnya ditetapkan kepada 1 minit.
Adalah penting untuk ambil perhatian bahawa penggunaan API Pengesanan Terbiar memerlukan pemberian kebenaran pengguna yang jelas, i.e. Jika aplikasi cuba mengesan ketidakaktifan buat kali pertama, pengguna akan dipaparkan dengan tetingkap yang bertanya sama ada untuk memberikan kebenaran atau menyekat operasi. Untuk melumpuhkan sepenuhnya API Pengesanan Melahu, pilihan khas (“chrome://settings/content/idleDetection”) disediakan dalam bahagian tetapan “Privasi dan Keselamatan”.
Kawasan aplikasi termasuk aplikasi sembang, rangkaian sosial dan komunikasi yang boleh menukar status pengguna bergantung pada kehadirannya di komputer atau menangguhkan pemberitahuan mesej baharu sehingga pengguna tiba. API juga boleh digunakan dalam aplikasi kios untuk kembali ke skrin asal selepas tempoh tidak aktif, atau untuk melumpuhkan operasi interaktif intensif sumber, seperti kompleks lukisan semula, mengemas kini carta secara berterusan, apabila pengguna tidak berada di hadapan komputer.
Kedudukan penentang mendayakan Idle Detection API ialah maklumat tentang sama ada pengguna berada di komputer atau tidak boleh dianggap sulit. Selain aplikasi yang berguna, API ini juga boleh digunakan untuk tujuan yang tidak baik, contohnya, untuk cuba mengeksploitasi kelemahan semasa pengguna berada di luar atau untuk menyembunyikan aktiviti berniat jahat yang ketara, seperti perlombongan. Menggunakan API yang dimaksudkan, maklumat tentang corak tingkah laku pengguna dan irama harian kerjanya juga boleh dikumpul. Sebagai contoh, anda boleh mengetahui bila pengguna biasanya pergi makan tengah hari atau meninggalkan tempat kerja. Dalam konteks permintaan mandatori untuk bukti kebenaran, kebimbangan ini dianggap oleh Google sebagai tidak penting.
Selain itu, anda boleh ambil perhatian nota daripada pembangun Chrome tentang promosi teknik baharu untuk memastikan operasi selamat dengan memori. Menurut Google, 70% masalah keselamatan dalam Chrome disebabkan oleh ralat memori, seperti menggunakan penimbal selepas membebaskan memori yang dikaitkan dengannya (bebas guna selepas). Tiga strategi utama untuk menangani ralat tersebut dikenal pasti: mengukuhkan semakan pada peringkat penyusunan, menyekat ralat semasa runtime dan menggunakan bahasa yang selamat memori.
Dilaporkan bahawa percubaan telah mula menambah keupayaan untuk membangunkan komponen dalam bahasa Rust ke pangkalan kod Chromium. Kod Rust belum lagi disertakan dalam binaan yang dihantar kepada pengguna dan bertujuan terutamanya untuk menguji kemungkinan membangunkan bahagian individu pelayar dalam Rust dan integrasinya dengan bahagian lain yang ditulis dalam C++. Secara selari, untuk kod C++, projek terus dibangunkan untuk menggunakan jenis MiraclePtr dan bukannya penunjuk mentah untuk menyekat kemungkinan mengeksploitasi kelemahan yang disebabkan oleh mengakses blok memori yang telah dibebaskan, dan kaedah baharu untuk mengesan ralat pada peringkat penyusunan juga dicadangkan.
Di samping itu, Google sedang memulakan percubaan untuk menguji kemungkinan gangguan tapak selepas penyemak imbas mencapai versi yang terdiri daripada tiga digit dan bukannya dua. Khususnya, dalam keluaran ujian Chrome 96, tetapan "chrome://flags#force-major-version-to-100" muncul, apabila dinyatakan dalam pengepala Ejen Pengguna, versi 100 (Chrome/100.0.4650.4) mula dipaparkan. Pada bulan Ogos, percubaan serupa telah dijalankan di Firefox, yang mendedahkan masalah dengan memproses versi tiga angka pada beberapa tapak.
Sumber: opennet.ru