Názory k článku
Google Chrome bude v reálném čase kontrolovat URL proti hrozbám

No supr, takze Google uz bude take vedet priradit, ktere URL navstivil onen konkretni uzivatel...

To vse kuli kyber bezpecnosti predce v jmene vasi bezpecnosti...

Opet se zde jen potvrzuje ze umele vyvolany strach je nejlepsi manipulator.

Podle toho popisku by to neměli být schopní přiřadit. Půjde to přes Fastly, kde to bude anonymizované. Nicméně i anonymizovaná data o tom, jaké weby lidi navštěvují, se dají velmi dobře obchodně využít.
By mě zajímalo, kolik lidí ty stránky existující méně než 10 minut dokáží poškodit. Přijde mi to hrozně krátká doba.

A co teprve stranky, co po prvni navsteve proste prestanou fungovat. Proste kazda obet ma svuj unikatni endpoint. Vzdyt dnes neni nic tezkeho si vytvorit element, co sam o sobe ma jepici zivot... ale pritom je soucasti nejakeho vetsiho funkcniho celku, kde ty umysly jeho tvurce nemusi byt uplne slunickove...

Co je přesně špatného na obchodním využívání anonymizovaných dat?

Obchodni vyuzivani anonymizovanych dat. Aneb platis vlastnim soukromim za sluzbu, o kterou vetsina lidi nestoji. Nadhera.

Kde mas jistotu, ze data jsou dostatecne anonymizovana a nepujdou nejak identifikovat?

Kde mas jistotu, ze s temi daty google dela jen to, co rika, ze dela?

Navic mi to prijde jako vymitani certa dablem, vzhledem k tomu, co google pousti v reklamach.

Tak já osobně Google eliminuju kde to (snadno) jde. O Facebooku ani nemluvě, tam si kvůli tomu nemohu ani udělat účet protože mi prý nevěří, že existuju :-D (Jakože fakt, chtějí po mně osobní doklady.)

Jde mi spíš o to, že když jsou ta data anonymizovaná, může mi to přece v praxi být úplně jedno.

Třeba to, že v případě přihlášení na googlu, může tyto "anonymní" data využít v neanonymním režimu. Viz, podmínky užívání googlu...

Neříkám, že to špatně. Jen si myslím, že je to ta skutečná motivace přenést tu databázi na server.

usruser:
"No supr, takze Google uz bude take vedet priradit, ktere URL navstivil onen konkretni uzivatel..."

Vzhledem k tomu, že se bavíme o googlím prohlížeči, tak bych se docela divil, kdyby to Google už dávno nevěděl.

Tak tohle mi na (zapnuté) na stroj nesmí! Dokud URL do adresního řádku nenapíšu, nemá se co kam posílat, a po odeslání (či kliknutí na odkaz) má prohlížeč prostě přejít na stránku!
(Kontrolovat to lokálně pomocí nějakého blacklistu/whi­telistu považuji za přípustné - to je lokální zpracování.)

Nedalaji tohle antivirove programy?

Předpokládám, že ty to kontrolují až po (během) stahování. Pokud nějaký hlídá, kam bych se mohl snažit kliknout nebo co se pokouším, napsat do adresního řádku, platilo by proň totéž: na svém stroji takovouhle potvoru nechci.

Hmm, tak když máš na počítači od zaměstnavatele antivir kombinovaný s firewallem, tak ti to klidně zablokuje už při odesílání požadavku.

Proto jsem psal na svém stroji. ;o)
Co se děje na firemním počítači mne zajímá jen do té míry, jak moc mi to komplikuje práci.

Nechi byt za hnidopicha ale co asi tak dela naseptavac v adresnem radku chrome?

Nevím, s tohle funkcí se nepotkávám - buď proto, že jsem ji nějak eliminoval, nebo proto, že nepoužívám Chrome, ale možná hlavně proto, že jsem zvyklý si ten odkaz předepsat v poznámkovém bloku či terminálu a podat si to clipboardem (zůstává mi tak snadno editovatelná historie).
Ale uznávám, že jsem se svým firefox https://root.cz/ za exota i mezi kolegy. ;oD

Proto přece mimo jiné používáme ty Linuxy, aby nám věci typu "antivirů" nerejdily v PC.

Jak který antivir... asi nejmenší zlo je Eset, Avira a Kaspersky...
ale za to Norton (několikrát profláknutej) AVG s Avastem, McCafe nebo jak se to píše.... pamatuju dobu, kdy AVG "náhodile" kontroloval disk on místo toho odesílal neznámá data ven...

"Lokálně se pak kontroluje uživatelem vložené URL" To nejak nedava smysl. Neni dulezitejsi to finalni url kam ho to secko premseruje, nebo spise secky ty mezi url prez ktera je presmerovavan nez skonci kdo vi kde, a kazde druhe ma nejaky podezrely JS ci si ulozi cookie?

"většina škodlivých webů existuje kratší dobu než 10 minut"
Jak pak mohou škodit, když uživatel na odkaz ve spamu klikne třeba až druhý den?

A to má být ochrana před škodlivým kódem a obsahem?

Nabízí desítky úprav, které by zvyšovaly bezpečnost o několik řádů víc, než tohle.
Namátkou:

* jiný systém embedování obsahu z reklam
* skutečné blokování reklam, na které už byly 1000x upozorněni, že jde o phishing (prezident Pavel doporučuje finanční službu ....)
* snadné a funkční vypnutí autorun akcí médií
* snadné, přehledné a pochopitelné omezení funkcí JavaScriptu ve výchozím nastavení zapnuté poměrně striktně
* snadné a přehledné nastavení co o mě bude můj prohlížeč sdělovat ven
* anonymní režim, v rámci možností nejen lokálně, ale i globálně

Tedy dát lidem nástroje, jak účinně řešit svou míru bezpečnosti a soukromí pro různá místa a ne z nich dělat tupé stádo, které musí svá data povinně odevzdat k monitoringu, aby byli ochráněni.

Pří vší úctě, některé vaše body jsou poněkud... zamlžené. Co přesně znamená "omezení funkcí JavaScriptu ve výchozím nastavení zapnuté poměrně striktně"? Co přesně znamená "anonymní režim, v rámci možností nejen lokálně, ale i globálně"? Jak přesně bezpečnost zvýší "snadné a funkční vypnutí autorun akcí médií"?

Webem se zabývám patnáct let a mohu vám říci zhruba jedno: například takové ""omezení funkcí JavaScriptu ve výchozím nastavení" se už dnes děje v takové míře, že to často velmi komplikuje vývoj naprosto nevinných a bezpečných aplikací. Ano, já mám JavaScript ve výchozím nastavení vypnutý úplně, ale pro běžné uživatele dá už dnes dost práce zajistit, aby komplexnější aplikace fungovaly tak, jak mají.

Ano, ve vězení na samotce je člověk v bezpečí. Stačí se podívat do jakéhokoliv ve výchozím nastavení zamčeného Androidu nebo do iOS.

Jestli působí "zamlženě", tak to se omlouvám.
Já mám za ni nimi konkrétní a jasný význam, ale nepovažoval jsem za užitečné to zde detailně rozepisovat.

Co se erudice týče, webové technologie dělám 2x tak dlouho jako vy. Zažil jsem i dobu před-Internetovou s BBSkami, CGI scripty, nástup a zánik mnoha technologií.

Pokud se zaměříte na to před čím se nás Google "snaží chránit"?

Jedna oblast je škodlivý kód, kdy cizí programy, s využitím možností našeho prohlížeče budou dělat něco, co bychom nechtěli.

Druhá oblast je škodlivý obsah, kdy na úrovni kódu jde o naprosto bezpečnou stránku.

S obojím mohou prohlížeče pomáhat lépe, než to dělají dnes a nemusí to být za cenu dalšího snížení soukromí.

RE: "velmi komplikuje vývoj naprosto nevinných a bezpečných aplikací"
Vidíte a to je přesně jedno z těch míst, kde může dobře navržený prohlížeč pomoci.

Ať si může uživatel, snadno a přehledně zvolit výchozí míru bezpečnosti a na stránkách, které mají jeho důvěru, oprávnění, snadno a jednoduše, navýší.

Proč by měla mít nějaká stránka z okraje existence, na kterou se dostanu omylem, kliknutím na otravnou reklamu, stejná oprávnění, jako stránka, kterou navštěvuji pravidelně každý den? A tak to teď je a k uspokojivému řešení si uživatel musí dopomáhat obskurními akcemi, rozhodně ne, snadno a přehledně.

RE: "ale pro běžné uživatele dá už dnes dost práce zajistit, aby komplexnější aplikace fungovaly tak, jak mají."

Pokud je něco "komplexní aplikací", tak by taková aplikace měla být schopna uživatelům svou funkci objasnit a obhájit si navýšení oprávnění.

I běžní uživatelé jsou schopni pochopit úrovně oprávnění, když je jejich přehled a správa udělána dobře.

Chránit to má především před dvěma věcmi. Za prvé, škodlivý obsah, tedy typicky stránky snažící se napodobit jiný web a vylákat citlivé údaje. Máte pravdu v tom, že tady mají máslo na hlavě především prohlížeče, které se dlouho tvářily, že na tom, že uživatel zadává heslo do webové stránky, není nic divného. Teď už to ovšem nejde tak snadno změnit – takže než se to podaří změnit, nezbývá, než před takovýmito weby uživatele varovat. A reálně to nejde dělat moc jinak, než že někdo detekuje, že nějaká URL (nebo jejich soubor) je takový podvodný web, uloží to do nějaké databáze a prohlížeč si před návštěvou každé URL zkontroluje, zda nejde o URL v té databázi. V tomhle případě je potřeba rychlá aktualizace, protože po hodině už je ta informace skoro k ničemu.

Do budoucna to řeší věci jako WebAuthn a Passkey nebo Payment Request API, ale bude trvat dlouho, než se to rozšíří. Podvodné weby je potřeba řešit teď hned.

Za druhé, chrání to před škodlivým kódem zneužívajícím chyby v prohlížečích. To je také řešitelné v prohlížečích, ale vydání a rozšíření opravené verze prohlížeče také nějakou dobu trvá. Takže opět potřebujete něco, co uživateli hned zabrání vlézt na stránku se škodlivým kódem.

Nějaké omezování JavaScriptu s tím nijak nesouvisí, protože JavaScript sám o sobě nijak škodit nemůže, a API, která jsou nějak zajímavá pro útočníky, už chráněná jsou.

Pokud vám vadí automatické spouštění médií, použijte prohlížeč, který to umí konfigurovat.

+ (volitelné a dle domény nastavené)omezení nesmyslných javscriptových api: rozměry obrazovky, battery, connectionType, cliboard,

vyřešeno již dlouho:
0.0.0.0 safebrowsing.go­ogleapis.com
0.0.0.0 android-safebrowsing.go­ogleapis.com

Pokud rozumím dobře zprávičce, vyřešeno to nemáš, jelikož Google to bude posílat kdoví kam.

19. 3. 2024, 10:04 editováno autorem komentáře

Nic takoveho jako ze neco dela pouze lokalne neni pravda, samozrejme ze vse posilal na svoje servery, uz jen tim, ze si to nastavilo svoje DNS, tim padem vidi domeny, ze pak mozna neco dela lokalne je mozne, ale i tak uz to predtim smirovalo - sledoval to sec. team a zablokovali to na FW.

Moje zkusenosti jsou takove, ze jsme to vypnul, nebot mi to cenzurovalo pro GLOBSEC/Gerula­ta/ESET politicky udajne zavadne weby - a to mam primarne linux a zadny antivir a ESET nemam nikde - kazdopadne tahle skupina vytvorila ony seznamy, dale jsou blokovanim pol. exponenti ze zahranici - stacilo to vypnout a vse jede spravne. Tedy za me je tahle "skvela"sluzba jen smirovaci a cenzurovaci sajrajt, jeste me to varuje, ze to neni podporvane a jine blaboly, ac to nastaveni samozrejme aplikovano bylo, tak jsem vypnul i tu stupidni hlasku, kde mi nabizeli jednim klikem vse zase zmrtit zpet, jak si google preje, abych nastaven mel.

Osobne me dost browsery stvou, google uz zablokoval vsechny pluginy, ktere stahovaly vide, hlavne z YT, dale se mrsi i firefox, ale ne tolik, ale i tam sponzori z google zablokovali kde co, aby nemohly fungovat rozireni a je vyzadovan externi program, ktery to provede - praskani pres DRM a obchazeni proxy za ucelem smirovani.

Takze chrome je mozno pouzivat s externimi programy, s developer modem a s vyplimi vsemi sec. funkcemi - prozatim - pro nesmirovani zablokovat zcela internet a vnutit proxy - aby ani teoreticky nebylo mozno uskutecnit internetove spojeni mimo. Tak daleko browsery dosly.

BTW. Antivirove progamy jsou spise jedna velka dira do OS, nez aby neco resily, zvlaste na Linuxu, kde je na desktop lepsi nechat zaply SELinux. Imho delaji jeste vetsi bordel nez samotny browser a cenzuruji i rezimu nepohodlne streamy.