Názory k článku
Novinka v Google Chrome 80 vzbuzuje obavy o soukromí
-
KateStříbrný podporovatelNeodesílá. Ten teoretický útok, pokud to chápu dobře, spočívá v tom, že pokud znám layout cílové stránky (a ten takový útok umožňuje) a mám přístup k DNS, můžu poznat jestli stránka odscrollovala k určitému keywordu nebo ne podle toho, co si prohlížeč dodatečně načte na zdroje (https://web.dev/native-lazy-loading/ nebo nějaký JS)
Takže hodně teoretická záležitost.
-
Soudím, že nikoliv.
V tom příkladu je odkaz na externí stránku - takže tam se DNS odkaz odesílá. (Ale to by stejně fungovalo i bez onoho vyhledávání v textu).
A pokud se nemýlím, tak pohyb uvnitř dokumentu se nikam přímo neposílá, ale bude to vidět v hlavičce příštího reqestu jako referrer. (Ale to jsem nezkusil, nemám teď na to kdy.) -
KateStříbrný podporovatel
Ach jo… už jen ten lazy loading který jsem odkázala je případ, kdy pohyb uvnitř dokumentu posílá dotazy na DNS, protože donačítá resources.
Jinak z původního příspěvku:„For example: Consider a situation where I can view DNS traffic (e.g. company network), and I send a link to the company health portal, with #:~:text=cancer. On certain page layouts, i might be able tell if the employee has cancer by looking for lower-on-the-page resources being requested“
-
Tady už se možná řeší trochu extrémní situace. Dalo by se tomu zabránit technikou, ale v reálném životě je riziko minimální a celková prevence nemožná. Kromě DNS ví o tom, co děláme i prohlížeč, i antivirus, i scripty na stránce, i provozovatel webu, i můj proxy server (ve firmách). Vidí to spolupracovník u vedlejšího stolu. V metru mi do mobilu kouká spousta lidí.
Mně by třeba přišlo rozumným řešením tuto feature vypnout v anonymním režimu, kam patří nastavení i pro nepravděpodobné situace.
-
BobTheBuilderStříbrný podporovatelMožná mi něco zásadního uniklo, ale jak se vlastně navenek liší #:~:text=cancer od URL bez # a následně ctrl-fcancer? DNS o ničem neví, server snad taky to za # ani nedostane.
-
Filip JirsákStříbrný podporovatelBobTheBuilder: Neliší se to nijak. Rozdíl je v tom, že to Ctrl+F musí udělat uživatel ručně, kdežto po kliknutí na ten odkaz to za něj udělá prohlížeč, takže uživatel nestihne ničemu zabránit. Jinak tahle kotva má přesně to Ctrl+F nahradit – je to pro případy, když v cílovém dokumentu kotva chybí a vy byste uživatele odkazoval způsobem „najdete to na téhle stránce, dejte si vyhledat třeba XY“. Určitě jste už takový odkaz někdy použil.
-
BobTheBuilderStříbrný podporovatel
No právě, někdy je docela problém cpát kotvy do cílové stránky a hlavně je udržovat při změnách. Tohle se mi zdálo jako docela dobrý nápad.
Takže to nakonec vypadá spíš jako Eichův anti-google FUD a pokus o PR pro Brave. -
Filip JirsákStříbrný podporovatel
Souhlasím, už když jsem četl o návrhu téhle funkce, připadalo mi to jako dobrý nápad. Že je Peter Snyder z Brave jsem nevěděl, pak to celé dává smysl, přesně jak píšete.
-
BobTheBuilderStříbrný podporovatel
Ano, je: https://www.peteresnyder.com/
Ale aspoň se to pořádně prodiskutuje, jestli v tom přece jen není zakopaný nějaký pes. Pokud ne, tak by tahle aférka nakonec celé věci mohla paradoxně pomoct na svět.24. 2. 2020, 20:27 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Což ale vyžaduje, že ten zdroj dole na stránce musí být z jiné domény, z takové domény, kterou prohlížeč nemá nakešovanou, a nesmí ta doména být ve stránce uvedená pro prefetching. Navíc se to celé přeloží i v případě, kdy uživatel následně odskroluje dolů ručně. Daleko jednodušší, než přístup k DNS logům, by byl přístup k logům webového serveru, kde by mohlo být vidět přímo stažení toho konkrétního zdroje (odpadají tedy „problémy“ s kešováním DNS).
Nicméně kdo má přístup k těmhle logům, dokáže asi zjistit mnohem zajímavější věci. -
KateStříbrný podporovatel
Však nijak neříkám že to má smysl řešit, jen jsem upřesnila že nejde o to že by si někdo myslel, že se anchor posílá ven. Ano, je to blbost a snaha kopnout si do konkurence. S Chrome bych měla mraky problémů, ale tohle opravdu není jeden z nich.
