Trong quá trình kiểm tra, Google phát hiện ra rằng một số sản phẩm của bên thứ ba dựa trên mã Chrome sử dụng khóa cho phép truy cập vào một số API và dịch vụ nhất định của Google dành cho mục đích sử dụng nội bộ. Đặc biệt, đối với google_default_client_id và google_default_client_secret. Nhờ đó, người dùng có thể truy cập dữ liệu Chrome Sync của riêng mình (chẳng hạn như dấu trang) không chỉ trong Chrome mà còn trong các trình duyệt của bên thứ ba dựa trên mã Chrome. Được biện minh bằng những nỗ lực cải thiện bảo mật, Google đang chặn phần mềm của bên thứ ba truy cập các API nêu trên. Quyết định này có hiệu lực từ ngày 15 tháng XNUMX năm nay.
Do đó, nhiều bản phân phối đang xem xét Khả năng loại bỏ hoàn toàn Chromium trong các bản phân phối của họ. Trong số đó có: Arch Linux, mũ phớt, DebianSlackware, OpenSUSE và các hệ điều hành khác.
Nguồn chính thức:
Xin chào Nhà phát triển Chrome!
Chúng tôi viết thư này để thông báo cho bạn biết rằng kể từ ngày 15 tháng 2021 năm XNUMX, những người dùng cuối sử dụng các phiên bản phái sinh của Chrome và Chrome OS đang sử dụng google_default_client_id và google_default_client_secret trên cấu hình bản dựng của họ sẽ không thể đăng nhập vào Tài khoản Google của họ nữa.
Tôi cần biết những gì?
Trong một cuộc kiểm tra gần đây, chúng tôi đã phát hiện ra rằng một số trình duyệt dựa trên Chrome của bên thứ 3 có các khóa được phép truy cập vào API của Google và các dịch vụ chỉ dành riêng cho Google sử dụng. Chrome Sync là API đáng chú ý nhất trong số các API này. Đặc biệt, đối với google_default_client_id và google_default_client_secret.
Trong thực tế, điều này có nghĩa là người dùng sẽ có thể truy cập dữ liệu Chrome Sync cá nhân của họ (chẳng hạn như dấu trang) không chỉ bằng Chrome mà còn bằng trình duyệt dựa trên Chrome, không phải của Google. Xin lưu ý rằng người dùng sẽ chỉ có thể truy cập vào dữ liệu Chrome Sync của riêng họ và chỉ một phần nhỏ người dùng trình duyệt dựa trên Chrome bị ảnh hưởng. Chúng tôi không có lý do gì để tin rằng dữ liệu người dùng đang bị lạm dụng hoặc truy cập bởi bất kỳ ai khác ngoài chính người dùng đó.
Là một phần trong nỗ lực của Google nhằm cải thiện khả năng bảo mật dữ liệu của người dùng, chúng tôi sẽ xóa quyền truy cập khỏi các phiên bản phái sinh của Chrome và Chrome OS đã sử dụng google_default_client_id và google_default_client_secret trên cấu hình bản dựng của họ đối với các API độc quyền của Google kể từ ngày 15 tháng 2021 năm XNUMX. Hướng dẫn dành cho nhà cung cấp các sản phẩm phái sinh Chrome là có sẵn trên wiki Chrome.
Điều này có ý nghĩa gì đối với người dùng của tôi?
Người dùng các sản phẩm sử dụng các API này không đúng cách sẽ nhận thấy rằng họ sẽ không thể đăng nhập vào Tài khoản Google của mình trong các sản phẩm đó nữa.
Đối với những người dùng đã truy cập các tính năng của Google (như Chrome Sync) thông qua trình duyệt dựa trên Chrome của bên thứ ba, dữ liệu của họ sẽ tiếp tục có sẵn trong Tài khoản Google của họ và dữ liệu mà họ đã lưu trữ cục bộ sẽ tiếp tục có sẵn cục bộ.
Như thường lệ, người dùng có thể xem và quản lý dữ liệu của mình thông qua Google Chrome, Chrome OS và/hoặc trên trang Hoạt động Google của tôi và họ cũng có thể tải dữ liệu của mình xuống từ trang Google Takeout và/hoặc xóa dữ liệu đó khỏi trang này.
Tôi cần phải làm gì?
Để tránh bị gián đoạn, hãy làm theo hướng dẫn định cấu hình và xây dựng các công cụ phái sinh của Chrome trong Wiki Wiki (liên kết được cung cấp ở trên).
Những cách có thể để thực hiện điều này là:
Xóa google_default_client_id và google_default_client_secret khỏi cấu hình bản dựng của bạn.
Chuyển cờ --allow-browser-signin=false khi khởi động.
Các dự án của bạn có thể bị ảnh hưởng bởi sự thay đổi này được liệt kê dưới đây:
Arch Linux Chromium (arch-linux-chromium)
Nếu bạn có bất kỳ câu hỏi nào hoặc cần hỗ trợ, vui lòng liên hệ embedd…@chromium.org.
Trân trọng,
Nhóm Google Chrome
Nguồn: linux.org.ru
