Nowe Google Chrome wprowadza kontrowersyjną funkcję zagrażającą prywatności

Maciej Olanicki , 24.02.2020 r.
chrome

Wydany na początku miesiąca Google Chrome 80 przyniósł sporo nowości jak na tę przeglądarkę. Wprowadzone zostały między innymi zmiany w obsłudze ciasteczek oraz inteligentna blokada wyświetlania powiadomień. Dopiero po czasie zorientowano się, że Chrome 80 przyniósł jeszcze jedną ważną nowość, która jest zarazem niezwykle przydatna, ale też może służyć nadużyciom w kwestii prywatności. Pokazuje ona także, jak wielką władzę ma dziś Google w procesie kształtowania Sieci.

Zobacz też: Nadchodzi koniec adresów stron w Chrome. Wiadomo już, czym Google je zastąpi

Nowa kontrowersyjna funkcja nosi nazwę Scroll To The Text Fragment i jest w Chrome 80 domyślnie włączona. Umożliwia ona uruchamianie linków, które prowadzą nie tylko do strony, ale do konkretnego fragmentu na stronie. Oczywiście podobne możliwości były już wcześniej dostępne dzięki właściwościom HTML-a. Z tą różnicą jednak, że w przypadku HTML-a to webdeveloper strony musiał najpierw oznaczyć obiekt, do którego mógł potem odsyłać link. W Scroll To The Text takiego wymogu nie ma.

Dzięki funkcji Scroll To The Text odsyłać do konkretnego miejsca na stronie można poprzez odpowiednią modyfikację linka. Może on mieć następującą strukturę: https://www.strona..pl/#:~:text=słowo. Tak przygotowany adres nie tylko wyświetli stronę, ale też przeszuka ją pod kątem występowania konkretnego słowa, a następnie przeniesie użytkownika do tego słowa. Jak widać, nowość jest więc bardzo przydatna i ułatwia dzielenie się informacjami. Problem w tym, że może też służyć nadużyciom. W części przypadków pozwala bowiem sprawdzić, czy dane słowo w ogóle na stronie występuje. Przykładem takiego nadużycia podzielił się Peter Synder, zajmujący się kwestiami prywatności w przeglądarce Brave:

Wyobraźmy sobie sytuację, gdzie mogę przeglądać ruch DNS (np. w firmowej sieci) (sic!) i przesyłam link do firmowego serwisu dotyczącego ubezpieczeń zdrowotnych link z parametrem #:~:text=nowotwór. W przypadku niektórych układów stron będę w stanie stwierdzić, czy dan pracownik cierpi na nowotwór, sprawdzając, czy otrzymuje odpowiedź na żądaną frazę.

Oczywiście podobnych przypadków jest znacznie więcej i nietrudno sobie wyobrazić sytuację, w której funkcja Scroll To The Text może pozwolić identyfikować sytuacje, kiedy użytkownik odwiedza na przykład serwis bankowości internetowej. Nowość w Chrome może być także przy odrobinie wyobraźni potężnym narzędziem w atakach typy cross-site scripting. Nic zatem dziwnego, że jej implementacja w aktualnej postaci wzbudziła sporo sprzeciwu, zwłaszcza jeśli weźmiemy pod uwagę sposób, w jaki nowość trafiła do stabilnej wersji Chrome’a.

Zobacz też: Chrome uniemożliwi pobieranie plików z nieszyfrowanych hostów

Było to możliwe dzięki Web Platform Incubator Community Group działającej przy W3C i zrzeszającej najważniejszych internetowych graczy, m.in. Microsoft czy Adobe. Niestety, miażdżącą większość głosów w grupie ma Google, które może dzięki temu w praktyce samodzielnie decydować, co staje się nowym przeglądarkowym standardem, a co nie. W ten sposób, przy licznym (ale nie wystarczająco licznym) sprzeciwie do stabilnego wydania Chrome’a trafiła funkcja niezwykle przydatna, ale w aktualne kształcie także potencjalnie niebezpieczna.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: