Inklusi standar tina Idle Detection API dina Chrome 94 parantos nyababkeun gelombang kritik, nyarios bantahan ti pamekar Firefox sareng WebKit/Safari.
The Idle Detection API ngamungkinkeun situs pikeun ngadeteksi waktos nalika pangguna teu aktip, nyaéta. Teu berinteraksi sareng keyboard / mouse atawa ngalakukeun pagawean dina monitor sejen. API ogé ngidinan Anjeun pikeun manggihan naha screen saver ngajalankeun on sistem atawa henteu. Inpormasi ngeunaan inactivity dilaksanakeun ku ngirim béwara saatos ngahontal ambang inactivity anu ditangtukeun, nilai minimumna disetel ka 1 menit.
Kadé dicatet yén pamakéan API Deteksi dianggurkeun merlukeun granting eksplisit tina idin pamaké, i.e. Lamun aplikasi nyoba ngadeteksi inactivity pikeun kahiji kalina, pamaké bakal dibere jandela nanya naha masihan idin atawa meungpeuk operasi. Pikeun nganonaktipkeun lengkep Idle Detection API, pilihan khusus ("chrome: // setting / content / idleDetection") disayogikeun dina bagian setélan "Privasi sareng Kaamanan".
Wewengkon aplikasi kalebet aplikasi obrolan, jaringan sosial sareng komunikasi anu tiasa ngarobih status pangguna gumantung kana ayana dina komputer atanapi ngalambatkeun béwara pesen énggal dugi ka pangguna sumping. API ogé bisa dipaké dina aplikasi kios pikeun balik deui ka layar aslina sanggeus periode inactivity, atawa nganonaktipkeun sumberdaya-intensif operasi interaktif, kayaning redrawing kompléks, terus ngamutahirkeun grafik, lamun pamaké henteu dina komputer.
Posisi lawan ngaktipkeun Idle Detection API nyaéta yén inpormasi ngeunaan naha pangguna aya dina komputer atanapi henteu tiasa dianggap rahasia. Salian aplikasi mangpaat, API ieu ogé bisa dipaké pikeun tujuan goréng, contona, pikeun nyobaan mangpaatkeun vulnerabilities bari pamaké jauh atawa nyumputkeun aktivitas jahat conspicuous, kayaning pertambangan. Ngagunakeun API nu dimaksud, informasi ngeunaan pola kabiasaan pamaké sarta wirahma poéan karyana ogé bisa dikumpulkeun. Contona, Anjeun bisa manggihan lamun pamaké biasana indit ka dahar beurang atawa ninggalkeun gaw. Dina konteks pamundut wajib pikeun bukti otorisasina, masalah ieu dianggap ku Google teu penting.
Salaku tambahan, anjeun tiasa nyatet catetan ti pamekar Chrome ngeunaan promosi téknik anyar pikeun mastikeun operasi anu aman sareng mémori. Numutkeun Google, 70% tina masalah kaamanan dina Chrome disababkeun ku kasalahan memori, kayaning ngagunakeun panyangga sanggeus freeing memori pakait sareng eta (pamakéan-sanggeus-gratis). Tilu strategi utama pikeun nganyahokeun kasalahan sapertos kitu diidentifikasi: nguatkeun cek dina tahap kompilasi, meungpeuk kasalahan nalika runtime, sareng nganggo basa anu aman-memori.
Kacaritakeun yén percobaan geus dimimitian pikeun nambahkeun kamampuhan pikeun ngembangkeun komponén dina basa Rust kana codebase Chromium. Kode Rust teu acan kaasup dina ngawangun dikirimkeun ka pamaké sarta utamana aimed dina nguji kamungkinan ngembangkeun bagian individu browser dina Rust sarta integrasi maranéhanana jeung bagian séjén ditulis dina C ++. Dina paralel, pikeun kode C ++, proyek terus ngembangkeun ngagunakeun tipe MiraclePtr tinimbang pointers atah pikeun meungpeuk kamungkinan exploiting vulnerabilities disababkeun ku aksés blok memori geus dibébaskeun, jeung métode anyar pikeun ngadeteksi kasalahan dina tahap kompilasi ogé diajukeun.
Salaku tambahan, Google ngamimitian ékspérimén pikeun nguji kamungkinan gangguan situs saatos browser ngahontal versi anu diwangun ku tilu digit tinimbang dua. Khususna, dina sékrési tés Chrome 96, setélan "chrome: // flags#force-major-version-to-100" muncul, nalika dieusian dina header User-Agent, versi 100 (Chrome/100.0.4650.4) mimiti dipintonkeun. Dina bulan Agustus, percobaan anu sami dilakukeun dina Firefox, anu ngungkabkeun masalah sareng ngolah versi tilu-angka dina sababaraha situs.
sumber: opennet.ru