Post będzie trochę ostrzejszy niż zwykle.

Dzisiaj rano dostałem mejla od mojej ukochanej z linkiem do artykułu na WP o tytule który pozwoliłem sobie użyć również jako tytuł dla tego posta. Pozwolę sobie zacytować fragment artykułu który doskonale streszcza artykuł (niestety brak informacji o autorze):

Otóż każda kopia Chrome tworzy swój unikalny numer identyfikacyjny, który zostawia we wszystkich usługach Google, identyfikuje się nim także podczas korzystania z wyszukiwarki Google. Chrome łączy się z siedzibą także podczas wpisywania adresów internetowych w przeglądarce, dla naszego dobra. Sprawdza czy wprowadzony adres nie jest na liście stron phishingowych. Robi tak wiele przeglądarek, IE i Firefox też. Jednak one nie posiadają unikalnych identyfikatorów. Dzięki którym możliwe jest stworzenie "profilu internetowego" każdego użytkownika Chrome.

Szczerze powiem że dawno takiej BZDURY nie czytałem.

OK, ale po kolei. Przy ściąganiu Chrome z oficjalnej strony pod EULA jest taki mały domyślnie niezaznaczony checkbox z tekstem: "Opcjonalnie: pomóż udoskonalić przeglądarkę Google Chrome, automatycznie wysyłając do Google statystyki użytkowania i raporty o awarii". Możemy go zaznaczyć lub nie. Załóżmy że go zaznaczymy. W takim wypadku Chrome faktycznie czasami dzwoni do domu przekazując trochę statystyk. I faktycznie jeszcze trochę informacji leci do Google w wypadku gdy Chromę się wyłoży (about:crash do testów można użyć). Ale co z tego skoro przy instalacji się na to zgodziliśmy?!

OK, a teraz załóżmy że nie zgodziliśmy się na statystyki. Siedziałem z pół godziny ze snifferem w ręce, i nie widziałem żeby Chrome wysłał cokolwiek co by wyglądało choćby na fragment user id. Serio, nic. Crashowałem Chrome, restartowałem, chodziłem po stronach. Nic. Owszem, były wysyłane ciasteczka przy wyszukiwaniach które odbywają się przy okazji wklepywania adresu, ale te ciasteczka były generowane server side, więc oprócz normalnej identyfikacji która obecna jest na praktycznie każdym serwisie webowym (na WP też) na nic więcej to nie pozwala.

Tak że chciałbym pogratulować autorowi artykuły na WP narzekania na coś na co się sam się zgodził przy ściąganiu Chrome.

Jeszcze na koniec "hack" opracowany przez autora artykułu:

Trzeba zamknąć przeglądarkę, a potem zmienić plik "Local State" w katalogu instalacyjnym Google (User Data), zmian należy dokonać w "client_id" oraz "client_id_timestamp". Wartości które trzeba nadać tym kluczom to: FA7069F6-ACF8-4E92-805E-2AEBC67F45E0 oraz 1220449017. Po takiej operacji Chrome powinien meldować się fałszywym identyfikatorem.

Suuuppeeer... Ale na przyszłość polecam po prostu "reporting_enabled": false które i tak defaultowo (tj bez zaznaczonego checkboxu) się w Local State pojawi, a które można bez problemu dodać z menu - Opcje\Dla Zaawansowanych\Pomóż ulepszyć...

Jeżeli już kolekcjonuje konspiracyjne artykuły o Chrome, to do kolekcji trzeba wrzucić jeszcze jeden (nie wiem gdzie się to pierwsze pojawiło, ale akurat link do tego sajtu mam pod ręką). Artykuł o głośnym tytule "Chrome instaluje backdoora" zredagowany bodajże przez Patryka Szlagowskiego mówi o tym że:

aplikacja Google Chrome instaluje dodatkowo backdoora w systemie. Dla przeglądarek Firefox i Safari Google Update rejestruje się jako wtyczka npgoogleoneclick5.dll. Natomiast dla IE jest to BHO goopdatebho.dll.

OK, więc kilka rzeczy. Po pierwsze, testuje Chrome od samego wydania na kilku różnych maszynach, reinstalowałem go kilka razy, i za każdym razem sprawdzałem czy są gdzieś porejestrowane jakieś dodatkowe pluginy (mam cały przekrój przeglądarek, od Opery, poprzez Safari, FF, aż do IE włącznie), i stwierdzam że chyba Google mnie bardzo lubi or sth, bo żadnych zarejestrowanych pluginów się nie doszukałem (pliki w katalogu Chrome faktycznie istnieją).

Może taka specyfika mojego sprzętu. Załóżmy więc że faktycznie coś się automagicznie rejestruje i "backdoor" One Click działa w systemie. Docieramy więc do "po drugie".

Po drugie... co to za backdoor którego działanie polega na tym że jak użytkownik kliknie pod EULA "Zaakceptuj i zainstaluj" to po ściągnięciu instalatora od razu program zaczyna się instalować. Przecież przed chwilą klikneliśmy że MA SIĘ ZAINSTALOWAĆ! Więc czemu teraz piszemy newsy że "ło, kliknąłem zainstaluj i on faktycznie się zaczął instalować". To jakaś brednia. Po za tym ten "backdoor":
1) nie pozwala na dowolny (kiedy Google by chciało) dostęp do systemu
2) nie działa z za dużą liczbą aplikacji... Chrome.. i co tam jeszcze ? Może jakaś Picassa.. Co? Nie ma FormatYourHarddisk? Ło.

Podsumowując, Chrome nie jest backdoorem. Tak, zbiera statsy pod warunkiem że user się na to zgodzi. Tak, ma pluginy które rozpoczynają instalacje Chrome pod warunkiem że user kliknie Zainstaluj. A jeżeli ktoś nie umie przeczytać "zainstaluj" albo "automatycznie wysyłaj statsy", to zapraszam do wysłania petycji do Ministerstwa Edukacji.

To tyle.

Comments:

2008-09-11 02:27:13 = Q-IK
{
Glosno bylo o bledzie ktory wystepowal chyba w poprzedniej wersji silnika Safari ktory w efekcie pozwalal na niezauważone i nieautoryzowane zapisanie i uruchomienie pliku... <3sek pozniej> -> tak "Carpet bomb" -> jak to skomentujesz? :)

Pozdr. Q
}
2008-09-11 02:59:54 = Gynvael Coldwind
{
Hmm masz może jakiś link o tym błędzie ? ;>

Jeżeli było jak mówisz, to co tu mówić, był to krytyczny błąd, jakich w Safari imho jeszcze trochę się znajdzie. W Chrome'owym Carpet Bombingu oprócz zapisania nic więcej nie było, o tyle dobrze.

Szczerze to ostatnio w Chrome się tyle bugów pojawia że nie wszystkie mam czas przejrzeć. Może jakiś zbiorczy news potem zrobię ;>
}
2008-09-11 11:28:35 = poadi
{
pod winxp u mnie niestety nie mogę go odpalić, nie znam się na tym ale nie startuje instalator
może stąd to zdziwko, że "ło, instaluje się"
}
2008-09-11 16:13:48 = Gynvael Coldwind
{
@poadi
Hahaha coś w tym jest ;>
}
2009-01-27 05:37:01 = Matix
{
Witam! Artykuł przeczytałem i zrozumiałem. Przyznam, że przeglądarka mi się bardzo podoba i trochę zaniepokoiły mnie pogłoski o owych backdoor'ach. Ale czy mogę być pewien, że nie zgadzając się na wysyłanie informacji i nie instalując owego pluginu, nie grozi mi ze strony przeglądarki żadne "niebezpieczeństwo"?

Pozdrawiam,

Matix
}
2009-01-27 05:49:39 = Gynvael Coldwind
{
@Matrix
Hi ;>
Backdoorami bym się nie przejmował, nie sądzę by jakieś tam były ;> Dodatkowo użyty model bezpieczeństwa eliminuje część zagrożeń które zostaną dopiero w przyszłości wykryte. Noo i fakt że przeglądarka jest póki co niszowa sprawia że mało osób od crimeware się nią interesuje ;> Więc to całkiem niezły wybór ;>
Jeżeli chcesz być paranoicznie bezpieczny, to polecam uruchamiać chrome z prawami użytkownika który nie jest administratorem, lub, w przypadku ultra paranoi, z maszyny wirtualnej ;>

Pozdrawiam,
}
2009-12-18 08:23:05 = stan tucker
{
ale czy to nie jest tak, że szef google sam się przyznał, że sprawdzają - słynne "jeśli ktoś nie żeby inni wiedzieli o pewnych rzeczach, które robi, to może nie powinnien tego robić?", które wywołało potem ciekawą reakcję mozzilli?
}
2009-12-19 12:13:48 = Gynvael Coldwind
{
@stan tucker
Wypowiedź, którą przytaczasz, padła stosunkowo niedawno, tj. w grudniu 2k9 i nie jestem pewien czy odnosiła się konkretnie do Chrome, i bardzo wątpię czy była choćby zawoalowanym potwierdzeniem, że Chrome to spyware ;>
}
2011-02-11 17:03:19 = argothiel
{
Jest jeszcze jeden problem. Z tego co słyszałem, Chrome wymusza automatyczne aktualizacje. Czyli wszystko to, co dotyczy obecnej wersji może się w każdym momencie zmienić w którejś z przyszłych wersji, wliczając "zbieranie informacji dla celów statystycznych".
}
2011-02-11 20:32:45 = Gynvael Coldwind
{
@argothiel
Nie sądzę by to czy aktualizacja jest automatyczna czy ręczna etc miało jakiekolwiek znaczenie w poruszonej przez Ciebie sprawię, to raz.
A dwa, to co napisałeś to takie gdybanie... Póki co nic się nie zmieniło i nie zanosi się na to, żeby miało się zmienić.
}

Add a comment:

Nick:
URL (optional):
Math captcha: 1 ∗ 3 + 9 =