Эксперты заметили (123), что после релиза Chrome 69, вышедшего 5 сентября текущего года, пользователей принудительно авторизуют в Chrome, если они вошли в свой аккаунт Google или любой сервис компании, будь то Gmail, YouTube или что то-то другое. Для этого браузер использует механизм Sync, позволяющий залогиниться в Chrome и опционально загрузить и синхронизировать локальные данные браузера (историю, пароли, закладки и так далее) с серверами Google.

Хотя Sync существует уже давно, раньше эта функциональность не была связана со входом в аккаунт Google. Это позволяло использовать Chrome, будучи залогиненным в учетной записи Google, но никакие данные браузера при этом не передавались на серверы Google. Нововведение, представленное в Chrome 69, вызвало тревогу у простых пользователей и специалистов, так как теперь получается, что Google может связать трафик человека с конкретным браузером и устройством.

Специалисты Google уже объяснили в Twitter, что новое использование Sync все же не означает активацию процесса синхронизации по умолчанию (синхронизацию пользователю потребуется включить самостоятельно), и заверили, что добавление новой функциональности напротив связано с усилением приватности. Дело в том, что когда одним компьютером и браузером пользуются сразу несколько человек, данные одного или более пользователя могут быть ошибочно связанны с Google-аккаунтом другого человека.

Тем не менее, разработчиков Google все равно подвергли жесткой критике. Во-первых, из-за того, что пользователям попросту не оставили выбора, и они не могут решать, когда залогиниться в браузер, и Chrome, в сущности, делает это за них. Во-вторых, Google никак не предупреждала об этом нововведении; многие могут даже не заметить разницы и очень удивятся, обнаружив, что теперь пользуются Sync.

В частности, с критикой в адрес компании выпустил известный криптограф, ИБ-эксперт и профессор Университета Джона Хопкинса Мэтью Грин (Matthew Green). Грин пишет, что разработчики Google в целом переработали интерфейс таким образом, чтобы пользователь не понимал, залогинен ли он, активна ли синхронизация и какую кнопку нужно нажать для начала синхронизации. Эксперт считает, что текущие изменения граничат с использованием dark patterns —  специфических приемов веб-дизайна, использующихся для обмана пользователей и побуждения их к «нужным» действиям. Так, в настоящее время пользователь может передать всю информацию о своем браузере Google одним кликом, просто по ошибке, пытаясь разобраться в настройках.

Более того, Грин убежден, что даже сам процесс аутентификации в браузере уже может давать Google возможность для сбора данных, что опять же происходит без ведома пользователя.

В ответ на критику Грина в Google пообещали описать сделанные изменения более прозрачно, внеся корректировки в Privacy Policy браузера. И хотя эти изменения могут защитить компанию от возможных юридических проблем, к сожалению, они никак не изменят сложившейся после выхода Chrome 69 ситуации, а поведение браузера вряд ли станет понятнее для рядового пользователя.

Для тех, кто не готов отказаться от использования Chrome (как это уже сделала Мэтью Грин), ИБ-специалсты предлагают простую инструкцию по отключению новой функциональности автоматического входа в браузер. Нужно набрать в строке адреса chrome://flags/#account-consistency, найти на открывшейся странице «Identity consistency between browser and cookie jar» и отключить, установив значение Disabled. После перезапуска браузера навязчивая функциональность будет деактивирована.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии