Google Chrome 94 wprowadza kontrowersyjne wykrywanie bezczynności
Czyli jak wejdziesz na pornhuba i bedziesz siedzial bezczynnie to ci stronke wylacza ;)
API pozwala stronie internetowej obserwować, czy dana osoba znajduje się w pobliżu urządzenia, czy nie.
Czyżby chciała robić coś... nielegalnego...? xD
Chrome od lat inwigiluje na różne sposoby i wciąż jest najpopularniejszą przeglądarką. Niestety, nowe API nic w tej kwestii nie zmieni.
Czyli jak wejdziesz na pornhuba i bedziesz siedzial bezczynnie to ci stronke wylacza ;)
Zapamięta godzinę o której wchodzisz na pornhuba i po odpaleniu przeglądarki włączy ulubione filmiki i powiadomi Cię jak będzie zbliżał się finał żebyś odcisków na ręku nie dostał.
Kamerka poinformuje API że jesteś aktywny.
Jak jakaś aplikacja chce to poniekąd już teraz może, mniej lub bardziej, takie dane wyciągać. Wystarczy co kilkanaście milisekund pobierać pozycję kursora. Oczywiście to jest zawodne jak ktoś ma włączoną przeglądarkę w tle.
Nigdy nie lubiłem korzystać z ich przeglądarki, i widać wyszło mi to na dobre...
Szkoda że konkurencja nie wypada najlepiej - FF też schodzi na psy (heh) a reszta, mimo że lepsza, to nie ma takiej popularności...
A co złego z FF?
Też się zastanawiam. Nawet z różnymi dodatkami Lisek nie działa zauważalnie wolniej od innych przeglądarek, cały czas starają się coś poprawiać w kwestii prywatności, dużo rozszerzeń i wyglądem w oczy nie kłuje.
Mnie przy Firefoksie trzyma obecnie tylko kwestia prywatności i nadzieja, że poprawią wydajność... Jako alternatywę mam jeszcze zainstalowaną przeglądarkę Vivaldi.
Powinniście od razu zawrzeć w arytkule poradnik jak zablokować te beznadziejne akutalizacje. Ja blokowałem to gówno w rejestrze, no wszędzie i caly czas mi perfidnie chce aktualizować, jak to na amen wyłączyć?
1. Praktycznie nie da się. Ze względów bezpieczeństwa utrudnia się taką możliwość.
Jak nie chcesz tych aktualizacji to nie wiem, czy nie lepiej pobrać jakieś chromium, czy ungoogled-chromium, które wymagają ręcznej aktualizacji. Minusem jest utrudniona integracja z Google.
2. Nieaktualizowana przeglądarka to BARDZO ZŁY pomysł i proszenie się o kłopoty. To, że strony mogą mieć problem z wyświetlaniem to jedno (jak chcesz stosunkowo bezpieczny powrót do "klasyki", to możesz zobaczyć projekty Palemoon i Basillisk), ale zwłaszcza w tych czasach brak załatanych podatności ma większą szansę na wykorzystanie.
3. Nie wiem, czy nie lepiej jest po prostu zmienić na inną (równie często aktualizowaną). Firefox, Vivaldi, Brave, Opera(?) (akurat oni nie wiem, czy i tak nie wprowadzą), nowy Edge(?) (podobnie, chociaż trochę bardziej się starają), ungoogled-chromium (z wyciętą funkcjonalnością od Google)
Ja od dawna nie aktualizuję, to gdzie ja się proszę o kłopoty? Co mi zrobią? Wpadną do domu I mnie aresztują, czy co? Nie bardzo rozuniem
Za brak aktualizacji jeszcze nie aresztują. Chodzi o rozmaite trojany, ransomwary i inne "hakiery". Praktycznie każda aktualizacja łata jakieś luki. Od mniej poważnych, zagrażających tylko prywatności, po kradzież haseł, czy wyskoczenie z dozwolonego obszaru pamięci i wgranie jakiegoś niesympatycznego programu do komputera.
Ale to mój komputer I moja sorawa, czy mam trojana, czy nie. Nadal nie za bardzo rozumiem.
No tak, twoja sprawa i masz prawo mieć trojana, jeśli tak lubisz. Tylko, co wtedy? Masz trojana, logujesz się do swojego banku i hasło leci do przestępców. O ile to jeszcze by nie było najgorsze, bo istnieje duża szansa na odzyskanie pieniędzy (w podobnym przypadku sąd nakazał bankowi zwrócić pieniądze klientowi, bo trojan nie jest rażącą niedbałością ze strony użytkownika), to stwierdzenie "mój komputer I moja sorawa, czy mam trojana" już by się kwalifikowało pod rażącą niedbałość i o odzyskaniu kasy mógłbyś zapomnieć.
Albo ransomware ci zaszyfruje pliki i jak nie masz kopii zapasowej na nośniku niepodłączonym do komputera, to płać parę tysięcy, albo pożegnaj się z plikami.
Jak to nie jest dla ciebie potencjalny kłopot...
Tak I taki trojan mi się wp... li, bo nie zaktualizowałem Chrome'a :D You made day. Człowieku. Każdy Windows 10 ma Defendera. Nie spotkałem się, by komuś zawirusowało komputer z W10, by ten komuś coś zainfekował. Poza tym są też inne antywirusy i to one odpowiadają za wirusa w PC a nie aktualna przeglądarka :D Zresztą czy w ogóle słyszałeś, by komukolwiek domowy komputer zainfekował bank ? :P No stary, zastanów się, co Ty mówisz :)
"Każdy Windows 10 ma Defendera"
Co z tego? Antywirus porównuje sobie pliki z bazą definicji wirusów. Jak danego wirusa w nich nie ma, bo jeszcze nie został rozpoznany, to pozostają jeszcze heurystyki, które są odpowiednikiem wróżenia ze szklanej kuli (sprawdzanie czy plik ma charakterystyczne cechy wirusa) i wirus może zostać wyłapany, zablokowany na urządzeniu użytkownika i wysłany, jako próbka do firmy od antywira do analizy, albo może zostać zignorowany i zadziałać.
Dodatkowo w ostatnich latach pojawiły się nowe rozwiązania, w rodzaju malware'u bezplikowego (działającego w pamięci i niewykorzystującego pliku na dysku), z którym antywirusy mają kłopot.
"Nie spotkałem się, by komuś zawirusowało komputer z W10"
No tak, bo ty i grupa osób, które znasz (a razem nie stanowicie nawet tysiącznej części procenta użytkowników) tego nie doświadczyła, to znaczy, że miliardowi użytkowników na świecie też się to nie przydarzyło.
"są też inne antywirusy i to one odpowiadają za wirusa w PC a nie aktualna przeglądarka"
Może to dla ciebie szok, ale nie tylko antywirus odpowiada za bezpieczeństwo komputera. Każdy specjalista ci powie, że powinno stosować się coś takiego jak security in-depth, czyli ochronę wielowarstwową (a przyciśnięty, żeby wybrał jedną, najważniejszą rzecz, na 99% wybierze aktualizację oprogramowania i systemu, nie antywirusa). Na warstwy składa się zdrowy rozsądek, aktualne aplikacje, aktualny antywirus, dobry firewall i aktualny system.
Masz taki scenariusz:
- Wchodzisz na stronę z podejrzanym plikiem; nie ściągasz go: ocalił cię zdrowy rozsądek
- Wchodzisz na stronę ze złośliwym skryptem (strona jest złośliwa, lub znajdują się na niej złośliwe skrypty zewnętrzne, jak parę lat temu w złośliwych reklamach na YT), ale luka w przeglądarce, którą wykorzystuje skrypt, po łatce bezpieczeństwa już nie działa: ocaliła cię aktualna aplikacja.
- Wchodzisz na stronę ze złośliwym skryptem, który wykorzystuje nową podatność i złośliwy skrypt wydostaje się poza obszar pamięci udostępniony przeglądarce, ale aktualny antywirus wykrywa i blokuje problem dzięki definicjom, lub heurystykom: ocalił cię antywirus.
- Wchodzisz na stronę ze złośliwym skryptem, który wykorzystuje nową podatność i złośliwy skrypt wydostaje się poza obszar pamięci udostępniony przeglądarce, a w dodatku jest nieznany antywirowi, ale systematem został zaktualizowany i zamknięto lukę, z której korzysta malware: uratowała cię aktualizacja systemu.
- Wchodzisz na stronę ze złośliwym skryptem, nowy wymyślny malware wykorzystał luki w przeglądarce, oszukał antywirusa, użył podatności w systemie, ale zatrzymał się na firewallu, który ma przykazane, żeby przepuszczać połączenia wychodzące tylko od aplikacji zdefiniowanych przez użytkownika (najczęściej najpierw do systemu trafia tzw. dropper, który ma zdobyć przyczółek w systemie, a potem pobrać właściwe malware i dopilnować, żeby włączało się razem z systemem, w przypadku jeśli udało się pobrać ransomware, część tego typu programów nie zacznie szyfrować danych, jeśli nie jest w stanie połączyć się z serwerem kontrolnym, a trojan będzie bezużyteczny, jeśli nie będzie w stanie przesłać zebranych informacji): uratował cię firewall.
Widzisz ile warstw potencjalnie musi pokonać malware, w przeciwieństwie do polegania jedynie na antywirusie?
"czy w ogóle słyszałeś, by komukolwiek domowy komputer zainfekował bank"
A gdzie ja coś takiego napisałem? Myślałem, że: Masz trojana, logujesz się do swojego banku i hasło leci do przestępców jest w pełni zrozumiałem, ale jak nie, to uściślę.
Trojan monitoruje to, co piszesz na klawiaturze i zawartość schowka (bo możesz przykładowo kopiować i wklejać dane uwierzytelniające z pliku txt) i w ten sposób przechwytuje twój login i hasło, które przesyła na swój serwer kontrolny. Teraz haker może się zalogować do twojego banku i spróbować opróżnić konto, licząc na to, że podobnie jak wiele osób, nie czytasz komunikatu w aplikacji i nie wiesz, co potwierdzasz. Albo trojan czeka, a w momencie, gdy spróbujesz zrobić przelew, skopiujesz nr konta i wkleisz do formularza, automatycznie go podmieni na inny (jak specjalnie nie zwracasz uwagi, to raczej nie zauważysz, że ten długi numer jest inny), ewentualnie korzystając z luki w przeglądarce, kiedy już klikniesz "przelej", to przechwyci polecenie wysłane do serwera i je zmodyfikuje, zmieniając kwotę przelewu i numer konta.
"No stary, zastanów się, co Ty mówisz :)"
No, stary, może zanim oskarżysz kogoś, że nie wie co mówi, zastanów się, czy może jednak wie. :) Zwłaszcza, jeśli sam nie jesteś ekspertem w temacie.
Żeby była jasność, ja nikomu nie zabraniam się na czymś nie znać, bo nie każdy musi być ekspertem w każdej dziedzinie, ale nie jesteś pewny i mi nie wierzysz, to sprawdź. Na początek polecam Sekurak, Niebezpiecznik, Zaufana Trzecia Strona i bodajże Informatyk Zakładowy. Zwłaszcza polecam w Z3S, dział Weekendowa lektura, gdzie często można znaleźć linki do bardzo szczegółowych (i często mocno technicznych) analiz różnych rodzajów malware'u, jak atakuje system, jakich podatności używa i jak konkretnie działa.
Co z tego? Antywirus porównuje sobie pliki z bazą definicji wirusów. Jak danego wirusa w nich nie ma, bo jeszcze nie został rozpoznany, to pozostają jeszcze heurystyki, które są odpowiednikiem wróżenia ze szklanej kuli (sprawdzanie czy plik ma charakterystyczne cechy wirusa) i wirus może zostać wyłapany, zablokowany na urządzeniu użytkownika i wysłany, jako próbka do firmy od antywira do analizy, albo może zostać zignorowany i zadziałać.
Dodatkowo w ostatnich latach pojawiły się nowe rozwiązania, w rodzaju malware'u bezplikowego (działającego w pamięci i niewykorzystującego pliku na dysku), z którym antywirusy mają kłopot.
Fajnie, tylko ile masz takich sytuacji. Dodatkowo są antywirusy, które bez problemu to wykrywają.
No tak, bo ty i grupa osób, które znasz (a razem nie stanowicie nawet tysiącznej części procenta użytkowników) tego nie doświadczyła, to znaczy, że miliardowi użytkowników na świecie też się to nie przydarzyło.
Człowieku, oprócz głównej pracy zajmuje się także (od lat) serwisowaniem PC I miałem więcej pecetow w jeden rok, niż Ty widziałeś na oczy przez całe życie . Podtrzymuje swoje słowa podwójnie.
No, stary, może zanim oskarżysz kogoś, że nie wie co mówi, zastanów się, czy może jednak wie. :) Zwłaszcza, jeśli sam nie jesteś ekspertem w temacie.
Jak widać po powyższej wypowiedzi nie dość, że jestem, to jeszcze, że to działa w obie strony ;)
Żeby była jasność, ja nikomu nie zabraniam się na czymś nie znać, bo nie każdy musi być ekspertem w każdej dziedzinie, ale nie jesteś pewny i mi nie wierzysz, to sprawdź. Na początek polecam Sekurak, Niebezpiecznik, Zaufana Trzecia Strona i bodajże Informatyk Zakładowy. Zwłaszcza polecam w Z3S, dział Weekendowa lektura, gdzie często można znaleźć linki do bardzo szczegółowych (i często mocno technicznych) analiz różnych rodzajów malware'u, jak atakuje system, jakich podatności używa i jak konkretnie działa.
Co z tego, że się znasz na typie zabezpieczeń, skoro nie ma to żadnego przełożenia na temat. Ale tak jak sam piszesz, nie każdy musi się na wszystkim znać ;)
"Człowieku, oprócz głównej pracy zajmuje się także (od lat) serwisowaniem PC I miałem więcej pecetow w jeden rok, niż Ty widziałeś na oczy przez całe życie . Podtrzymuje swoje słowa podwójnie."
No, stary, może zanim oskarżysz kogoś, że nie wie co mówi, zastanów się, czy może jednak wie. :) Zwłaszcza, jeśli sam nie jesteś ekspertem w temacie.
"Jak widać po powyższej wypowiedzi nie dość, że jestem, to jeszcze, że to działa w obie strony ;) "
No tak. A ja jestem specjalistą ds. zabezpieczeń w MS, Google i Apple razem wziętych... a tak naprawdę to nie. Tak naprawdę w swoim otoczeniu jestem "dyżurnym informatykiem", ale coż tego? Dlaczego o tym nie pisałem, żeby sobie przydać "autorytetu" do wypowiadania się w tej sprawie? Internet wszystko przyjmie, mogę sobie dodać kwalifikacji, ile tylko zechcę.
[wirus] może zostać zignorowany [przez antywirusa] i zadziałać. [...]
"Fajnie, tylko ile masz takich sytuacji. Dodatkowo są antywirusy, które bez problemu to wykrywają."
I znów, nic nie stoi w miejscu. Dziś coś jest wykrywane, jutro pojawi się jakaś nowa technika unikania wykrycia i przez jakiś czas takie malware wykrywane nie będzie. Ale zgódźmy się, że przez większość czasu dobry antywirus stanowi dostateczną ochronę.
"zajmuje się także (od lat) serwisowaniem PC [...] Co z tego, że się znasz na typie zabezpieczeń, skoro nie ma to żadnego przełożenia na temat."
Możemy i tak rozmawiać. Co z tego, że się znasz na zmianie pasty na procesorze i naprawie drukarki, skoro to nie ma żadnego przełożenia na temat cyberbezpieczeństwa.
Ty myślisz, że jesteś ekspertem, ja wiem, że nim nie jestem i dlatego odsyłałem cię do źródeł, które możesz przestudiować i sprawdzić czy to, co piszę, ma sens.
I skoro sam nie jestem ekspertem, to nie pozostaje mi nic innego, niż wierzyć tym, którzy wiedzą lepiej ode mnie. I jak myślisz? Komu wolę uwierzyć? Anonimowemu serwisantowi z komentarzy GOL-a, który wie, bo się z jakimś przypadkiem nie spotkał? Czy ludziom, którzy w wolnym czasie, albo i na pełen etat zarabiają na życie, wygrywając Pwn2Own, w Google Project Zero, czy uczestnicząc w programach bug bounty, analizują zachowanie nowych próbek malware'u i rozkładają je na czynniki pierwsze w IDA?
Na Pwn2Own praktycznie nie ma roku, żeby nie padły zabezpieczenia każdej przeglądarki, którą uczestnikom chce się łamać. Choćby przykłady z tego roku:
- użyto błędu przepełnienia liczby całkowitej, do wykonania zapisu poza zakresem i wykonania kodu z uprawnieniami jądra systemu
- użyto błędu niezgodności typów, aby złośliwie wykorzystać mechanizm renderujący Chrome i MS Edge (wersja na Chromium)
A twórcy wzięli i załatali, nie marudząc, że nie trzeba, bo "to antywirusy odpowiadają za wirusa, a nie aktualna przeglądarka."
Może po prostu zakończmy tę dyskusję na stwierdzeniu, że mamy różne modele zagrożeń i to, co dla ciebie jest wystarczające, ja uważam za zbędne ryzyko, które można bardzo łatwo zminimalizować, bez zbędnego wysiłku (pilnując aktualności oprogramowania).
Możemy mieć różne poglądy, ale jak ktoś wmawia ludziom, że ten, kto nie aktualizuje przeglądarki, będzie miał klopoty, to nie mam zamiaru przejść obok tego obojętnie. Otóż nie. Mam Chroma chyba z maja i raczej szybko nie zmienię wersji. Tylko nie próbuj ani mi, ani innym wmawiać, że to błąd. Nie ma znaczenia, że znasz się na zabezpieczeniach. Wersja przeglądarki nigdy nie wpływa na bezpieczeństwo PC. Zapamiętaj.
"ktoś wmawia ludziom, że ten, kto nie aktualizuje przeglądarki, będzie miał klopoty"
Nic nikomu nie wmawiam. Stwierdzam fakt, że może mieć kłopot. Nikt nie musi wierzyć mi na słowo. Podałem źródła, gdzie każdy zainteresowany może sobie poczytać o temacie bezpieczeństwa informatycznego i samemu zdecydować, w co wierzyć.
"Mam Chroma chyba z maja i raczej szybko nie zmienię wersji."
Czy ja cię zmuszam do aktualizacji pod groźbą chłosty?
"Nie ma znaczenia, że znasz się na zabezpieczeniach."
I znów, mogę odbić piłeczkę. Nie ma znaczenia, że jesteś serwisantem.
"Wersja przeglądarki nigdy nie wpływa na bezpieczeństwo PC."
Boże, dodaj mi cierpliwości! To odpowiedz mi na jedno pytanie: Skoro wersja przeglądarki nigdy nie wpływa na bezpieczeństwo, to po co twórcy w ogóle w kolejnych wersjach łatają te podatności? Dlaczego nie oszczędzą sobie pracy i nie ograniczą się tylko do tych niezwiązanych z bezpieczeństwem, które powodują wysypywanie się programu? No dlaczego te dziury zamykają, skoro to nie robi żadnej różnicy?
Zastanówmy się: nowe filtry, efekty, wtyczki, które z czasem będą wymagane, by w ogóle strony chodziły?
Należyte wykorzystanie GPU do filtrów graficznych? Optymalizacja, by wszystko lepiej chodziło I szybciej otwierały się stronki? Mało Ci? Wymieniać dalej?
I teraz drugie pytanie: po co antywirusy mają funkcję: " Ochrona przeglądarki internetowej? Tak sobie ją dodali? Ponawiam - to antywirusowym decyduje o tym, czy masz wirusa, czy nie. Nie przeglądarka. Koniec kropka.
Ja się pytam, dlaczego, oprócz zwykłych poprawek, twórcy przeglądarki łatają podatności bezpieczeństwa, a ty mi tu pisesz o wykorzystaniu GPU i optymalizacji (czyli rzeczach, które ulepszają normalne poprawki).
A ta "Ochrona przeglądarki" w antywirusie się sprowadza do rozwalenia modelu bezpieczeństwa, bo najczęściej to nic innego jak przeprowadzanie ataku MiTM na własną przeglądarkę. Antywirus sobie wrzuca własny certyfikat do systemu, dzięki czemu rozszyfrowuje w locie https, żeby móc go przeglądać i ewentualnie zablokować jakiś link, który ma na liście złośliwych. Chyba tylko jeden, Malwarebytes, z tego, co jestem świadomy, rzeczywiście (w wersji płatnej) może analizować obszary pamięci określonych aplikacji, żeby wykryć, czy złośliwy kod nie próbuje wykorzystać luki w programie.
W każdym razie ktoś musi skończyć tę jałową dyskusję, bo wszelkie moje argumenty się odbijają jak grochem o ścianę o twój brak już nawet nie wiedzy, ale w ogóle chęci do zdobycia tej wiedzy, bo ty wiesz lepiej, że jest inaczej, niż mówi cała społeczność bezpieczników i "Koniec kropka." Więc kończę temat i żegnam się ostatnimi słowami, jakie padają w Księżniczce Mononoke.
spoiler start
Poddaję się. Z głupimi nie wygrasz.
spoiler stop
Ja po 10x na jedno wlaczenie PC potrafię bez celu wchodzić na stronę domowa, wyłączyć przeglądarkę, włączyć ponownie, wziąć łyk piwa, wejść na niekonoecznie dostepne z pozycji wyszukiwarki strony, po czym wejść na stronę domowa, pozostawić tak w bezczynności I ją wylaczyc. Często tak robię po kilku piwachpiwach I to nie trolling. Co w takiej sytuacji?
Dla tych co się przerazili to nie chcę was martwić ale istnieją takie narzędzia jak np. HotJar lub Clarity i większość agencji marketingowych z nich korzysta.
Ja używam Brave, które jest na Chromie, ale mocno uszczuplonym z np. skryptów śledzących. Chyba prawie wszystkie przeglądarki bazują na Chromie. Na pewno Opera i Edge jeszcze. Nie wiem jak Firefox. No i Safari na pewno jest inne.
Wystarczy, że YT wykrywa, że jak przez ok 30 min nie ma aktywności, a filmy się odtwarzają, to pauzuje odtwarzanie i wyświetla komunikat czy oglądasz dalej (na szczęście jest wtyczka)
Instagram i TikTok chyba mają coś podobnego, tylko wyłączają odtwarzanie gdy przełączy się na inną kartę (wkurzające)
