Google Chrome и автоматическая авторизация пользователя

Браузер ChromeБраузере Google Chrome (на базе Chromium) для визуализации страниц применяет «движок» WebKit. Первая версия для ОС Windows вышла в далеком 11.12.2008, а теперь это один из самых популярных браузеров во всем мире. Скачать можно здесь https://chromeum.ru и заодно почитать обо всех его фишках. Однако недавние новости, которые касаются сохранения конфиденциальных данных юзеров, заставили многих задуматься о его безопасности. Все дело в тайной авторизации.

Дело в том, что в 69-той версии Chrome была включена функция Sync-автоавторизации, согласия на использование которой не запрашивалось. С ее помощью информация со всех сервисов синхронизируется и интегрируется с аккуантом Google (т.е. после авторизации данные попадают на сервер компании). В предыдущих версиях браузера такой фишки не было.

Синхронизация осуществляется по протоколу MS ExchangeActiveSync. Для наглядности: благодаря ней ваш гаджет (мобильный, планшет) посылает оповещения о наличии нового почтового сообщения. Протокол является проприетарным (несвободным, за его использование необходимо производить лицензионные отчисления Microsoft).

Новый механизм синхронизации существует достаточно давно, но раньше он работал без автоматической загрузки данных браузера на сервера компании. Тем не менее, когда подобная инфа поступила в СМИ, многие пользователи продукта начали выражать свое неудовлетворение этим фактом: компания может осуществлять привязку браузера к трафику пользователя, нанося удар по соблюдению приватности.

Новшество было оценено как нарушение пользовательской приватности. Создается впечатление, что Google хочет максимально точно сопоставлять посещенные вами страницы в сети с определенными девайсами. В корпорации это объясняют тем, что данный тип авторизации необходим для безопасности. С ее помощью в совместных гаджетах можно предотвратить такие ситуации, когда информации из браузера одного человека сливается в аккаунт другого.

Однако далеко не всех подобные пояснения удовлетворили. Это связано с тем, что корпорация изначально не обращалась за разрешением на включение этой опции, еще хуже, — сделала это тайком, особо не афишируя. Если человек осуществляет вход в свой профиль Google, происходит авторизация и в других сервисах. При этом корпорация получает как истории просмотра веб-страниц, так и платежную инфу, логины, пароли и др.сведения.

Комания Google

Первым эти нововведения заметил эксперт в области крипты Мэтью Грин. По его словам, при посещении пользователем произвольного сервиса Google:

  • произойдет автоматическая авторизация;
  • данные будут синхронизированы;
  • а также переданы на сервер корпорации;
  • помимо этого, на сервер будет «слита» история посещений, что угрожает конфиденциальности.

Грин объявил, что обновленный интерфейс намеренно дезинформирует пользователей. Исходя из него, непонятно, произошла ли синхронизация данных. При этом осуществляется автоматическая отправка информации в корпоративный сервер. В первых версиях браузера имелась возможность доступа к информации без входа в пользовательский аккаунт. Таким образом, пользователи не переживали о попадании просмотренных ими данных на серверы Google. Естественно, в таком случае информация могла появиться там лишь при входе в свою учетную запись, т.е. после подтверждения соглашения на «синхронизацию данных» между браузером и другими сервисами.

Позже компания Google призналась, что действительно 69-тая версия Google Chrome осуществляет авторизацию на автомате и несанкционированно. Но дабы успокоить многих своих поклонников и не заставлять их использовать старые версии браузера, она пообещала добавить в следующем релизе возможность отключать автоматическую авторизацию. Спустя много месяцев после этого инцидента Chrome все еще занимает лидирующие позиции на рынке браузеров, и эта история не испортила его репутацию.