Vlákno názorů k článku
Google Chrome bude v reálném čase kontrolovat URL proti hrozbám od Mintaka - A to má být ochrana před škodlivým kódem...

A to má být ochrana před škodlivým kódem a obsahem?

Nabízí desítky úprav, které by zvyšovaly bezpečnost o několik řádů víc, než tohle.
Namátkou:

* jiný systém embedování obsahu z reklam
* skutečné blokování reklam, na které už byly 1000x upozorněni, že jde o phishing (prezident Pavel doporučuje finanční službu ....)
* snadné a funkční vypnutí autorun akcí médií
* snadné, přehledné a pochopitelné omezení funkcí JavaScriptu ve výchozím nastavení zapnuté poměrně striktně
* snadné a přehledné nastavení co o mě bude můj prohlížeč sdělovat ven
* anonymní režim, v rámci možností nejen lokálně, ale i globálně

Tedy dát lidem nástroje, jak účinně řešit svou míru bezpečnosti a soukromí pro různá místa a ne z nich dělat tupé stádo, které musí svá data povinně odevzdat k monitoringu, aby byli ochráněni.

Pří vší úctě, některé vaše body jsou poněkud... zamlžené. Co přesně znamená "omezení funkcí JavaScriptu ve výchozím nastavení zapnuté poměrně striktně"? Co přesně znamená "anonymní režim, v rámci možností nejen lokálně, ale i globálně"? Jak přesně bezpečnost zvýší "snadné a funkční vypnutí autorun akcí médií"?

Webem se zabývám patnáct let a mohu vám říci zhruba jedno: například takové ""omezení funkcí JavaScriptu ve výchozím nastavení" se už dnes děje v takové míře, že to často velmi komplikuje vývoj naprosto nevinných a bezpečných aplikací. Ano, já mám JavaScript ve výchozím nastavení vypnutý úplně, ale pro běžné uživatele dá už dnes dost práce zajistit, aby komplexnější aplikace fungovaly tak, jak mají.

Ano, ve vězení na samotce je člověk v bezpečí. Stačí se podívat do jakéhokoliv ve výchozím nastavení zamčeného Androidu nebo do iOS.

Jestli působí "zamlženě", tak to se omlouvám.
Já mám za ni nimi konkrétní a jasný význam, ale nepovažoval jsem za užitečné to zde detailně rozepisovat.

Co se erudice týče, webové technologie dělám 2x tak dlouho jako vy. Zažil jsem i dobu před-Internetovou s BBSkami, CGI scripty, nástup a zánik mnoha technologií.

Pokud se zaměříte na to před čím se nás Google "snaží chránit"?

Jedna oblast je škodlivý kód, kdy cizí programy, s využitím možností našeho prohlížeče budou dělat něco, co bychom nechtěli.

Druhá oblast je škodlivý obsah, kdy na úrovni kódu jde o naprosto bezpečnou stránku.

S obojím mohou prohlížeče pomáhat lépe, než to dělají dnes a nemusí to být za cenu dalšího snížení soukromí.

RE: "velmi komplikuje vývoj naprosto nevinných a bezpečných aplikací"
Vidíte a to je přesně jedno z těch míst, kde může dobře navržený prohlížeč pomoci.

Ať si může uživatel, snadno a přehledně zvolit výchozí míru bezpečnosti a na stránkách, které mají jeho důvěru, oprávnění, snadno a jednoduše, navýší.

Proč by měla mít nějaká stránka z okraje existence, na kterou se dostanu omylem, kliknutím na otravnou reklamu, stejná oprávnění, jako stránka, kterou navštěvuji pravidelně každý den? A tak to teď je a k uspokojivému řešení si uživatel musí dopomáhat obskurními akcemi, rozhodně ne, snadno a přehledně.

RE: "ale pro běžné uživatele dá už dnes dost práce zajistit, aby komplexnější aplikace fungovaly tak, jak mají."

Pokud je něco "komplexní aplikací", tak by taková aplikace měla být schopna uživatelům svou funkci objasnit a obhájit si navýšení oprávnění.

I běžní uživatelé jsou schopni pochopit úrovně oprávnění, když je jejich přehled a správa udělána dobře.

Chránit to má především před dvěma věcmi. Za prvé, škodlivý obsah, tedy typicky stránky snažící se napodobit jiný web a vylákat citlivé údaje. Máte pravdu v tom, že tady mají máslo na hlavě především prohlížeče, které se dlouho tvářily, že na tom, že uživatel zadává heslo do webové stránky, není nic divného. Teď už to ovšem nejde tak snadno změnit – takže než se to podaří změnit, nezbývá, než před takovýmito weby uživatele varovat. A reálně to nejde dělat moc jinak, než že někdo detekuje, že nějaká URL (nebo jejich soubor) je takový podvodný web, uloží to do nějaké databáze a prohlížeč si před návštěvou každé URL zkontroluje, zda nejde o URL v té databázi. V tomhle případě je potřeba rychlá aktualizace, protože po hodině už je ta informace skoro k ničemu.

Do budoucna to řeší věci jako WebAuthn a Passkey nebo Payment Request API, ale bude trvat dlouho, než se to rozšíří. Podvodné weby je potřeba řešit teď hned.

Za druhé, chrání to před škodlivým kódem zneužívajícím chyby v prohlížečích. To je také řešitelné v prohlížečích, ale vydání a rozšíření opravené verze prohlížeče také nějakou dobu trvá. Takže opět potřebujete něco, co uživateli hned zabrání vlézt na stránku se škodlivým kódem.

Nějaké omezování JavaScriptu s tím nijak nesouvisí, protože JavaScript sám o sobě nijak škodit nemůže, a API, která jsou nějak zajímavá pro útočníky, už chráněná jsou.

Pokud vám vadí automatické spouštění médií, použijte prohlížeč, který to umí konfigurovat.

+ (volitelné a dle domény nastavené)omezení nesmyslných javscriptových api: rozměry obrazovky, battery, connectionType, cliboard,