Мэттью Грин (Matthew Green (https://en.wikipedia.org/wiki/Matthew_D._Green)), инициатор аудита OpenVPN, TrueCrypt, один из создателей Zerocoin (https://www.opennet.ru/opennews/art.shtml?num=43707) и участник групп, обнаруживших уязвимости RSA BSafe (https://www.opennet.ru/opennews/art.shtml?num=39446), Dual_EC_DRBG (https://www.opennet.ru/opennews/art.shtml?num=38768), Speedpass и EZpass, попытался привлечь (https://blog.cryptographyengineering.com/2018/09/23/why-im-l... внимание общественности на возможны проблемы с приватностью из-за внедрение в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 (https://www.opennet.ru/opennews/art.shtml?num=49227) унифицировано подключение браузера и сайтов Google к учётной записи. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет. Авторизоваться на сайтах Google без автоматического входа в Chrome теперь не получится.

Проблема состоит в том, что подключение браузера к учётной записи обычно используется для организации синхронизации между разными экземплярами браузера. Т.е. при входе на сайт Google учётная запись помимо специфичных для сервисов Google данных теперь охватывает (https://www.google.com/chrome/privacy/#more-info) все информационные базы браузера, включая настройки, список установленных дополнений, содержимое закладок, сайты в открытых вкладках, историю посещений, базу автодополнения ввода и сохранённые пароли.

В настоящее время реализованный автоматический вход по умолчанию не активирует (https://twitter.com/__apf__/status/1043524583381295105) синхронизацию, но никто не может гарантировать, что в будущих версиях настройки не изменятся и информационные базы браузера не начнут зеркалироваться на серверах Google. Более того, в числе изменений интерфейса Chrome 69 предложен новый индикатор входа, который  даёт возможность одним кликом инициировать синхронизацию данных, но при этом не позволяет однозначно определить выполнен ли вход. Расположение индикатора не исключает ситуации, когда пользователь может случайно нажать на кнопку и запустить процесс отправки браузерных БД на серверы Google. По мнению Мэттью Грина подобные изменения интерфейса можно отнести к категории умышленных уловок (dark pattern (https://en.wikipedia.org/wiki/Dark_pattern))  для введения пользователя в заблуждение и побуждения к выполнению ошибочных действий.

Представители Google объясняют (https://twitter.com/__apf__/status/1043334510824181761) появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним  браузером разных людей. По мнению Google привязка учётной записи браузера ко входу на сайты Google позволит избежать случайных утечек данных по недосморту, когда пользователь переподключился к сайту и запустил синхронизацию, не переподключив браузер к другой учётной записи, или когда он завершил сеанс на сайте, забыл отвязать от учётной записи браузер. Привязка работает не только при входе, но и при выходе - завершив сеанс на сайте, автоматически будет завершён сеанс и в браузере. К тому же аналогичная привязка изначально применяется на платформе Android.

Проблема не специфична для Chrome и также затрагивает (https://ha.x0r.be/posts/chrome-is-a-google-service/) Chromium, но в его кодовой базе привязка отключена  по умолчанию (в настройках не активна опция "chrome://flags#account-consistency", которую также можно использовать для отключения привязки учётных записей в Chrome). Для избавления кодовой базы Chromium от кода для интеграции с сервисами Google сообществом развивается проект Ungoogled Chromium (https://github.com/Eloston/ungoogled-chromium), в котором также реализованы некоторые изменения, направленные на усиление приватности, прозрачности обработки информации и контроля за своими данными. Готовые сборки Ungoogled Chromium формируются (https://ungoogled-software.github.io/ungoogled-chromium-bina... для Linux (Debian, Ubuntu), macOS и Windows.

Основные изменения в Ungoogled Chromium:

-  Упоминание всех доменов в исходных текстах заменено на несуществующий домен (добавлено окончание qjz9zk);
-  Из исходных текстов удалены все бинарные файлы;
-  Отключены все функции, привязанные к сервисам Google, такие как Google Host Detector, Google URL Tracker, Google Cloud Messaging и Google Hotwording;
-  В качестве поискового движка по умолчанию выбрана заглушка "No Search" (поиск из адресной строки отключен);
-  Отключено автоматическое форматирование URL в адресной строке  (не скрывается "http://", не убирается "www.", отображаются все параметры запроса);
-  В меню "More tools" добавлена кнопка для чистки кэша параметров аутентификации по запросу пользователя;
-  Все всплывающие окна принудительно открываются только как новые вкладки;
-  Отключен режим "Safe Browsing" так как загружает чёрные списки с серверов Google);
-  Отключен детектор проброса на внутренние адреса, используемый для определения web-интерфейсов для подключения к беспроводной сети (отключен так как генерирует внешние DNS-запросы);
-  Прекращена поддержка URL-схемы "trk:" (применяется для формирования запросов к сервисам Google);
-  Запрещено использование пинга IPv6-адресов для определения доступности IPv6;
-  Добавлены новые опции адресной строки и настройки chrome://flags:

-  "--disable-beforeunload" - отключение JavaScript-диалогов, выводимых при вызове обработчика закрытия страницы (beforeunload);
-   "--extension-mime-request-handling" - изменение методы обработки MIME-типов: download-as-regular-file - всегда сохранять в файл; install-always - запрашивать обработчик из дополнений;

-  "--fingerprinting-canvas-measuretext-noise", "--fingerprinting-client-rects-nois - добавляют в  Canvas::measureText(), getClientRects() и getBoundingClientRect()  случайную погрешность в интервале от -0.0003%  до 0.0003%;

-  "--fingerprinting-canvas-image-data-noise" - вносит незначительные случайные изменения во все Canvas-изображения, больше 10 пикселей для противостояния скрытой идентификации по особенностям отрисовки;

-  "--max-connections-per-host" - задаёт лимит на число одновременных соединений с хостом;
-  "--set-ipv6-probe-false" - отключает проверку  IPv6.

URL: https://news.ycombinator.com/item?id=18053337
Новость: https://www.opennet.ru/opennews/art.shtml?num=49323