Includerea implicită a API-ului Idle Detection în Chrome 94 a condus la un val de critici, invocând obiecții din partea dezvoltatorilor Firefox și WebKit/Safari.
API-ul Idle Detection permite site-urilor să detecteze ora când un utilizator este inactiv, de exemplu. Nu interacționează cu tastatura/mouse-ul și nu efectuează lucrări pe alt monitor. API-ul vă permite, de asemenea, să aflați dacă un screen saver rulează sau nu pe sistem. Informațiile despre inactivitate se realizează prin trimiterea unei notificări după atingerea unui prag de inactivitate specificat, a cărui valoare minimă este setată la 1 minut.
Este important de reținut că utilizarea API-ului Idle Detection necesită acordarea explicită a permisiunilor utilizatorului, de ex. Dacă aplicația încearcă să detecteze inactivitatea pentru prima dată, utilizatorului i se va prezenta o fereastră în care se va întreba dacă acordă permisiuni sau blochează operațiunea. Pentru a dezactiva complet API-ul Idle Detection, o opțiune specială („chrome://settings/content/idleDetection”) este furnizată în secțiunea de setări „Confidențialitate și securitate”.
Zonele de aplicație includ aplicații de chat, rețele sociale și de comunicații care pot modifica starea utilizatorului în funcție de prezența acestuia la computer sau pot întârzia notificarea de mesaje noi până la sosirea utilizatorului. API-ul poate fi folosit și în aplicațiile chioșc pentru a reveni la ecranul inițial după o perioadă de inactivitate sau pentru a dezactiva operațiunile interactive care necesită mult resurse, cum ar fi redesenarea diagramelor complexe, actualizarea constantă, atunci când utilizatorul nu se află la computer.
Poziția oponenților activării API-ului Idle Detection este aceea că informațiile despre dacă utilizatorul se află sau nu la computer pot fi considerate confidențiale. Pe lângă aplicațiile utile, acest API poate fi folosit și în scopuri rele, de exemplu, pentru a încerca să exploateze vulnerabilități în timp ce utilizatorul este plecat sau pentru a ascunde activități rău intenționate, cum ar fi minerit. Folosind API-ul în cauză, se pot colecta și informații despre modelele de comportament ale utilizatorilor și ritmul zilnic al muncii sale. De exemplu, puteți afla când utilizatorul merge de obicei la prânz sau părăsește locul de muncă. În contextul unei cereri obligatorii de dovadă a autorizației, aceste preocupări sunt percepute de Google ca fiind nesemnificative.
În plus, puteți nota nota de la dezvoltatorii Chrome despre promovarea de noi tehnici pentru asigurarea funcționării în siguranță cu memorie. Potrivit Google, 70% dintre problemele de securitate din Chrome sunt cauzate de erori de memorie, cum ar fi utilizarea unui buffer după eliberarea memoriei asociate acestuia (use-after-free). Sunt identificate trei strategii principale pentru tratarea unor astfel de erori: consolidarea verificărilor în etapa de compilare, blocarea erorilor în timpul execuției și utilizarea unui limbaj sigur pentru memorie.
Se raportează că experimentele au început pentru a adăuga capacitatea de a dezvolta componente în limbajul Rust la baza de cod Chromium. Codul Rust nu este încă inclus în versiunile livrate utilizatorilor și are ca scop în principal testarea posibilității de a dezvolta părți individuale ale browserului în Rust și integrarea acestora cu alte părți scrise în C++. În paralel, pentru codul C++, continuă să se dezvolte un proiect care să folosească tipul MiraclePtr în loc de pointeri bruti pentru a bloca posibilitatea exploatării vulnerabilităților cauzate de accesarea blocurilor de memorie deja eliberate și sunt propuse și noi metode de detectare a erorilor în etapa de compilare.
În plus, Google începe un experiment pentru a testa posibila întrerupere a site-urilor după ce browserul ajunge la o versiune formată din trei cifre în loc de două. În special, în versiunile de testare ale Chrome 96, a apărut setarea „chrome://flags#force-major-version-to-100”, atunci când este specificată în antetul User-Agent, versiunea 100 (Chrome/100.0.4650.4) începe să fie afișat. În august, un experiment similar a fost efectuat în Firefox, care a scos la iveală probleme cu procesarea versiunilor din trei cifre pe unele site-uri.
Sursa: opennet.ru