Chrome 94 中預設包含的空閒偵測 API 引發了一波批評,火狐和 WebKit/Safari 開發人員表示反對。
空閒偵測 API 允許網站偵測使用者不活動的時間,即不與鍵盤/滑鼠互動或在另一台顯示器上執行工作。 該 API 還允許您查明系統上是否正在執行螢幕保護程式。 有關不活動的資訊是透過在達到指定的不活動閾值後發送通知來執行的,該閾值的最小值設定為 1 分鐘。
需要注意的是,使用空閒偵測 API 需要明確授予使用者權限,即如果應用程式第一次嘗試偵測不活動狀態,則會向使用者顯示一個窗口,詢問是否授予權限或阻止操作。 若要完全停用空閒偵測 API,「隱私權與安全性」設定部分中提供了一個特殊選項(「chrome://settings/content/idleDetection」)。
應用領域包括聊天、社交網路和通訊應用程序,這些應用程式可以根據用戶在電腦前的狀態來更改用戶的狀態,或延遲新訊息的通知,直到用戶到達。 該 API 還可用於資訊亭應用程序,以便在一段時間不活動後返回到原始螢幕,或在使用者不在電腦旁時停用資源密集型互動操作,例如重繪複雜的、不斷更新的圖表。
反對啟用空閒檢測 API 的立場是,有關使用者是否在電腦旁的資訊可以被視為機密。 除了有用的應用程式之外,此 API 還可以用於不良目的,例如,嘗試在用戶離開時利用漏洞或隱藏明顯的惡意活動(例如挖礦)。 使用相關 API,還可以收集有關使用者行為模式及其日常工作節奏的資訊。 例如,您可以了解使用者通常什麼時候去吃午餐或離開工作場所。 在強制要求提供授權證明的情況下,Google認為這些擔憂是微不足道的。
此外,您還可以注意到 Chrome 開發人員關於推廣新技術以確保記憶體安全操作的說明。 據 Google 稱,Chrome 中 70% 的安全問題是由記憶體錯誤引起的,例如在釋放與其關聯的記憶體後使用緩衝區(釋放後使用)。 確定了處理此類錯誤的三種主要策略:在編譯階段加強檢查、在運行時阻止錯誤以及使用記憶體安全語言。
據悉,實驗已經開始將用 Rust 語言開發元件的能力加入 Chromium 程式碼庫。 Rust 程式碼尚未包含在交付給使用者的版本中,主要目的是測試用 Rust 開發瀏覽器各個部分的可能性以及它們與用 C++ 編寫的其他部分整合的可能性。 同時,對於C++程式碼,一個專案繼續開發以使用MiraclePtr類型而不是原始指標來阻止由於存取已釋放的記憶體區塊而導致利用漏洞的可能性,並且還提出了在編譯階段檢測錯誤的新方法。
此外,Google正在開始一項實驗,以測試瀏覽器達到由三位數字而不是兩位數字組成的版本後可能出現的網站中斷情況。 特別是,在Chrome 96 的測試版本中,當在User-Agent 標頭中指定版本100 (Chrome/100) 時,會出現“chrome://flags#force-major-version-to-100.0.4650.4”設定開始顯示。 XNUMX 月份,在 Firefox 中進行了類似的實驗,該實驗揭示了某些網站上處理三位數版本的問題。
來源: opennet.ru