Почему я наконец бросаю Chrome: статья эксперта по безопасности
Chrome — самый популярный браузер на планете, но последнее изменение в политике приватности заставило некоторых лояльных пользователей пересмотреть свое к нему отношение. Мэтью Грин, эксперт по криптографии и профессор Университета Джона Хопкинса, посвятил этому изменению целую статью, указав, что прекращает пользоваться браузером, которому доверял 10 лет. AIN.UA пересказывает почему безопасность Chrome не гарантирует полную защиту.
Этот блог — в основном про криптографию, и я стараюсь не забивать его случайными постами в стиле «в интернете кто-то неправ». Все же для этого существует Twitter. Но время от времени какая-то тема беспокоит меня достаточно сильно, чтобы сделать исключение. Сегодня я хочу посвятить целый пост Google Chrome — я так его любил в прошлом — и почему из-за их новой политики автоматического логина я не буду использовать его в будущем.
Краткая история Chrome
Когда Google запустил Chrome 10 лет назад, казалось, это — тот редкий случай, когда все в выигрыше. В 2008 году на рынке браузеров доминировал Microsoft — компания, с некрасивой историей сокрушения конкурентов с помощью этого рыночного перевеса. Что хуже, Microsoft делала намеки о намерении зайти на рынок поиска. Это создавало существенную угрозу позициям Google.
В таких условиях Chrome был шикарным решением. Даже если бы этот браузер не принес компании ни копейки прибыли, он служил бы своей цели хотя бы тем, что давал путь в интернет другим продуктам Google. А интернет-сообщество получало отличный opensource-браузер, созданный лучшей командой разработчиков, которых только можно нанять за деньги. Это могло обозначать плохие новости для Mozilla, но в целом для стандартов интернета это было полезно.
Многие годы так и было. Конечно, Google предлагала опцию sign in для Chrome (оставаться авторизованным в сервисах компании при запуске браузера — ред.), которая предположительно собирала данные о вашем браузинге и отправляла их в Google, но это была всего лишь опция. Ее можно было легко игнорировать. Если ей не пользоваться, политика Google по обхождению с личными данными пользователей оставалась четкой: ваши данные остаются на вашем компьютере, где им и место.
Что поменялось?
Несколько недель назад Google выпустил апдейт к Chrome, который основательно поменял практику sign-in. Теперь, всякий раз когда вы авторизуетесь в каком-то из сервисов Google (к примеру, в Gmail), Chrome автоматически подключится к вашему аккаунту Google, не уведомляя вас об этом. Однако, и это важно, разработчики Google уверяют, что это не обозначает автоматическую синхронизацию ваших данных с Google — пока что. Единственное предупреждение — в том, что в правом верхнем углу браузера появится картинка вашего Google-профиля. Так однажды я заметил свою:
Это изменение не прошло полностью незамеченным. По этому поводу шли живые обсуждения на сайтах вроде Hacker News. Но основная айтишная пресса полностью пропустила эту тему. Это плохо, ведь этот апдейт серьезно повлияет на будущее Chrome. В этом посте я собираюсь показать, почему это важно. С моей точки зрения, это можно свести к четырем пунктам:
- Никто из команды разработчиков не может предоставить внятного объяснения, почему это изменение необходимы. Их текущие объяснения не имеют смысла.
- Это изменение сильно повлияет на приватность и доверие пользователей, а Google ничего не сможет с этим поделать.
- Это изменение подпортит и собственные политики приватности Google.
- Google нужно прекратить относиться к пользователям как к возобновимому ресурсу.
Предупреждаю, далее текст будет звучать немного пафосно, но все равно прочтите до конца, пожалуйста.
Безопасность Chrome: объяснение Google не имеет смысла
Новая функция, которая включает автоматический логин, называется «Соответствие идентификации между браузером и хранилищем кукиз». После обсуждений с двумя разработчиками Chrome (имена приводить не буду, не хочу, чтобы они меня возненавидели), мне предоставили два объяснения:
Перефразируя: если вы уже залогинены в Chrome и ваш друг сядет за ваш компьютер, случайно может получиться так, что кукиз Google-аккаунта вашего друга загрузятся в ваш аккаунт. Это звучит плохо, никому такое не понравится.
Здесь нужно отметить: чтобы эта проблема вас касалась, вам уже надо быть залогиненным в Chrome. В таком описании проблемы ничего не указывает на пользователей, которые не захотели логиниться в браузер.
Так что, если ваша проблема — залогиненые пользователи, зачем вводить апдейт, который заставляет логиниться неавторизованных пользователей?
А это важно, поскольку синхронизируй или нет, но…
Это изменение сильно повлияет на приватность и доверие пользователей
Команда Chrome подобрала единственный аргумент в защиту этого апдейта: то, что вы залогинены в браузере, не означает автоматически, что браузер отсылает ваши данные на серверы Google. В частности, сейчас Chrome будет залогиниваться в ваш Google-аккаунт без вашего согласия (как раньше происходило с Gmail-аккаунтом), но не будет активировать функцию синхронизации, которая пересылает данные в Google. Для этого нужно согласие пользователя. Так что в теории данные останутся на его компьютере.
В этом нет смысла сразу по нескольким причинам.
Согласие пользователя важно. За 10 лет его существования браузер Chrome постоянно меня спрашивал: «Вы хотите залогиниться в свой Google-аккаунт?». И 10 лет подряд я отвечал: «Нет, спасибо». Chrome и сейчас задает мне этот вопрос, вот только не принимает во внимание мой ответ.
Проблема здесь следующая: если вы не хотите принимать во внимание мое согласие, почему я должен доверять любым другим вашим формам, где нужно согласие пользователя? Фактически, я раньше никогда даже не слышал об опции синхронизации Chrome, по той простой причине, что до сентября 2018 я никогда не логинился в Chrome. Сейчас мне нужно учить эти новые термины, и верить, что Chrome сдержит обещание, не будет передавать мои данные.
Синхронизация в Chrome — это dark pattern («темный паттерн», уловка в интерфейсе, призванная повлиять на поведение пользователя). Теперь, когда меня автоматически логинят в Chrome, перед моими глазами — такое новое меню:
Эта большая голубая кнопка обозначает, что мои данные уже синхронизируются с Google? Это пугает! Возможно, это приглашение синхронизировать их? А что случится с моими данными, если я случайно нажму ее?
Вкратце, Google превратил процесс согласия на загрузку данных из чего-то, требующего сознательного усилия (ввода логина/пароля) во что-то, что я могу активировать случайным кликом. Это и есть «темный паттерн». Специально или нет, он повлияет на то, что люди будут активировать синхронизацию, даже не зная об этом, или же будут уверены, что синхронизация уже включена и нет ничего страшного в том, чтобы расширить доступ Google к своим данным.
Не нужно верить мне на слово. Но это пугает даже бывших сотрудников Google.
«Большому брату» не обязательно на самом деле следить за вами. Мы рассказываем браузеру такие вещи, которые не решились бы рассказать ближайшему другу. Мы творим это, смутно понимая, что интернет шпионит за нами. Но мы также верим, что этот шпионаж — слабенький и основан на предположениях. Совсем не сравнить с тем, как если бы кто-то стоял прямо у нас за плечом и мог получить номер нашего водительского удостоверения из пары кликов.
Что случится, если эта вера пошатнется? Многочисленные исследования указывают, что сама мысль о слежке может сильно увеличить градус самоцензуры пользователей. Будет ли пользователь спокойно гуглить информацию о болезни, если его настоящее имя и фото всегда светятся в углу браузера? Команда Chrome считает, что да. Я думаю, они ошибаются.
Этот новый подход будет иметь последствия для приватности, даже если синхронизация и в самом деле не работает. К примеру, если я вылогинился из браузера, когда я логинюсь, все мои данные за период, пока я не был авторизован, попадут в Google или нет?
Это изменение подпортит и собственные политики приватности Google
Политика приватности Chrome — невероятно простой документ. В отличие от большинства подобных документов, он создавался как обещание пользователям, а не как обычные юридические уловки. Он описывает две модели браузинга: «базовая» и «с авторизацией». Они сильно отличаются.
В базовой модели данные хранятся локально. При авторизации они отправляются на серверы Google. Если хотите приватности, не логиньтесь. Но что если ваш браузер сам будет решать, в каком режиме работать?
Технически, правила приватности нарушены не будут. Но проблема в том, что вы больше не сможете сами решать, в каком режиме вы будете работать. После того, как я обнародовал свои опасения, я получил письмо от разработчиков Google о том, что компания обновит свою политику приватности, чтобы отражать новые правила работы Chrome.
Безопасность Chrome: доверие — не возобновляемый ресурс
Как для компании, которая держится на сборе огромного количества пользовательских данных, Google удалось справиться с негативом и критикой по нарушениям приватности намного лучше, чем, скажем, Facebook. Это не потому, что Google собирает меньше данных, просто раньше компания обращалась с ними более осмотрительно и ответственно.
Facebook обычно сначала меняет настройки приватности, а затем извиняется, у Google же — правила приватности довольно ясные, и они нечасто меняются. Google обещает обходиться с данными пользователей определенным образом — и держит обещание. Но похоже, этот подход меняется.
Репутация Google зарабатывалась тяжелыми трудом. Подобные апдейты уничтожат доверие пользователей. Если бы этот апдейт решал критическую проблему… Если бы только Google мог меня убедить, что дело в этом.
Безопасность Chrome: выводы
Прежде чем завершить текст, хотел бы привести два контраргумента по вопросу от людей, которых я считаю экспертами в отрасли. Один — в том, что Google уже шпионит за вами через кукиз, рекламную сеть и партнерки, так в чем же проблема с авторизацией в браузере? Один из моих собеседников описал этот апдейт так: «теперь в Chrome на вас будет два ярлыка с именем вместо одного». Но мне кажется, этот контраргумент бессмысленный — если компания уже нарушила мою приватность, это само по себе не является оправданием для еще большего нарушения.
Второй контраргумент звучит так: Google всегда планировал поступать с данными именно так, и если вы пользуетесь его продуктами, вы — нуб. Крайняя степень этого аргумента предполагает, что я должен использовать lynx+Tor. Если я этого не делаю — так мне и надо.
Не согласен и с этим аргументом. Думаю, для компании типа Google целиком возможно создать хороший удобный opensource-софт, который при этом не нарушает приватности. 10 лет подряд я верил в то, что именно так поступает Chrome.
Почему они решили это прекратить, я не знаю. Но это печалит меня.
Комментарии | 13
Забыли дописать, что Виталик Бутерин «highly recommend»
Очередной бред параноика, авторизация в браузере и синхронизация это 1 из тех огромых плюсов ради которого простые люди и используют хром.
Зачем ним пользоваться не включая синхронизацию? Ставьте себе хромиум.
Лично мне как и подавляющему большинству — удобно просто авторизоваться в хроме что бы сразу привести его в удобный мне вид, со всеми закладками, темами, паролями и историей.
Если принять во внимание что переустановка винды раз в год это нормальная практика то выгода вполне очевидна. А кроме этого еще и куча устройств с браузером (ТВ, телефоны, планшеты, ТВ приставки, игровые консоли)
Exactly, а всем, кому это не нужно, могут пользоваться Firefox, как я.
Это очень опасная практика — верить на слово, тем более не конкретному человеку, а компании. Где смена руководства или просто ситуация на рынке может полностью изменить курс компании и использование ваших данных.
То что вам удобно — хорошо. То что вы так предпочитаете пользоваться — тоже хорошо. Это ваш выбор. НО! такими методами «заставлять» людей синхронизироваться — это не нормально.
То что этот метод самую малось менее плохой, чем установка мейлРУ агента на компьютер пользователей не явными способом — не значит что это нормально.
С методом, возможно, я согласен. Но авторизация и синхронизация это центральный элемент хрома. Я вообще слабо представлял что кто-то может юзеть хром без синхронизации. Для высокой степени приватности существуют другие браузеры, хром никогда не позиционировал себя как «браузер для параноиков», это браузер ориентированный на широкую публику, а широкой публике нужна синхронизация.
И если автору нужна крайняя степень защиты и анонимности — то он правильно сделал что ушел с него. Но поливать за это браузер помоями и удивляться подобному поведению явно не стоит.
Альтернатив то дофига. В нынешнем мире ты либо пользуешься всеми благами и удобствами в определенной степени жертвуя анонимностью и приватностью, либо шифруешься ото всех испытывая вполне ожидаемые неудобства
Так весь посыл статьи как раз не в том что синхронизация зло, а в том, каким способом заставляют людей синхронизироваться и в какие моменты это происходит. Автор пользовался этим браузером и был доволен пока ему просто не оставили выбора.
Согласен.
Ну и как бы GDPR никто не отменял.
Э-э, отправлять все свои закладки, историю, пароли, данные пластиковых карточек и что-там-ещё какой-то левой компании просто потому, что лень при переустановке винды скопировать папку с данными браузера руками? Мне всегда казалось, что подобной функцией может пользоваться не более 5-10% пользователей, да и то лишь потому, что они плохо разбираются в вопросе и не понимают последствия такого шага. Ну или 0.001% тех, для которых это действительно одновременно нужно и безопасно (например, набор закладок по работе в случае, если постоянного рабочего места нет и приходится часто сидеть за разными компьютерами, дома, в командировках). Смена политики гугла, хакерская атака, да мало ли причин для слива данных. Это не паранойя, а вполне разумная предосторожность, даже если критичных данных на первый взгляд нет.
К тому же при нормальном использовании современная винда спокойно работает по 5-10 лет, не требуя переустановки. А если переустановка понадобилась, то всё равно придётся переносить данные большинства программ вручную. Кликнуть на 1 лишнюю папку не требует особых усилий.
Про ТВ и прочие устройства вовсе непонятно: как правило, они используются не так, как компьютер. А значит, набор закладок логичнее делать отдельно. Да и внешний вид, если он хуже сочетается с цветом устройства и размером экрана. К примеру, закладки по прохождению консольных игр пусть останутся только на консоли, с фильмами и сериалами — на используемом всей семьёй, включая детей и престарелых родителей, ТВ, а порносайты или уроки фотошопа только на компьютере. Это гораздо логичнее и удобнее.
Большинство людей используют Хром просто как популярный (а значит, более стабильный и безопасный) браузер. А вот кому синхронизация действительно нужна — так это самому гуглу для продажи синхронизируемых данных. Хотелось бы верить, что не всех, только рекламодателям и только в обезличенном виде. И то, что её всё более активно подсовывают, особенно неопытным пользователям — это всего лишь способ заработать больше денег. Это является целью любой компании, но подобные методы для достижения этой цели смотрятся уже некрасиво.
Последнее время на ain'е постят странные новости с необьективной, сомнительной информацией.
Кто апрувит это новости ? Есть ли редактор?
Предлагаю ввести рейтинг новостей.
«Паганиться» ресурс.
Бред параноика, более того, знаю даже по реальным знакомым, это особенно те, кто даже в США ни разу не был, т.е. об их существовании даже не знают, но они считают, что следят за ними. Глупо, и завышенная самооценка у таких. Мне например, даже удобно, когда отслеживают местоположения, потом по карте путешествий видно, где когда был, и прочее например. Да и для параноиков — телефоны тоже следят, посредством GPS, да и GSM тоже, так что, носите телефон в кастрюле закрытой, для надежности, или авиарежим в помощь, чтобы не отследили ФБР и ЦРУ ))
Никакой это не бред. Если для кого-то ваши персональные данные и история браузинга не важны — это ваше личное дело. Можете сразу эту историю публиковать, пусть все посмотрят;) Люди которые задумываются о таких вещах выбирают и соответствующее ПО (которого к сожалению становится все меньше).
Так о том то и речь. Выбирайте соответствующее ПО, но к чему кричать что хром «уже не торт» если он изначально был нацелен на синхронизацию, и это была и есть одной из главных его фишек.
А между «публиковать» и синхронизировать 2 большие разницы
Учитывая ситуацию в плане безопасности в интернете, надо должное уделять составления пароля на свой компьютер и не ставить самый простой. Пользоваться, например, https://1informer.ru/ генартором паролей или придумывать наиболее сложные комбинации, храня код в своих записях, в специальном блокноте или файлике, для безопасности данных — это лучшее будет решение от мошенников.