Мэттью Грин (Matthew Green (https://en.wikipedia.org/wiki/Matthew_D._Green)), инициатор аудита OpenVPN, TrueCrypt, один из создателей Zerocoin (https://www.opennet.me/opennews/art.shtml?num=43707) и участник групп, обнаруживших уязвимости RSA BSafe (https://www.opennet.me/opennews/art.shtml?num=39446), Dual_EC_DRBG (https://www.opennet.me/opennews/art.shtml?num=38768), Speedpass и EZpass, попытался привлечь (https://blog.cryptographyengineering.com/2018/09/23/why-im-l... внимание общественности на возможны проблемы с приватностью из-за внедрение в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 (https://www.opennet.me/opennews/art.shtml?num=49227) унифицировано подключение браузера и сайтов Google к учётной записи. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет. Авторизоваться на сайтах Google без автоматического входа в Chrome теперь не получится.
Проблема состоит в том, что подключение браузера к учётной записи обычно используется для организации синхронизации между разными экземплярами браузера. Т.е. при входе на сайт Google учётная запись помимо специфичных для сервисов Google данных теперь охватывает (https://www.google.com/chrome/privacy/#more-info) все информационные базы браузера, включая настройки, список установленных дополнений, содержимое закладок, сайты в открытых вкладках, историю посещений, базу автодополнения ввода и сохранённые пароли.
В настоящее время реализованный автоматический вход по умолчанию не активирует (https://twitter.com/__apf__/status/1043524583381295105) синхронизацию, но никто не может гарантировать, что в будущих версиях настройки не изменятся и информационные базы браузера не начнут зеркалироваться на серверах Google. Более того, в числе изменений интерфейса Chrome 69 предложен новый индикатор входа, который даёт возможность одним кликом инициировать синхронизацию данных, но при этом не позволяет однозначно определить выполнен ли вход. Расположение индикатора не исключает ситуации, когда пользователь может случайно нажать на кнопку и запустить процесс отправки браузерных БД на серверы Google. По мнению Мэттью Грина подобные изменения интерфейса можно отнести к категории умышленных уловок (dark pattern (https://en.wikipedia.org/wiki/Dark_pattern)) для введения пользователя в заблуждение и побуждения к выполнению ошибочных действий.
Представители Google объясняют (https://twitter.com/__apf__/status/1043334510824181761) появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним браузером разных людей. По мнению Google привязка учётной записи браузера ко входу на сайты Google позволит избежать случайных утечек данных по недосморту, когда пользователь переподключился к сайту и запустил синхронизацию, не переподключив браузер к другой учётной записи, или когда он завершил сеанс на сайте, забыл отвязать от учётной записи браузер. Привязка работает не только при входе, но и при выходе - завершив сеанс на сайте, автоматически будет завершён сеанс и в браузере. К тому же аналогичная привязка изначально применяется на платформе Android.Проблема не специфична для Chrome и также затрагивает (https://ha.x0r.be/posts/chrome-is-a-google-service/) Chromium, но в его кодовой базе привязка отключена по умолчанию (в настройках не активна опция "chrome://flags#account-consistency", которую также можно использовать для отключения привязки учётных записей в Chrome). Для избавления кодовой базы Chromium от кода для интеграции с сервисами Google сообществом развивается проект Ungoogled Chromium (https://github.com/Eloston/ungoogled-chromium), в котором также реализованы некоторые изменения, направленные на усиление приватности, прозрачности обработки информации и контроля за своими данными. Готовые сборки Ungoogled Chromium формируются (https://ungoogled-software.github.io/ungoogled-chromium-bina... для Linux (Debian, Ubuntu), macOS и Windows.
Основные изменения в Ungoogled Chromium:- Упоминание всех доменов в исходных текстах заменено на несуществующий домен (добавлено окончание qjz9zk);
- Из исходных текстов удалены все бинарные файлы;
- Отключены все функции, привязанные к сервисам Google, такие как Google Host Detector, Google URL Tracker, Google Cloud Messaging и Google Hotwording;
- В качестве поискового движка по умолчанию выбрана заглушка "No Search" (поиск из адресной строки отключен);
- Отключено автоматическое форматирование URL в адресной строке (не скрывается "http://", не убирается "www.", отображаются все параметры запроса);
- В меню "More tools" добавлена кнопка для чистки кэша параметров аутентификации по запросу пользователя;
- Все всплывающие окна принудительно открываются только как новые вкладки;
- Отключен режим "Safe Browsing" так как загружает чёрные списки с серверов Google);
- Отключен детектор проброса на внутренние адреса, используемый для определения web-интерфейсов для подключения к беспроводной сети (отключен так как генерирует внешние DNS-запросы);
- Прекращена поддержка URL-схемы "trk:" (применяется для формирования запросов к сервисам Google);
- Запрещено использование пинга IPv6-адресов для определения доступности IPv6;
- Добавлены новые опции адресной строки и настройки chrome://flags:
- "--disable-beforeunload" - отключение JavaScript-диалогов, выводимых при вызове обработчика закрытия страницы (beforeunload);
- "--extension-mime-request-handling" - изменение методы обработки MIME-типов: download-as-regular-file - всегда сохранять в файл; install-always - запрашивать обработчик из дополнений;- "--fingerprinting-canvas-measuretext-noise", "--fingerprinting-client-rects-nois - добавляют в Canvas::measureText(), getClientRects() и getBoundingClientRect() случайную погрешность в интервале от -0.0003% до 0.0003%;
- "--fingerprinting-canvas-image-data-noise" - вносит незначительные случайные изменения во все Canvas-изображения, больше 10 пикселей для противостояния скрытой идентификации по особенностям отрисовки;
- "--max-connections-per-host" - задаёт лимит на число одновременных соединений с хостом;
- "--set-ipv6-probe-false" - отключает проверку IPv6.
URL: https://news.ycombinator.com/item?id=18053337
Новость: https://www.opennet.me/opennews/art.shtml?num=49323
Прямо слышится хруст металла затягиваемых гаек...
Мы под уютное потрескивание горящей лисы вашего хруста не слышим ;)
Анонимус различает зонды на слух?
Исключительно по запаху!
От мозилловского, ЧСХ, тянет все теми же гугловскими деньгами.
Которые для гугла, может, и не пахнут, однако весь интернет уже провоняли.
"Во всем и-нете пахнет Гуглом", почти по Пелевину.
> Упоминание всех доменов в исходных текстах заменено на несуществующий домен (добавлено окончание qjz9zk)Так весело это, учитывая, что у многих по умолчанию стоит в качестве DNS 8.8.8.8 и google всё равно сможет перенаправить туда запросы на эти фейковые домены
этим многим ungoogled хрениум и не нужен - "у многих стоит по умолчанию единственно-верный браузер, и они счастливы, что гугль все о них знает и им не надо набирать пароль"
>Так весело это, учитывая, что у многих по умолчанию стоит в качестве DNS 8.8.8.8Если кто-то решил утонуть, спасти его уже невозможно. (В. В. Путин).
ПС. Админы, вас что корёжит от цитаты, а? Если человек использует днс 8.8.8.8 то он сам себе дурак. И цитата в тему. Почему коммент трётся?
У кого стоит ? Dns оператор автоматом ставит свой.
Уши надо по утрам мыть. Только что же было: http://www.opennet.me/opennews/art.shtml?num=49315
Мойте ершиком. Может, сможете отличить анонимную телеметрию от принудительного ведения личного профиля.
>анонимнуюВся Мазилла мамой клянется, как можно этим святым людям не верить, да?
Достаточно немного уметь читать буквы.
Телеметрия теоретически может быть использована для нарушения приватности.
Принудительная авторизация и ведение профиля исключают всякую приватность ipso facto.
Мне ***** не нужны ни телеметрия Мурзиллы, ни зонды Гугла.
>Телеметрия теоретически может быть использована для нарушения приватности.А номер и пин кредитки может быть использован для хорошей жизни за чужой счет. Теоретически, да. Именно поэтому в сопроводиловке настоятельно советуют кому попало их не сообщать. Но, видимо, тамошние буквы не относятся к тем немногим, которые ты умеешь читать?
>Принудительная авторизация и ведение профиля исключают всякую приватность ipso facto.
Нарушение приватности подразумевают, что перед тем какая-то приватность таки была. Что совсем не есть факт. Чтоб было более понятно читающим немногие буквы - шлюхy, дающую направо-налево кому попало, нельзя лишить девственности. За неимением оной.
Жаль никто не берётся сделать Unmozilled FireFox... :-(
А как же Pale Moon?
Waterfox
> А как же Pale Moon?Устаревший хлам :-(
Там кодовая база мозиллы 52 ESR версии. И улучшеный движок отрисовки, исправленые годами у мозиллы баги. "Устаревший" там только интерфейс, но австралис тоже мало кому нравится.
> Там кодовая база мозиллы 52 ESR версииНет
52 ESR устаревший, но палемун ещё старее.
О да. Эти вам троян прямо в исполняемый файл засунут, а в случае чего - свалят на MITM.
http://rm-eu.palemoon.org/release/palemoon-28.1.0.
win32.installer.exe
И никаких хеш-сумм на сайте.
Прошу прощения, слепая (_о_). GPG/PGP Signatures и SHA256 есть внизу. Только многие ли будут проверять.
Так вы не пользуйтесь вендой. А на линуксе есть пакеты в репозиториях как официальные так и неофициальные.
тем более если и не умеете. signed binary? Не, не слышали.
И давно он в репозиториях в появился?
https://libreplanet.org/wiki/Group:IceCat/
Не те уже индийские писатели кода, не те.. )
Зачем нам второй Tor Browser?
Разработчики Tor Browser пытаются. Но вообще и ванильный Firefox можно самому собрать без поддержки телеметрии, и/или настроить при помощи user.js.
угу, и завтра внезапно получить таки телеметрию методом https://www.opennet.me/opennews/art.shtml?num=49315 - потому что оно автовсосало аддон, которого не существовало во время когда ты [зачеркнуто] приляпывал к фуфлофоксу чужие патчи, не умея даже толком оценить их смысл. Послезавтра еще что-нибудь изобретут, индусские макаки тyпopылые, зато креативные.успехов тебе в "настройке user.js", после того как тебя в очередной раз повертят на анальном зонде.
и в коллекционировании километровых простыней "что именно надо пооверрайдить в user.js, и где после этого еще что-то сломается" из сомнительных источников, потому что у мурзилы давно уже нет полной и актуальной версии списка преференсов.
> потому что оно автовсосало аддонВ ESR этого нет.
> успехов тебе в "настройке user.js"
Я не говорю, что она решает все проблемы, поэтому и есть Tor Browser.
> у мурзилы давно уже нет полной и актуальной версии списка преференсов.
Нет, но опции сборки вполне полные и актуальные. :-)
> В ESR этого нет.главное ведь - верить?
> Я не говорю, что она решает все проблемы, поэтому и есть Tor Browser.
который тоже никаких проблем не решает, зато ломает "весь интернет"
> Нет, но опции сборки вполне полные и актуальные. :-)
ты явно ни разу в жизни не пытался ее собирать.
(нет, emerge - это не ты, это за тебя)
> главное ведь - верить?А что ты предлагаешь?
> который тоже никаких проблем не решает
Не выдумывай.
> ты явно ни разу в жизни не пытался ее собирать.
Почему?
Кстати, насчет актуальной базы префсов ты не прав, из исходников её можно получить.
> А что ты предлагаешь?расслабиться и получать удовольствие?
судя по дальнейшему - у тебя все равно других вариантов нет.
> Кстати, насчет актуальной базы префсов ты не прав, из исходников её можно получить.
вперед, получай. Не могу пожелать успеха, ибо не очень в него верю (не забудь про hidden, и просто отсутствующие в данной версии, которые заботливо предоставят тебе в следующей), а главное - не забудь придумать потом, что делать с полученной кучей непонятного мусора.
Нынешний Google и так одна большая проблема приватности...
Блокировку Telegram поддерживаете ?
Гугл с ФСБ сотрудничает. "Отчёт о прозрачноти" давно смотрел?
> Блокировку Telegram поддерживаете ?Лично я -- да. Причём в первую очередь из-за публичной двуличности Дурова.
(те, кто верят в бесплатный _и_ приватный мессенджер, за которым стоит лавка в штатах -- как бы это помягче сказать, в моём понимании наивны)
Лол, лавка как раз в России, в Питере в доме Зингера. Называется ООО "Телеграф".
И картинное "бегство" из России и многочисленные лживые заявления Дурова, и, самое главное, комедия с блокировкой в России, - это, по всей видимости, пиар гэбешного хонипота.
По чьей видимости?
Где доказательства?
Когда ж тебя уже забанят за троллинг.
А "закон яровой" ?
> А "закон яровой" ?Не знаю. Виденные пересказы скорее бестолковы, а ознакомиться хотя бы фрагментарно (как вот, скажем, с пресловутым рецептом ассоциации на медленном огне) пока не нашёл времени.
категорически поддерживаю.дуров работает на гэбуху и картинно пиарится в расчете на лохов.
достаточно посмотреть, кто ему деньги давал и дает (прочие можете убедиться сами, кто не в курсе)
Это пиар-кампания фсбшного зонда, а не блокировка. Тебе сколько лет?
Хватит плодить тупые мифы
Типа если Дуров руццкий и чего-то добился, то сразу фсб, кгб, медведь, водка, перестройка?
Доказательства есть?
Подумай, почему не заблокировали приём смсок от телеграма? Может потому, что цель набрать аудиторию, а не разогнать?
Вся Россия видела как они блокировали :)
Смогли?
С приёмом смсок от телеги ни у кого проблем не было.
Погугли "Лейтенант Дуров".
Что за бред ? =)
Это все доказательства ?
Просто поразительно, как диванные криптографы боятся открытого Firefox, но с радостью хавают с лопаты прописанный Telegram.
А вы , в альте, собираетесь делать сборку с стиле ungoogled или у вас считается, что текущая ситуация в плане безопасности нормальной ?
Новый Альт Unalted?
> А вы в альте собираетесь делать сборку с стиле ungoogled [...] ?Кстати, переслал письмо с вопросом нашему майнтейнеру chromium, спасибо.
> или у вас считается, что текущая ситуация в плане безопасности нормальной
Боюсь, _таких_ оптимистов у нас не найдётся (хотя английский хорошо знают многие).
>> А вы в альте собираетесь делать сборку с стиле ungoogled [...] ?
> Кстати, переслал письмо с вопросом нашему майнтейнеру chromium, спасибо.Вот ответ:
---
ungoogled собрать можно, но с ним ситуация такая же как с tor
browser. Это форк, который, я надеюсь, будет синхронизироваться
с апстримом. Поскольку это форк, то неизбежна задержка в релизе,
т.к. им потребуется вычитывать очень много кода. Беда в том,
что неизбежный простой будет ставить пользователей под угрозу,
поскольку с релизом публикуют и исправленные уязвимости.> текущая ситуация в плане безопасности нормальной ?
Да, я считаю это нормальной ситуацией. В хромиум и firefox мы можем
делать лишь локальные изменения, предусмотренные их конфигурацией.Скрытая миграция chromium -> ungoogled chromium недопустима, так как
происходит подмена понятий.
---
> Поскольку это форк, то неизбежна задержка в релизе,т.к. им потребуется вычитывать очень много кода.
Tor Browser релизят одновременно с оригинальным Firefox, а код проверяют одновременно с апстримом.
>> Поскольку это форк, то неизбежна задержка в релизе,
> т.к. им потребуется вычитывать очень много кода.
> Tor Browser релизят одновременно с оригинальным Firefox, а код проверяют одновременно с
> апстримом.Задержка между релизами может быть небольшой если изменений в релизе мозилле было немного. В случае больших изменений нужно время на вычитку нового кода и адаптацию патчей. В противном случае разработчикам форка нужно будет просматривать каждый коммит.
Например анонс Tor Browser 8.0a1 состоялся January 24, 2018 [1]. К сожалению проект не хранит старые версии и нельзя посмотреть на дату публикации сборок. Этот релиз основан на firefox 52.6.0esr, который выложен 19 января [2]. Разумеется в большинстве случаев релиз может выходить день в день, но полагаться на это я бы не стал.
[1] https://blog.torproject.org/tor-browser-80a1-released
[2] https://releases.mozilla.org/pub/firefox/releases/52.6.0esr/
Это альфа версия, а не релиз. Релиз Tor Browser 8.0 был в тот же день что Firefox 60 ESR.
> Это альфа версия, а не релиз. Релиз Tor Browser 8.0 был в
> тот же день что Firefox 60 ESR.Я специально выбрал именно этот пример, чтобы наглядно показать задержку при обновлении на мажорную версию firefox.
К чему этот пример? У вас в Альте альфа версии выпускают в main репозитории? Тогда вопросов не имею.
> К чему этот пример? [...] Тогда вопросов не имею.Редкий пример дисциплинированного анонима -- ничего не понял, чушь какую-то предположил, но хотя бы прекратил глупости спрашивать. Уже хорошо.
> К сожалению проект не хранит старые версии и нельзя посмотреть на дату публикации сборок
Вчитайтесь в моё сообщение. Я говорил, о версии 8.0a1. Вы видите её на https://dist.torproject.org/torbrowser/ ? Если видите, то дайте пожалуйста прямую ссылку.
> Вчитайтесь в моё сообщение. Я говорил, о версии 8.0a1.А нужно говорить о версии 8.0! 8.0a1 - это начальный тестовый альфа-выпуск, который и рассматривать не стоит. От Tor Browser 8.0 там только название, даже версия Firefox другая в качестве базы.
> 8.0a1 - это начальный тестовый альфа-выпуск, который и рассматривать не стоит.Не говорите ерунды. Это первый значительный выпуск. Именно с этого выпуска начинается портирование патчей (я не уверен на 100% т.к. не учавствую в разработке tor browser, но задержка в неделю наводит на эту мысль).
> А нужно говорить о версии 8.0!
А я говорю именно о 8.0a1, а вы говорите о чём хотите. Не нужно мне указывать. Я говорил что проект не хранит старые версии. Вы просили меня прозреть. Версию 8.0a1 вы мне НЕ показали. Теперь вы говорите, что нужно говорить о финальных релизах. Ну хорошо, чтобы я прозрел может вы дадите мне прямую ссылку на сборку 7.0 [1] или 6.0 [2] ?
[1] https://blog.torproject.org/tor-browser-70-released
[2] https://blog.torproject.org/tor-browser-60-releasedЧестно говоря я не понимаю почему вы прицепились к этим моим словам. Я лишь проиллюстрировал, что в разработке такого форка синхронность релизов не гарантирована и может запаздывать. Так как график релизов не определён, то существуют определённые риски для пользователей.
А всё это я упоминал в контексте, что ungoogled chromium как и tor brawser являются форками с крупными изменениями, которые нужно постоянно адаптировать на что уходит время.
Это не значит, что эти проекты нельзя собрать в репозиторий. Это значит, что они не могут заменить firefox и chromium. Если найдётся мантейнер для этих форков, то никто него не остановит.
> или у вас считается, что текущая ситуация в плане безопасности нормальной
И да, я считаю ситуацию с firefox и chromium нормальной ситуацией.
> поскольку с релизом публикуют и исправленные уязвимостиА иногда и новые зонды, которые ungoogled chromium (и другие проекты) могут и не успеть обнаружить.
Хотя и текущие патчи не факт, что все зонды позволяют выпилить.
А что мешает поставлять как хромиум, так и ангуглед хромиум?
Ungoogled можно, но вот товарищу майору отчеты отправляться все равно будут.
Поставил Ungoogled Chromium. Все отлично, кроме расширений как теперь их установить в него?
Пришлось uBlock ставить руками c гитхаба. Если бы это происходило бы автоматом с проверкой обновлений )))
теоретически, можно написать дополнение, которое будет чекать обновления выбранных репов и ставить оттуда автоматически. По факту - без понятия, возможна ли установка одних дополнений через другие в вебэкстеншонах
Не мучаетесь и поставьте Iron. В нём есть возможность запретить все левые соединения. И возможность ставить расширения из стора.
> Не мучаетесь и поставьте Iron. В нём есть возможность запретить все левые
> соединения. И возможность ставить расширения из стора.А что вы думаете по поводу этого?
http://neugierig.org/software/chromium/notes/2009/12/iron.html
и вот этого?
According to Lifehacker, Iron doesn't really offer much you can't get by configuring Google Chrome's privacy settings.[23] According to others, it is scamware or scareware,[24] since the developers bring up non-existent issues about Chrome to claim Iron solves it.[12]
Although SRWare has been claiming "Iron is free and OpenSource",[25] this wasn't true from at least version 6 on until mid 2015, as the links given by them for the source code were hosted in RapidShare and blocked by the uploader.[26][27][28] SRWare Iron "is entirely closed source and has been since at least version 6".[21] According to Lifehacker, as of October 2014 SRWare Iron was "supposedly open source but haven't released their source for years".[23] In 2015, SRWare resumed releasing what they claim is the source code for the browser, although not stating on their page what version the source code is from.[29]
>А что вы думаете по поводу этого?Не вижу проблем в том, что человек зарабатывает на своём продукте. Больше пользователей -> больше денег -> больше шансов, что будут лучше поспевать за апстримом.
>и вот этого?
>configuring Google Chrome's privacy settingsТот же хром ты не заставишь не генерировать уникальный айди при утановке.
Что касается открытия исходников мне от них в данном случае ни холодно ни жарко. Есть - хорошо, нет - ну и ладно.
Тот же хромиум ты не заставишь не отсылать некоторые данные.
Что касается Iron-а, то у него есть настройка в "Iron Config and Backup" - "Enable extended privacy", которая рубит все левые попытки соединения в том числе и обновления расширений. Проверял с помощью wireshark-а.
Что? Приватность? :DD
Так это ж гугл, все что ему надо - отслеживать отслеживать и еще раз отслеживать.
Кого они лечат?
> Кого они лечат?Акционеров!
Их акционЭры - это кк-раз таки те, для кого они и шпионят.
Эх, классику нужно знать: https://youtu.be/MAoSuRYwa20
На удивление полезные "дополнительные" изменения, как раз из-за этого всего ещё и нужен браузер от Мозилла. Что ж, можно пожелать успехов, в свете подобного популярность того упадёт ещё. Пусть дальше скрытые зонды пихают, в конце концов, им за это платят.
>если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записиа если компьютер общий для нескольких человек? (например на работе. Переключаться между профилями не вариант - ниасилят)
Почему — сделал несколько ярлыков, каждому объяснил, где чей :)
Более того, раскраска фона браузера в "свой цвет" - мгновенно вызывает рефлекс привыкания к "своему браузеру" и чужой - "за браузер" уже не считается...
В смысле переключение между профилями виндовс неосилят?Вы там по пояс деревянных что-ли наняли для работы? ну для этого есть внутрикорпоративное обучение... азам компьютерной грамотности по стандарту корпорации...
>а если компьютер общий для нескольких человек?А каждому пользователю своя учётка в ОС?
Дочитайте новость, при закрытие он выходит из учётки.
Нет аккаунтов google, gmail, youtube - нет проблемы
> Нет аккаунтов google, gmail, youtube - нет проблемыНад этим там очень усиленно работают, заодно бесплатно тренируя свои нейросети и потихоньку превращая Интернет в Гуглонет.
> Нет аккаунтов google, gmail, youtube - нет проблемыЭто уже давно одно и то же.
Гугл создаёт аккаунт для тебя если у тебя его нет и всю твою активность за всю жизнь к нему привязывает.
Могёт, так как это его собственность, включая пользователей подписавших agreement.
Отсутствие аккаунта не мешает использовать многие сервисы Google (например, YouTube), а ему это не мешает следить за пользователями.
вовремя я на лису свалилгугл совсем голову потерял
есть всё-таки некоторая разница между "сообщать об отключении телеметрии" и "без спросу совершать действия от моего имени"
что дальше? встроенный в браузер АИ будет от моего имени каменты писать, для большего удобства и приватности?
>встроенный в браузер АИ будет от моего имени каменты писать, для большего удобства и приватности?Вот за это я только за. Как интернеты-то похорошеют!
>Представители Google объясняют появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним браузером разных людейНа этом месте прямо мозг начал взрываться. Этож надо такую лапшу на уши развешивать.
Переходите на surf
Ungoogled Chromium прям няшка, хотеть!
>объясняют появление функции автоподключения к учётной записи заботой о приватности пользователейДа сейчас любой абсурд, творящийся в вебе и смежных с ним областях, объясняется заботой о приватности пользователей. Даже если браузер начнет сливать данные пользователя на китайские сервера, его разработчики будут уверять, что это забота о сохранении приватных данных.
Опекун имеет право делать со своими подопечными что угодно, на то он и опекун убаюкивать бдительность и делать то, что выгодно опекуну. Это отношения отца и ребёнка, главы и подчиненного, хозяина и раба.
Такими отцами должна заниматься ювенальная юстиция, чтобы от нее была бы хоть какая-то польза.
мы и занимаемся - отжимаем у мамаш и отдаем таким отцам (гуглите недавнюю питерскую историю)польза очень даже впечатляющая (в наших карманцах, разумеется)
Вот бы еще они вовремя собирали дистрибутивы, с регулярностью явные проблемы. непонятно кто там следит за секурити обновами например и выкатывает новые версииDebian 9.0 (stretch) amd64 68.0.3440.106-1 69.0.3497.100-1
Portable Linux 64-bit 67.0.3396.87-2 69.0.3497.100-1
macOS 68.0.3440.106-1 (none)
Ubuntu 17.10 (artful) amd64 64.0.3282.186-1 (none)
Ubuntu 18.04 (bionic) amd64 67.0.3396.87-2 69.0.3497.100-1
Ubuntu 16.04 (xenial) amd64 65.0.3325.181-1 (none)
Ubuntu 16.10 (yakkety) amd64 55.0.2883.95-1 (none)
Ubuntu 17.04 (zesty) amd64 57.0.2987.133-1 (none)
Windows 32-bit 55.0.2883.87-1 (none)
Windows 64-bit 67.0.3396.87-3 (none)
Сборки делают волонтеры, а разработку ведут 1,5 "землекопа".
> непонятно кто там следит за секуритиМайнеры биткоинов из комюнити собираю троянеры.
Мой Aurman неосилил собрать это поделие. Жаль , буду сидеть на зонде далее
А бинарную версию не пробовал?
Для каждого члена семьи тащить бинарь на рабочий стол?
"Бинарь" можно и системно установить, а локально - только профили!..
Слишкам сложно, там небось и пермишены нужы специальные и профили PaX/SELinux/AppArmor...
Лучше бы эти черти научились ловить системные вызовы и отключали нахрен свои назойливые Restore Session? после того Винда ребутнулась в свои апдейты, а в Линуксе вообще забыли про это, ибо если Линукс ребутают, значит ТАК НУЖНО.Задрали уже с этим "мы знаем лучше вас что вам нужно".
Еще пару лет, и лучшим браузером станет Wget.
С браузерами ситуация катострофическая, конечно. Слов просто уже нет.Сейчас еще радужные маргетологи из Мурзиллы окончательно Googlefox добьют, - форки даже не на чем делать будет.
Выбрать то нечего, форка и то нормального нет, разве, что Tor Browser, без Tor.
да вы фанаты, истинная приватность во всем неудобная и несовместимая, типа мизантропии, а вы говорите в контексте удобства жизни, которая завязана на такие вещи как идентификация, деанонимизация и контроль
Кто мне здесь доказывал что в Chromium нет зондов? Кто говорил что Chrome и Chromium совершенно разные браузеры в которых кроме движка ничего общего?
В хромиуме зонды просто лучше спрятаны.
Chromium + Adobe Flash + нескучная иконка + антивирус = Chrome. Как ты понял, все зонды идут в хромиум, а в хроме добавляют только проприетарщину от сторонних компаний.
а ведь всего то и нужно что качественно вывести информацию с удаленного сервера на экран компьютера, но нет мы будет десятилетия танцевать с разжиревшими уродами под названием современный веб-браузер смазывая всё это кривым веб-стеком которому уже давно место на помойке
Даешь Netscape!
> Даешь Netscape!чтоб при забытом закрывающем теге показывать пустое место, рендерить простенькую страничку пол-часа, а вместо <> рисовать бнопню?
да, опоздавший родиться, оно вот это все делало. Все пять лет существования полудохлой четвертой версии. У третьей были другие глюки, тоже малоприятные.
А iridium уже всё, не в моде? Или просто nih синдром?
Это тот иридиум который был пойман на отправке инфы к себе на сервера? Уж лучше Google.
Можно подробнее? Кто коммитил? А был ли фикс?
уже сам увидел:> Replace URLs to Google services by URLs to our own server, so as
> to analyze where we still have to patch the browser to make it stop blurting data out. A
> unique hostname is used for easier identification in our webserver logs and source code. This also facilitates
> watching with tcpdump/wireshark a bit, as the DNS queries will stand out.IMHO всё правильно сделали. Доверять-но-*проверять* нам, пользователям, стало легче.
Выше аноним с номером 134 разводит явный, неприкрытый FUD насчёт иридиума. Совпадение? Не думаю.
> А iridium уже всё, не в моде? Или просто nih синдром?Шило на мыло?
https://git.iridiumbrowser.de/cgit.cgi/iridium-browser/commi...
const char kHistoryOAuthScope[] =
- "https://www.googleapis.com/auth/chromesync";
+ "https://trk-138.iridiumbrowser.de/www.googleapis.com/auth/ch...
const char kHistoryQueryHistoryUrl[] =
- "https://history.google.com/history/api/lookup?client=chrome&...
+ "https://trk-139.iridiumbrowser.de/history.google.com/history...
const char kHistoryDeleteHistoryUrl[] =
- "https://history.google.com/history/api/delete?client=chrome&...
+ "https://trk-140.iridiumbrowser.de/history.google.com/history...
const char kHistoryAudioHistoryUrl[] =
"https://history.google.com/history/api/lookup?client=audio&q...
Отставить панику. Читайте коммит-мєссєдж внимательно, и Вайршарк в помощ.
> Отставить панику. Читайте коммит-мєссєдж внимательно,Сам коммит -- нелепая отмазка, особенно при декларируемых целях и хаянии хрома за отсылание данных.
Ладно бы, в дебаг-версии, но в релизе?
И кто мешал показать пользователю заглушку-диалог с предупреждением и запросом разрешения на отсылание данных?> Вайршарк в помощ
Однажды соврамшему веры больше нет.
Ну и http://www.underhanded-c.org/_page_id_17.html вам в помощь.
Там вон даже в сотне строк нормального, рабочего не*овнокода найти (специально встроенную) дырку нелегко, а уж когда этих строк 20 млн …
> И кто мешал показать пользователю заглушку-диалог с предупреждением и запросом разрешения на
> отсылание данных?ты, поскольку не написал код, показывающий заглушку-диалог для браузера, вообще не умеющего показывать модальные диалоги (в гугле долго и старательно ломали этот функционал).
что явно в разы сложнее чем просто поменять гуглоурлы на безобидные.
> Там вон даже в сотне строк нормального, рабочего не*овнокода найти (специально встроенную)
> дырку нелегко, а уж когда этих строк 20 млн …то конечно же надо покорно подставлять анус гуглю для детального изучения, я правильно твою мысль понимаю?
P.S. подумай на досуге, если есть чем, какая польза автору iron от собранного таким образом мусора - при том что у него нет даже описания апи.
>> И кто мешал показать пользователю заглушку-диалог с предупреждением и запросом разрешения на
>> отсылание данных?
> ты, поскольку не написал код, показывающий заглушку-диалог для браузера,Эта отмазка еще нелепее, но да, качественно отвлекает от предыдущего вопроса "напуркуа вообще?".
Да и показать после установки, при первом запуске страничку (к примеру), где описаны все нюансы и запросить разрешения ввиде галочки хотя бы в настройках, не позволяла религия?> что явно в разы сложнее чем просто поменять гуглоурлы на безобидные.
Дарю идею: если заменить на 0.0.0.0 вместо "https://trk-139.iridiumbrowser.de", то всеравно к гуглу нечего не попадет.
Напоминаю для танкистов: все это происходило на фоне показного хаяния хромого и декларирования цели в виде браузера, "не звонящего домой".>> Там вон даже в сотне строк нормального, рабочего не*овнокода найти (специально встроенную)
>> дырку нелегко, а уж когда этих строк 20 млн …
> то конечно же надо покорно подставлять анус гуглю для детального изучения, я правильно твою мысль понимаю?Нет, но передернул удачно. Других браузеров или других проектов по "очистке" хромого ведь немаэ.
Хотя мысли в сторону "подставляния ануса" отдают чем-то эдаким, неправильным … c другой стороны, пользователю десяточки наверное не привыкать, потому и ассоциации такие … нетрадиционные.
> Да и показать после установки, при первом запуске страничку (к примеру), где
> описаны все нюансы и запросить разрешения ввиде галочки хотя бы в
> настройках, не позволяла религия?нет, опять ты - не написал страничку, настройку, не нарисовал галочку.
Это требует значительно больше времени и знаний о потрохах браузера, чем просто поменять url.> Дарю идею: если заменить на 0.0.0.0 вместо "https://trk-139.iridiumbrowser.de", то всеравно
то может оказаться, что не все операционные системы трактуют этот адрес правильно - у кого-то он окажется broadcast. Левый домен, как у ungoogled - кто-то может внезапно поднять у себя, тоже ничуть не лучше и не надежнее.
повторяю - ты совсем-совсем не видишь отличий специального отдельного домена от apis.google.com, еще и защищенного pkp?
> Нет, но передернул удачно. Других браузеров или других проектов по "очистке"
> хромого ведь немаэ.ну, скажем так - даже сегодня (про 2015й замнем уж) эти другие выглядят чудовищно непрофессионально и доверять им особого желания нет.
iron делался (кажется, уже перестал?) за деньги, поэтому там чуть больше шансов, что оно (было) сделано руками.
Но, опять же, доверять никому нельзя (папаше Мюллеру - можно), просто конкретные претензии глуповаты.
> Хотя мысли в сторону "подставляния ануса" отдают чем-то эдаким, неправильным … c
> другой стороны, пользователю десяточки наверное не привыкать, потому и ассоциации такиев десяточке _каждый_ канал утечки информации снабжен выключателем - индивидуальным для каждой программы (заметь, не наоборот). Но корпорация добра, конечно же, гугль, смотри не перепутай.
> нет, опять ты - не написал страничку, настройку, не нарисовал галочку.
> Это требует значительно больше времени и знаний о потрохах браузера, чем просто поменять url.А еще я сам, лично, мешал уведомить об этом пользователей, заставляя все делать втихаря.
Самые честные хотели даже в "Downloads" перед ссылкой на браузер разместить, но я не дал, ибо нефиг!
Да и часовню – тоже я, ага.> то может оказаться, что не все операционные системы трактуют этот адрес правильно
Это какая-то совсем нелепая отмазка. Не нравится -- замени на 127.0.0.1.
> повторяю - ты совсем-совсем не видишь отличий специального отдельного домена от apis.google.com, еще и защищенного pkp?
Повторяю для недогадливых – фантазии и демагогия мне не интересны. Сам придумал, сам и отвечай.
> iron делался (кажется, уже перестал?) за деньги, поэтому там чуть больше шансов,
> что оно (было) сделано руками.
> Но, опять же, доверять никому нельзя (папаше Мюллеру - можно), просто конкретные
> претензии глуповаты.Для любителей чтения между строк:
Претензии даже не столько к замене адреса, сколько в том, что произошло это без каких либо объявлений и объяснений.> в десяточке _каждый_ канал утечки информации снабжен выключателем - индивидуальным для
> каждой программы (заметь, не наоборот).Да-да. Правда, их иногда просто убирают. Нет выключателя -- нет проблемы.
Взять тот же выключатель автоматического поиска всего и вся в бинге/кортане, который исчез после Anniversary Update. Ну да, HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search-что-то-там тоже ведь "переключатель".А чтобы пользователи не скучали -- регулярно все менять:
https://www.ghacks.net/2018/04/07/microsoft-breaks-disable-w.../
> Microsoft broke "disable web search" in Windows 10 version 1803
> In particular, the policy "Do not allow web search" has no effect when enabled on the device. The initial version of Windows 10 combined local search functionality with web search functionality when it came out.Да и регулярные пинки -- суть происки хейтеров:
https://borncity.com/win/2018/03/30/german-authorities-deman.../
> Disabling telemetry seems to stop Windows Updates, which isn’t acceptable.А в остальном, прекрасная маркиза, все хорошо …
> Но корпорация добра, конечно же, гугль, смотри не перепутай.
Опять что-то сам придумал и оспорил.
Кстати, вылезай из криокамеры - девиз гугля уже пару лет как "Do the right thing!"
> А еще я сам, лично, мешал уведомить об этом пользователейо чем именно "этом"? Там туева хуча изменений в разных местах - о каждом уведомлять? И как именно - каждому бумажное письмо прислать (непременно за счет разработчика)?
Вывести перед установкой полный diff и заставить скроллить до конца, пока не появится кнопка next?Извини, но угадать к чему именно засланные казачки докопаются, автор вряд ли мог.
К тому же это все бесполезно - половина пользователей вообще не поймет о чем речь. Половина второй половины поймет неправильно и скосплеит белок-истеричек.
> Это какая-то совсем нелепая отмазка. Не нравится -- замени на 127.0.0.1.
автор заменил на сайты, которые точно не относятся к экосистеме гугля. Мне нравится. Удобно посмотреть, что именно оно попытается слить, удобно заблокировать даже если на самом деле попытается слить что-то важное. Белки-истерички в истерике - это их проблема.
> Претензии даже не столько к замене адреса, сколько в том, что произошло это без каких либо
> объявлений и объяснений.большой красный флаг на границе висит, на каждое изменение не напасешься.
> Взять тот же выключатель автоматического поиска всего и вся в бинге/кортане, который исчез
> после Anniversary Update.только у хомячков. И да, это фича, как и сама картавая, не нравится - ну, походи по базару, поспрашивай, может вон эпл дешевле предложит.
То есть поиск без картавой уже необратимо отстал от жизни и рано или поздно его выпилят и из корпоративной версии - не потому что происки врагов, а потому что ну не нужен он такой, а чинить - не окупится.> Disabling telemetry seems to stop Windows Updates, which isn’t acceptable.
tl;dr - не знаю, что эти жопоручки и как там подизейблили (видимо, поломав, потому что штатно телеметрия в хомверсиях только переводится в basic) - в корпоративной апдейты не ломаются. Ну да, ну да - апдейты идут с sccm/sus, а не с ms непосредственно.
> А в остальном, прекрасная маркиза, все хорошо …
ну в целом, да, не так ужасно, как нам рисуют хейтеры.
то есть что-то где-то как-то у кого-то - ms собирает, иначе картавая и работать не сможет.
но, по крайней мере, пока - в значительно меньшей мере чем всякие там делатели правой рукой или как там этот девиз звучит. И пока прилагают значительные усилия, чтобы пользователь мог этот минимум хоть как-то контролировать, а не спустя шесть версий, ну надо же, можно каждое из стапиццот предустановленных приложений отдельно попросить не слушать микрофон (правда, приложению достаточно объявить себя предназначенным для версии 4, чтобы эти запреты его не касались)
>> А еще я сам, лично, мешал уведомить об этом пользователей
> о чем именно "этом"? Там туева хуча изменений в разных местах -О том, что вместо гуглоадресов были встроенны свои заглушки. Как никак, сам форк именно об этом "Chrome is fast, stable, and user-friendly but does not meet many organizations’ demands for privacy. "
> о каждом уведомлять? И как именно - каждому бумажное письмо прислать (непременно за счет
> Извини, но угадать к чему именно засланные казачки докопаются, автор вряд ли мог.Я и говорю -- отмазки "ас из".
> Мне нравится.
Так бы сразу и сказал, а то развел тут ор и истерику. Ну да, как же так - любимый браузер от честнейших людей оговорить пытаются …
> И да, это фича, как и сама картавая, не нравится - ну, походи по базару, поспрашивай, может вон эпл дешевле предложит. То есть поиск без картавой уже необратимо отстал от жизни и рано или поздно его выпилят и из корпоративной версии - не потому что происки врагов, а потому что ну не нужен он такой,Ну да, если объявить зонд фичей и сделать вид, что все норм, то он перестанет быть зондом. И отключать не надо! Профит!
Правда, оно как-то не согласуется с ранее упомянутым: "в десяточке _каждый_ канал утечки информации снабжен выключателем", ну и фиг с ним.> И пока прилагают значительные усилия, чтобы пользователь мог этот минимум хоть как-то контролировать
Но почему-то только после пинков в СМИ и угроз, например от французов с их CNIL. Совпадения такие совпадения!
> tl;dr
> но, по крайней мере, пока - в значительно меньшей мере чем всякие там делатели правой рукойДай угадаю -- все дело в том, что "тебе нравится", поэтому кто бы что не писал – все будет "божьей росой" или "без этого необратимо отстал от жизни!"?
Или с чего бы в подветке обсуждения "дезондированого" форка гуглобраузера уже второй комментарий о сортахГ^W том, какой МС на самом деле белый и пушистый, потому что гладиолус^W злобный гугол намного злобнее!
> О том, что вместо гуглоадресов были встроенны свои заглушки.почему именно об этом, а не еще о стапицот изменениях, которых ваши белки-истерички не поняли, поэтому и не подняли вой?
> Как никак, сам форк именно об этом
и эти заглушки - одна из попыток уменьшить количество сливаемых данных, в том числе тех, о которых автор форка еще не знает.
> Так бы сразу и сказал, а то развел тут ор и истерику. Ну да, как же так - любимый браузер
это не мой любимый браузер - я не люблю интерфейс хромого и им не пользуюсь без острой необходимости. Мне нравится подход.
> Ну да, если объявить зонд фичей и сделать вид, что все норм, то он перестанет быть зондом.
если каждую фичу, действительно требующую для своей реализации использовать внешние ресурсы, сразу же считать зондом, то жить, действительно, будет сложно.
но, в конце-концов, выключить картавую и сидеть без поиска тебе тоже никто не мешает, она выключается штатным образом. Нештатным восстанавливается локальный поиск, чего никто не обещал.
> Но почему-то только после пинков в СМИ и угроз
ты с гуглеведроидом любимым перепутал, у которого до шестой версии можно было только ознакомиться со списком сливаемого и нажать install - если только гугль или китаец не ознакомились и не нажали до тебя за тебя. У ms с точностью до наоборот - обнаружив, что белки-истерички все равно будут вопить, к creators update некоторые выключатели сделали только для белых или вообще убрали.
в конце-концов, определенная польза от телеметрии есть, нет, не только для шпионажа - см историю с багом мазилы, проявлявшимся только в Бразилии и только в специфическом окружении. (правда, именно после этой истории мазила выпилила крэшрепорт-по-умолчанию)
> Дай угадаю -- все дело в том, что "тебе нравится"
мне когда-то нравился линукс и не нравилась винда. В результате двадцатилетнего пути - линукс ворует мои данные, молча и без предупреждений любого рода. Винда спрашивает, причем до установки а не после того как все слило. Про гугла вообще молчим, поскольку он умудрился объеденить худшее из обоих миров при омерзительном useability, под знаменами корпорации бобра.
да, мне поведение сегодняшней винды нравится больше. Что бы там белки-истерички не верещали.
(и еще там есть божественный йешак, который, вероятно, и правда ничего не сливает. Что толку сливать инфу о том что ни один сайт нормально не работает, даже, afair, opennet ;-)
Вы сами-то хоть проверяли существование этих хостнэймов? Только честно. Я даже не говорю про "вникнуть в тему" уже.
> Вы сами-то хоть проверяли существование этих хостнэймов? Только честно.Вы на патч смотрели? Только честно? Особенно на дату?
> 2014-11-03 10:52:56 +0100
> committer Jan Engelhardt <jengelh@inai.de> 2015-04-09 18:42:18 +0200Сами авторы уверяли, что там только 404, но …
https://news.ycombinator.com/item?id=9483118
"ложечки-то нашлись, но осадочек остался!"
они существуют (существовали, во всяком случае). И предназначены для полезного дела.
Но параноикам никто не может помешать поднять такую зону у себя на хосте и обрабатывать (или игнорировать) самостоятельно - в отличие от apis.google.com
ungoogled-chromium в AUR прям радует.
Для gentoo свежий есть в overlay "stefantalpalaru"
https://data.gpo.zugaina.org/stefantalpalaru/www-client/ungo.../
Google объясняют появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним браузером разных людей
Штоблджад?!!