Чому я нарешті кидаю Chrome: стаття експерта з безпеки

Chrome – найпопулярніший браузер на планеті, але остання зміна в політиці приватності змусила деяких лояльних користувачів переглянути своє до нього ставлення. Метью Грін, експерт із криптографії та професор Університету Джона Гопкінса, присвятив цій зміні цілу статтю, вказавши, що припиняє користуватися браузером, якому довіряв 10 років. AIN.UA переказує чому безпека Chrome не гарантує повний захист.

Цей блог – в основному про криптографію, і я намагаюся не забивати його випадковими постами в стилі «в інтернеті хтось неправий». Все ж для цього існує Twitter. Але час від часу якась тема турбує мене досить сильно, щоб зробити виняток. Сьогодні я хочу присвятити цілий пост Google Chrome – я так його любив у минулому – і чому через їхню нову політику автоматичного логіна я не буду використовувати його в майбутньому.

Коротка історія Chrome

Коли Google запустив Chrome 10 років тому, здавалося, це – той рідкісний випадок, коли всі у виграші. У 2008 році на ринку браузерів домінував Microsoft – компанія, з негарною історією розтрощення конкурентів за допомогою цієї ринкової переваги. Що гірше, Microsoft робила натяки про намір зайти на ринок пошуку. Це створювало суттєву загрозу позиціям Google.

У таких умовах Chrome був шикарним рішенням. Навіть якби цей браузер не приніс компанії жодної копійки прибутку, він служив би своїй меті хоча б тим, що давав шлях в інтернет іншим продуктам Google. А інтернет-спільнота отримувала чудовий opensource-браузер, створений найкращою командою розробників, яких тільки можна найняти за гроші. Це могло означати погані новини для Mozilla, але загалом для стандартів інтернету це було корисно.

Багато років так і було. Звісно, Google пропонувала опцію sign in для Chrome (залишатися авторизованим у сервісах компанії під час запуску браузера – ред.), яка, імовірно, збирала дані про ваш браузинг і надсилала їх у Google, але це була всього лише опція. Її можна було легко ігнорувати. Якщо нею не користуватися, політика Google щодо поводження з особистими даними користувачів залишалася чіткою: ваші дані залишаються на вашому комп’ютері, де їм і місце.

Що змінилося?

Кілька тижнів тому Google випустив апдейт до Chrome, який ґрунтовно змінив практику sign-in. Тепер, щоразу, коли ви авторизуєтеся в якомусь із сервісів Google (наприклад, у Gmail), Chrome автоматично підключиться до вашого облікового запису Google, не повідомляючи вас про це. Однак, і це важливо, розробники Google запевняють, що це не означає автоматичної синхронізації ваших даних з Google – поки що. Єдине попередження – у тому, що в правому верхньому кутку браузера з’явиться картинка вашого Google-профілю. Так одного разу я помітив свою:

Ця зміна не пройшла повністю непоміченою. З цього приводу точилися живі обговорення на сайтах на кшталт Hacker News. Але основна айтішна преса повністю пропустила цю тему. Це погано, адже цей апдейт серйозно вплине на майбутнє Chrome. У цьому пості я збираюся показати, чому це важливо. З моєї точки зору, це можна звести до чотирьох пунктів:

• Ніхто з команди розробників не може надати виразного пояснення, чому ця зміна необхідна. Їхні поточні пояснення не мають сенсу.
• Ця зміна сильно вплине на приватність і довіру користувачів, а Google нічого не зможе з цим вдіяти.
• Ця зміна зіпсує і власні політики приватності Google.
• Google потрібно припинити ставитися до користувачів як до поновлюваного ресурсу.

Попереджаю, далі текст звучатиме трохи пафосно, але все одно прочитайте до кінця, будь ласка.

Безпека Chrome: пояснення Google не має сенсу

Нова функція, яка вмикає автоматичний логін, називається «Відповідність ідентифікації між браузером і сховищем кукіз». Після обговорень із двома розробниками Chrome (імена наводити не буду, не хочу, щоб вони мене зненавиділи), мені надали два пояснення:

Перефразовуючи: якщо ви вже залогінені в Chrome і ваш друг сяде за ваш комп’ютер, випадково може статися так, що кукіз Google-акаунта вашого друга завантажаться у ваш акаунт. Це звучить погано, нікому таке не сподобається.

Тут потрібно зазначити: щоб ця проблема вас стосувалася, вам уже треба бути залогіненим у Chrome. У такому описі проблеми нічого не вказує на користувачів, які не захотіли логінитися в браузер.

Тож, якщо ваша проблема – залогінені користувачі, навіщо вводити апдейт, який змушує логінитися неавторизованих користувачів?

А це важливо, оскільки синхронізуй чи ні, але…

Ця зміна сильно вплине на приватність і довіру користувачів

Команда Chrome підібрала єдиний аргумент на захист цього апдейту: те, що ви залогінені в браузері, не означає автоматично, що браузер відсилає ваші дані на сервери Google. Зокрема, зараз Chrome залогінюватиметься у ваш Google-акаунт без вашої згоди (як раніше відбувалося з Gmail-акаунтом), але не активуватиме функцію синхронізації, яка пересилає дані в Google. Для цього потрібна згода користувача. Тож у теорії дані залишаться на його комп’ютері.

У цьому немає сенсу відразу з кількох причин.

Згода користувача важлива. За 10 років його існування браузер Chrome постійно мене запитував: «Ви хочете залогінитися у свій Google-акаунт?». І 10 років поспіль я відповідав: «Ні, дякую». Chrome і зараз ставить мені це запитання, ось тільки не бере до уваги мою відповідь.

Проблема тут така: якщо ви не хочете брати до уваги мою згоду, чому я маю довіряти будь-яким іншим вашим формам, де потрібна згода користувача? Насправді, я раніше ніколи навіть не чув про опцію синхронізації Chrome, з тієї простої причини, що до вересня 2018 року я ніколи не авторизувався в Chrome. Зараз мені потрібно вчити ці нові терміни, і вірити, що Chrome дотримається обіцянки, не передаватиме мої дані.

Синхронізація в Chrome – це dark pattern (“темний патерн», прийом в інтерфейсі, покликаний вплинути на поведінку користувача). Тепер, коли мене автоматично логінять у Chrome, перед моїми очима – таке нове меню:

Ця велика блакитна кнопка означає, що мої дані вже синхронізуються з Google? Це лякає! Можливо, це запрошення синхронізувати їх? А що трапиться з моїми даними, якщо я випадково натисну її?

Коротко кажучи, Google перетворив процес згоди на завантаження даних із чогось, що вимагає свідомого зусилля (введення логіна/пароля) на щось, що я можу активувати випадковим кліком. Це і є «темний патерн». Спеціально чи ні, він вплине на те, що люди активуватимуть синхронізацію, навіть не знаючи про це, або ж будуть упевнені, що синхронізація вже увімкнена і немає нічого страшного в тому, щоб розширити доступ Google до своїх даних.

Не потрібно вірити мені на слово. Але це лякає навіть колишніх співробітників Google.

«Великому брату» не обов’язково насправді стежити за вами. Ми розповідаємо браузеру такі речі, які не наважилися б розповісти найближчому другу. Ми творимо це, смутно розуміючи, що інтернет шпигує за нами. Але ми також віримо, що це шпигунство – слабеньке і засноване на припущеннях. Зовсім не порівняти з тим, як якби хтось стояв прямо у нас за плечем і міг отримати номер нашого водійського посвідчення з пари кліків.

Що трапиться, якщо ця віра похитнеться? Численні дослідження вказують, що сама думка про стеження може сильно збільшити градус самоцензури користувачів. Чи буде користувач спокійно гуглити інформацію про хворобу, якщо його справжнє ім’я і фото завжди світяться в кутку браузера? Команда Chrome вважає, що так. Я думаю, вони помиляються.

Цей новий підхід матиме наслідки для приватності, навіть якщо синхронізація і справді не працює. Приміром, якщо я вилогінився з браузера, коли я логінюся, усі мої дані за період, поки я не був авторизований, потраплять у Google чи ні?

Ця зміна зіпсує і власні політики приватності Google

Політика приватності Chrome – неймовірно простий документ. На відміну від більшості подібних документів, він створювався як обіцянка користувачам, а не як звичайні юридичні хитрощі. Він описує дві моделі браузингу: «базова» і «з авторизацією». Вони дуже відрізняються.

У базовій моделі дані зберігаються локально. Під час авторизації вони надсилаються на сервери Google. Якщо хочете приватності, не логініться. Але що якщо ваш браузер сам вирішуватиме, в якому режимі працювати?

Технічно, правила приватності порушені не будуть. Але проблема в тому, що ви більше не зможете самі вирішувати, в якому режимі ви працюватимете. Після того, як я оприлюднив свої побоювання, я отримав лист від розробників Google про те, що компанія оновить свою політику приватності, щоб відображати нові правила роботи Chrome.

Безпека Chrome: довіра – не поновлюваний ресурс

Як для компанії, яка тримається на зборі величезної кількості користувацьких даних, Google вдалося впоратися з негативом і критикою щодо порушень приватності набагато краще, ніж, скажімо, Facebook. Це не тому, що Google збирає менше даних, просто раніше компанія поводилася з ними більш обачно і відповідально.

Facebook зазвичай спочатку змінює налаштування приватності, а потім вибачається, у Google же – правила приватності доволі ясні, і вони нечасто змінюються. Google обіцяє обходитися з даними користувачів певним чином – і тримає обіцянку. Але схоже, цей підхід змінюється.

Репутація Google зароблялася важкою працею. Подібні апдейти знищать довіру користувачів. Якби цей апдейт вирішував критичну проблему… Якби тільки Google міг мене переконати, що справа в цьому.

Безпека Chrome: висновки

Перш ніж завершити текст, хотів би навести два контраргументи щодо питання від людей, яких я вважаю експертами в галузі. Один – у тому, що Google вже шпигує за вами через кукіз, рекламну мережу і партнерки, то в чому ж проблема з авторизацією в браузері? Один із моїх співрозмовників описав цей апдейт так: «тепер у Chrome на вас буде два ярлики з ім’ям замість одного». Але мені здається, цей контраргумент безглуздий – якщо компанія вже порушила мою приватність, це саме по собі не є виправданням для ще більшого порушення.

Другий контраргумент звучить так: Google завжди планував чинити з даними саме так, і якщо ви користуєтеся його продуктами, ви – нуб. Крайній ступінь цього аргументу передбачає, що я повинен використовувати lynx+Tor. Якщо я цього не роблю – так мені й треба.

Не згоден і з цим аргументом. Думаю, для компанії типу Google цілком можливо створити хороший зручний opensource-софт, який при цьому не порушує приватності. 10 років поспіль я вірив у те, що саме так чинить Chrome.

Чому вони вирішили це припинити, я не знаю. Але це засмучує мене.