Pytanie:
Co powstrzymuje Google przed zapisaniem wszystkich informacji na moim komputerze za pośrednictwem przeglądarki Google Chrome?
Pro Q
2018-06-11 20:34:05 UTC
view on stackexchange narkive permalink

Zauważyłem, że w Google Chrome po wpisaniu file: /// C: / Users / MyUsername / Desktop / w przeglądarce są wyświetlane wszystkie foldery na moim pulpicie i mogę pisać otwierać pliki PDF itp. w przeglądarce Chrome po prostu wpisując ścieżkę do pliku.

Jakie procesy i systemy są stosowane, aby Google nie mógł kopiować danych przechowywanych na moim komputerze? Jakie procesy i systemy są stosowane, aby ktoś, kto pisze rozszerzenie do Chrome, nie mógł kopiować plików przechowywanych na moim komputerze?

Czy w ogóle wiedzielibyśmy, gdyby Google zaczął tu i ówdzie pobierać małe informacje z naszych komputerów?Czy już są?
Może być zainteresowany poczytaniem o [Qubes OS] (https://en.wikipedia.org/wiki/Qubes_OS).Bardziej praktycznym obejściem może być zainstalowanie przeglądarki internetowej w wirtualnym pudełku, np.w Hyper-V w systemie Windows 10.
Nie sądzę, żeby to ograniczało się do chrome, prawie każda przeglądarka internetowa może zrobić to samo ... file: /// po prostu mówi, że URI jest lokalny dla komputera, na którym jest zainstalowany.
@aslum Zgoda, Chrome był tylko moim przykładem.W odpowiedziach i innych [komentarzach] (https://security.stackexchange.com/questions/187556/what-stops-google-from-saving-all-the-information-on-my-computer?noredirect=1#comment368741_187558) wygląda na to, że nie ogranicza się nawet do przeglądarek internetowych.
@ProQ zwięzła odpowiedź, która nie jest odpowiedzią, brzmi: To samo, co powstrzymuje inny program przed zrobieniem tego: gdyby tak było, szybko stałoby się znane jako złośliwe oprogramowanie / wirus i blokowane przez programy antywirusowe.
@aslum Chrome już [został przyłapany na skanowaniu plików] (https://www.engadget.com/2018/04/07/chrome-cleanup-download-scan/).Ale nie wiem, czy większości ludzi naprawdę to obchodzi.
Przechowywanie zawartości każdego dysku twardego zajęłoby dużo miejsca i kosztowałoby dużo pieniędzy ... a jeśli w ogóle, co by na tym zyskali?Czy podstawowy sens biznesowy i chęć uniknięcia wyrzucenia z życia kwalifikują się jako proces i systemy?
powiązany xkcd: https://xkcd.com/1200/
Wiadomości flash: każdy exe (nie tylko Chrome lub inne przeglądarki) ma w zasadzie nieograniczony dostęp do twojego komputera.Mogą również łączyć się z innymi komputerami w sieci lokalnej (lub Internecie).Myślałem, że to powszechna wiedza.
@gre_gor Niezbyt powszechna wiedza.Planuję studiować informatykę i nie miałem pojęcia, że to możliwe.Zakładałem, że wszystko jest domyślnie w piaskownicy.Rozmawiałem z tatą o tym pytaniu i dowiedziałem się o połączeniu z siecią lokalną.(Gdybyś mógł podać link na temat tego, jak działa to połączenie, byłoby wspaniale.) Myślę, że w dzisiejszych czasach wiedza komputerowa jest nauczana na zupełnie innym poziomie i bardzo niewiele osób wie, że tak właśnie działa.(Włączono mnie, dopóki nie zapytałem.)
@Nat To naprawdę brzmi jak błąd, jeśli już pobrałeś pliki przez Chrome, to mógł je zbadać podczas zapisywania na dysku twardym, nie miałoby to większego sensu z perspektywy szpiegowskiej, aby zrobić to później.
@MrLore przeglądał pliki, które nie miały nic wspólnego z Chrome (nawet nie zostały pobrane za pomocą Chrome).Nadal uważam, że to był błąd, ale dziwny przykład, który całkiem dobrze pasuje do tego pytania.
Na marginesie, Windows, Word, Excel, Paint, Freecell i World of Warcraft mogą skanować twoje pliki i wprowadzać zmiany na twoim komputerze w sposób współmierny do twoich uprawnień użytkownika.Chrome nie jest inny.To tylko kolejny program.
@Pro Q Sandboxing jest rzeczą związaną z niektórymi * urządzeniami mobilnymi * oraz aplikacjami komputerowymi, które używają nienatywnej struktury, takiej jak Java, oraz ze specjalnymi konfiguracjami systemu operacyjnego (np. Linux z apparmor).Plik .exe (lub .scr lub .dll) na komputerze z systemem Windows lub serwerze jest ograniczony tylko przez uprawnienia użytkownika i UAC.
W rzeczywistości Google już wystarczająco dużo o Tobie (nas) wie, ponieważ śledzi każdy kliknięty link w wyszukiwarce Google.W dzisiejszych czasach to prawie wszystko, czego potrzebujesz, ponieważ wiele osób nie wpisuje już adresu witryny, ale szuka go w Google.Zwykle mają również wszystkie adresy e-mail (i zwykle numery telefonów) Twoich kontaktów, skanują treść Twojej wiadomości e-mail, dzięki czemu wiedzą zarówno o Tobie, jak i nadawcy / odbiorcy wiadomości e-mail, wiedzą, którafilmy, które oglądasz i tak dalej.Kopiowanie danych na komputer nie będzie warte wysiłku.
Nawiasem mówiąc, dostępnych jest wiele narzędzi (choć niekoniecznie w pobliżu bezpłatnych) do analizowania, do czego służy aplikacja - gdyby Chrome uzyskiwał dostęp do treści, których nie można było oczekiwać, a następnie wykonywał transfery siecioweporównywalnej wielkości, nie jest to trudny wzorzec do wykrycia na podstawie raportów z punktów końcowych, że każda duża korporacja z dużym budżetem na zabezpieczenia wdroży w swojej infrastrukturze.
Jeśli potrzebujesz większego bezpieczeństwa, zazwyczaj uruchamiasz programy na maszynie wirtualnej, tak że nie mają one dostępu do „zewnętrznego” systemu.
Jeśli nie ufasz wydawcy oprogramowania, nie instaluj jego oprogramowania na swoim komputerze.
Zgadzam się z @gre_gor, że powszechnie wiadomo, że natywne oprogramowanie komputerowe, które normalnie uruchamiasz, ma te same uprawnienia, co przeglądarka plików.Właściwie to pytanie jest cholernie głupie.Głosowano w dół.
KAŻDA przeglądarka to zrobi, chociaż sposób wyświetlania danych będzie inny.Pulpit to tylko katalog na dysku twardym, a przeglądarki mogą je zobaczyć i wyświetlić, zawsze były w stanie to zrobić.
Dziewięć odpowiedzi:
Arminius
2018-06-11 20:51:25 UTC
view on stackexchange narkive permalink

Jakie procesy i systemy są stosowane, aby firma Google nie mogła skopiować danych z mojego komputera?

Brak. Google Chrome zwykle działa z uprawnieniami konta użytkownika. Aplikacja może następnie odczytywać i modyfikować pliki lokalne w takim samym zakresie, w jakim jest to możliwe na koncie użytkownika. (Te uprawnienia dotyczą większości programów, z których korzystasz). Musisz więc zaufać Google, ponieważ nie wysyłają one złośliwej aktualizacji, która Cię szpieguje, ani nie uniemożliwiają dostępu do poufnych plików dla konta, na którym używasz przeglądarki. z. Alternatywnie, najprawdopodobniej istnieją implementacje piaskownicy dla Twojego systemu operacyjnego, które pozwalają uruchamiać Chrome w izolowanym środowisku z ograniczonym dostępem do systemu plików.

Jakie procesy i systemy znajdują się w miejsce, aby ktoś, kto pisze rozszerzenie do Chrome, nie mógł kopiować plików na mój komputer?

Rozszerzenia Chrome mają domyślnie ograniczone uprawnienia. Rozszerzenie musi wyraźnie zażądać (zadeklarować) pozwolenie na interakcję z dokumentami w schemacie file: // .

Pamiętaj też, że Twoja przeglądarka nie zezwala zwykłe witryny internetowe do odczytu lub nawet przekierowania do identyfikatorów URI file: // . Więc chociaż Twoje pliki lokalne są dostępne dla procesu Chrome, nie są one widoczne w sieci.

Jak mam się postarać, aby pliki były niedostępne dla konta, którego używam do uruchomienia przeglądarki?
@ProQ To zależy od mechanizmów kontroli dostępu Twojego systemu operacyjnego.Mówiąc najprościej, masz osobne konto i ustaw uprawnienia do poufnych plików, aby inni użytkownicy nie mieli do nich dostępu.
Dzięki temu, że Chrome może uzyskać dostęp do dysku twardego, możesz przesyłać pliki, przeciągając i upuszczając nazwę pliku w oknie strony internetowej.„Musisz ufać Google, że nie wysyłają złośliwych aktualizacji, które Cię szpiegują” lub mają luki, które można wykorzystać.
@Arminius wow, dlaczego nie jest to znane wielu innym?Wiedziałem, że Google wie rzeczy, ale to zupełnie nowy poziom.
Dotyczy to również prawie każdego innego oprogramowania uruchamianego na komputerze.Tylko dlatego, że nie ujawnia funkcji przeglądania "file: //", twojego odtwarzacza muzyki, odtwarzacza wideo, twoich gier Steam ... którekolwiek lub wszystkie z nich są "zaufane", aby nie skanować twoich rzeczy i nie logować ich.To nie jest tylko kwestia „google”.
@watchme - Nie łącz Google z Chrome.* Twoja * przeglądarka znajdująca się w * Twoim * systemie może uzyskać dostęp do Twoich plików.Ale (pomijając wszystko, co złośliwe) samo Google nie ma dostępu do żadnego z nich.
@Bobson Cóż, „wykluczenie czegokolwiek złośliwego” w pewnym sensie omija sedno pytania.
„Zwykłe witryny internetowe nigdy nie mogą czytać, ani nawet umieszczać linków do file: // URI” - oczywiście żaden standard (HTML) nie zabrania stronie internetowej zawierać sekwencji znaków `
@DavidZ zwłaszcza, że motto Google Code of Conduct nie brzmi już „Don't be evil”....
@JesseM Czasami to zaufanie jest nadużywane.Jest twórca wtyczki Flight Sim, który wielokrotnie był przyłapany na instalowaniu oprogramowania do kradzieży haseł i złośliwego oprogramowania obok oprogramowania, rzekomo w celu zwalczania piractwa.
@BruceWayne Czekaj, poważnie?To trochę [niepokojące] (https://en.wikipedia.org/wiki/Warrant_canary).
@JesseM - Chociaż „dotyczy to również prawie każdego innego oprogramowania, które uruchamiasz”, możesz blokować transfer danych za pomocą białych list wychodzących zapór ogniowych.Co nie jest czymś, co możesz zrobić w przeglądarce internetowej (bez utraty całej jej funkcjonalności).
@BruceWayne & Nat: Rozumiem, że ten dostawca, choć zabawny dodatek, który kilka dzieciaków z college'u zdecydowało się dodać do swojej firmy, nie ma zbyt dużego statusu prawnego („zło” nie jest terminem prawnym), a jego włączenie stało sięrosnące zainteresowanie tym samym sposobem.tj. czy Chrome w wersji 66.6r ... będzie uważany za zły?Nie dla większości, ale niektórzy mogą mieć problem.Nie chodzi o to, co uważamy za wielkie zło, ale o uciążliwość powodowaną przez różne koncepcje zła dla każdej osoby.
Nie jestem pewien, skąd ta historia „nie bądź zły nie jest już mottem Google”, @BruceWayne.Po prostu otwórz ich [Kodeks postępowania] (https://abc.xyz/investor/other/google-code-of-conduct.html).Wciąż tam jest, na samym dole.
@Bobson Właściwie, Chrome dla Windows aktywnie skanuje twój komputer i wysyła informacje o podejrzanych plikach do Google (i jak przypuszczam ESET).Tak więc, przy takiej liczbie zamówień ze statku-matki, trudno nie zakładać, że wszystko, czego Google zażąda od twojego komputera, dostarczy Chrome.
@Justastudent Oni [usunęli większość odniesień do niego] (https://gizmodo.com/google-removes-nearly-all-mentions-of-dont-be-evil-from-1826153393), z wyjątkiem tego jednego na dole.
@NigelTouch "_Możesz zablokować transfer danych za pomocą białych list zapory wychodzącej_" Ale wtedy program mógłby po prostu użyć zainstalowanego agenta poczty do wysłania informacji w postaci załączonego pliku na jakiś adres.Lub jeśli nie zostanie znaleziony taki agent, otwórz przeglądarkę i plik w usłudze udostępniania plików.Może to być nieco bardziej skomplikowane, ale niewiele.(Może być nawet łatwiejsze, jeśli nie wiesz, jak używać interfejsu API gniazda, ale wiesz, jak uruchamiać inne programy i współpracować z nimi).
Rory McCune
2018-06-11 20:51:02 UTC
view on stackexchange narkive permalink

Oprogramowanie poza piaskownicą działające na komputerze PC / Mac ma (ogólnie) te same uprawnienia, co użytkownik go uruchamiający, a zatem może uzyskać dostęp do wszelkich danych, do których użytkownik ma dostęp.

Ufasz Google (i jakikolwiek inny dostawca oprogramowania, którego kod wykonujesz), aby nie robił nic złośliwego w związku z tym dostępem.

Jeśli nie ufasz Google, jedyną opcją, jaką masz jako zwykły użytkownik oprogramowania, jest powstrzymanie się od uruchamiania ich kod.

Sytuacja z rozszerzeniami Chrome jest nieco inna. Google nakłada ograniczenia na to, co jest w stanie zrobić dostawca rozszerzenia, a kiedy instalujesz rozszerzenie, poinformuje Cię, jakie uprawnienia mu nadajesz.

Oczywiście nadal ufasz Google, że poprawnie zakodował te ograniczenia, i nadal potencjalnie ufasz autorom rozszerzeń z niektórymi uprawnieniami, które mogą zostać użyte do podjęcia złośliwych działań.

Jeśli rozważasz wdrożenie prostych środków piaskownicy (np. Uruchamianie Chrome z innym kontem użytkownika lub na maszynie wirtualnej lub szyfrowanie krytycznych plików i nie otwieranie ich podczas działania Chrome) poza zakresem dla „zwykłego użytkownika”, tak.
Możesz także uruchomić otwarty odpowiednik Chrome, Chromium.
@NonnyMoose Jeśli masz automatyczne aktualizacje, nie ma znaczenia, czy skompilowałeś jedną wersję ze źródła, ponieważ system aktualizacji z natury ufa podpisowi dostawcy (zakładając, że system jest poprawnie zaprojektowany), a podpisujący może sprawić, że pobierzesz i uruchomisz dowolnąkod, który sobie życzy.
Spodziewałbym się podpowiedzi „uruchom przeglądarkę w bezpiecznym kontenerze” zamiast „Jeśli nie ufasz Google, jedyną opcją, którą możesz wybrać jako zwykły użytkownik oprogramowania, jest nie uruchamianie jego kodu”.- czy też przeglądarka w kontenerze nie zapewniłaby odpowiednio bezpiecznego oddzielenia systemu operacyjnego od programu (zakładając poprawną konfigurację kontenera)?A może właśnie to „bez piaskownicy” miało wykluczać?(co uczyniłoby ten komentarz zbędnym hałasem).
@e-sushi Bezpieczny kontener wygląda jak opis „piaskownicy”.
TBH Utrzymywałem tę odpowiedź na poziomie zwykłego użytkownika komputera, zamiast zagłębiać się w techniczne szczegóły możliwych środków zaradczych.Jeśli chcesz uzyskać informacje techniczne, możesz zrobić mnóstwo rzeczy, od maszyn wirtualnych, przez kontenery po określony system operacyjny, taki jak Tails.Chociaż wszystko, co zostało powiedziane, za każdym razem, gdy to robisz, dodajesz nowy zestaw zaufanych stron (osób, które piszą oprogramowanie izolujące) do swojej listy :)
mattdm
2018-06-11 23:26:22 UTC
view on stackexchange narkive permalink

Jeśli używasz dystrybucji Linuksa z SELinuksem, możesz mieć dodatkową warstwę bezpieczeństwa. SELinux to technologia na poziomie systemu operacyjnego, która pozwala na ścisłe ograniczenia dotyczące procesów - takich jak proces przeglądarki - mogą uzyskać dostęp. W rzeczywistości w Fedorze i Red Hat Enterprise Linux (zastrzeżenie: pracuję dla Red Hata, w Fedorze!), Domyślnie występuje lekkie ograniczenie dla przeglądarek Firefox i Chrome. Okazuje się, że jest to trudne i niewygodne, aby uczynić to bardziej rygorystycznym dla większości użytkowników - zobacz ten wpis na blogu autorstwa guru SELinux, Dana Walsha, aby dowiedzieć się więcej.

Ogólnie trwają prace nad Linuksem. aby uruchamiać więcej aplikacji na poziomie użytkownika z większymi ograniczeniami (patrz na przykład Flatpak).

Aby wrzucić jeszcze kilka przykładów piaskownicy na poziomie aplikacji do miksu: snapd / snapcraft (Linux), UWP (Windows) i Sandboxie (Windows).
Również AppArmor, konkurencyjna technologia dla SELinux.(Zarówno SELinux, jak i AppArmor są elementami konstrukcyjnymi w piaskownicy wyższego poziomu, takimi jak snap i flatpak.)
@mattdm Po prostu znam AppArmor jako * tę rzecz, nad którą muszę teraz popracować, aby MySQL działał poprawnie w Ubuntu. *
I to jest ogólnie problem z silnymi zabezpieczeniami - przeszkadza w wygodzie użytkownika.To nie jest błąd, ale nieunikniony aspekt projektu, tak samo, jak zamykanie drzwi wejściowych, gdy wychodzisz z domu, oznacza, że musisz wyciągnąć klucz, aby go odblokować po powrocie do domu.
@Shadur Prawdopodobnie bardziej poprawne jest stwierdzenie, że jest to konsekwencja próby dodania silnych zabezpieczeń do starszego systemu, który obecnie ich nie ma.Gdyby aplikacje na komputery stacjonarne i serwery zawsze musiały jawnie wyliczać potrzebne im uprawnienia (tak jak teraz robią to aplikacje mobilne), tarcia byłyby znacznie mniejsze.
Możesz także uruchomić Chrome w kontenerze Linuksa, z ograniczonym dostępem do systemu plików.Tym się właśnie zajmuję.
@James_pic zgadza się, ale samo wyliczenie uprawnień to tylko (dobry) pierwszy krok.Użytkownicy na ogół muszą zostać przeszkoleni, aby rozumieli, na co udzielają pozwolenia.Większość osób nietechnicznych zaakceptowałaby po prostu wyliczone uprawnienia, o które prosi aplikacja - podobnie jak umowy z użytkownikiem końcowym podczas instalowania oprogramowania.
@Shadur skanowanie odcisków palców i rozpoznawanie oczu itp. Są bardziej przyjaznymi dla użytkownika sposobami odblokowania zamkniętych drzwi, które nie wymagają od użytkownika pamiętania o noszeniu klucza, a następnie wyjęcia go.Czy byłby może cyfrowy odpowiednik?
@EdmundReed Nawet jeśli przyznanie tymczasowego pozwolenia jest tak proste, jak kliknięcie „Tak”, użytkownicy odczuwają zmęczenie kliknięciami i po prostu automatycznie klikają dowolny monit dotyczący zabezpieczeń, jak w przypadku UAC lub okna dialogowego uprawnień aplikacji mobilnej
Ángel
2018-06-14 03:04:58 UTC
view on stackexchange narkive permalink

Prawnicy . Masz umowę z Google określającą, co zrobią / na co pozwolisz. Nazywa się to Warunki korzystania z Google Chrome. I oczywiście , uważnie ją przeczytałeś przed instalacją.

Obejmuje to¹ takie fragmenty (wyróżnione przeze mnie):

Domyślnie statystyki użytkowania i raporty o awariach są wysyłane do Google (…). Statystyki użytkowania zawierają informacje, takie jak preferencje, kliknięcia przycisków i użycie pamięci . Ogólnie statystyki użytkowania nie obejmują adresów URL stron internetowych ani danych osobowych, ale ale jeśli jesteś zalogowany w Chrome i synchronizujesz historię przeglądania na koncie Google bez synchronizacji hasło, a następnie Statystyki użytkowania Chrome obejmują informacje o odwiedzanych stronach internetowych i korzystaniu z nich . Na przykład możemy zbierać statystyki, aby zidentyfikować strony internetowe, które ładują się wolno. (…) Raporty o awariach zawierają informacje o systemie z chwili awarii i mogą zawierać adresy URL stron internetowych lub dane osobowe , w zależności od tego, co się działo w momencie generowania raportu o awarii. Możemy udostępniać publicznie i partnerom - np. Wydawcom, reklamodawcom lub twórcom stron internetowych - zbiorcze informacje, które nie umożliwiają identyfikacji konkretnej osoby. W dowolnym momencie możesz zmienić, czy statystyki użytkowania i raporty o awariach mają być wysyłane do Google. Ucz się więcej. Jeśli aplikacje Google Play są włączone na Twoim Chromebooku i statystyki użytkowania Chrome są włączone, dane diagnostyczne i dane dotyczące użytkowania Androida są również wysyłane do Google .

Dlatego instalując Google Chrome (i nie wyłączając tych opcji), wyrażasz zgodę na przekazanie tych informacji Google.

Czy byliby technicznie w stanie zebrać więcej informacji niż to, co powiedzieli? Tak. Czy robią to celowo? Jest to mało prawdopodobne, ponieważ postawiłoby firmę w niepewnej sytuacji, gdyby została przyłapana na kradzieży danych użytkowników. Lepiej jest, aby w swojej polityce dodali uwagę, która obejmuje ich gromadzenie (prawdopodobnie zawierająca akceptowalne uzasadnienie, takie jak „to pozwoli nam dostarczyć Ci treści bardziej odpowiadające Twoim zainteresowaniom”, aby uczynić je mniej zniechęcającymi), ponieważ uzasadnia ich praktykę, a niewiele osób czyta warunki prawne.

Chociaż historia o oświadczeniach o ochronie prywatności w Google Chrome nie byłaby kompletna bez wyjaśnienia, w jaki sposób po uruchomieniu przeglądarki Google Chrome jego warunki użytkowania pierwotnie uczyniły użytkownika

„daje Google wieczystą, nieodwołalną, ogólnoświatową, bezpłatną i niewyłączną licencję na reprodukcję, adaptację, modyfikację, tłumaczenie, publikację, publiczne wykonywanie , publicznie prezentować i rozpowszechniać wszelkie Treści, które przesyłasz, publikujesz lub wyświetlasz w ”²

zdanie, którego używali w innych usługach. Po wrzawie związanej z tymi pozornie obraźliwymi warunkami zaktualizowali swoje warunki następnego dnia, stwierdzając, że zachowuje swoje prawa do wszelkich treści, które użytkownik utworzy w Google Chrome.

¹ Właściwie w Informacjach na temat ochrony prywatności w Google Chrome, włączonych przez eula.

² https://www.mattcutts.com/blog/google-chrome-license-agreement/

+1 za wzmiankę o pierwotnych warunkach Google Chrome.
Wayne Werner
2018-06-12 21:09:42 UTC
view on stackexchange narkive permalink

Jakie procesy i systemy są stosowane, aby firma Google nie była w stanie skopiować danych z mojego komputera?

Nie ma niczego, co sprawia, że ​​ nie mogą , ale jest coś, co sprawia, że ​​jest mało prawdopodobne, aby by to : zaufali.

Produktem Google jest Ty . Chcą wiedzieć o Tobie wszystko i być w stanie przewidzieć każdą decyzję, którą kiedykolwiek podejmiesz. Jeśli to mogą to zrobić, mogą zachęcić Cię do zakupu Forda zamiast Chevy, kiedy nadejdzie czas.

Mają z nami umowę społeczną, która mówi, że zapewnią przydatne narzędzia (a następnie zabij je), takie jak Dysk Google, Chrome (ium), Blogger, Gmail, Zdjęcia Google, Mapy, YouTube, wyszukiwarka itp., a my w zamian pozwolimy im wydobywać nasze informacje o nas ze zrozumieniem, że nie zrobią zbyt wielu okropnych rzeczy i że postarają się uczynić internet przyjemniejszym miejscem, z bardziej trafnymi reklamami i bez irytujących rzeczy, sprawić, że chcemy bardzo, bardzo powoli złamać komuś palce za umieszczenie jednej z tych głupich reklam audio online.

Częścią tego zaufania jest to, że jeśli zainstalujemy jeden z ich programów, nie umieścą w nim kodu to zagrozi naszym systemom lub na to pozwoli.

Ponieważ jeśli nie ufamy Google, nie damy im dostępu do produktu, którym są tak niesamowicie zainteresowani - do nas. Im bardziej ufamy Google, tym cenniejszy jest ich produkt (nam), który mogą sprzedawać reklamodawcom. W interesie Google jest robienie rzeczy, które zwiększą to zaufanie - ponieważ im bardziej ufamy Google, tym więcej mogą obciążać reklamodawców, ponieważ mogą powiedzieć: „Słuchaj, znamy te osoby i są skłonni kupować / czytać / słuchaj / oglądaj rzeczy, które polecamy. Jeśli Twój produkt odpowiada ich potrzebom i zainteresowaniom, będziemy im polecać Twój produkt, a oni prawdopodobnie go kupią, ponieważ to my go promowaliśmy ”.

To system, który sprawia, że ​​bardzo bardzo zły pomysł Google robi jakiekolwiek złe rzeczy w Chrome lub jakimkolwiek innym oprogramowaniu. Zaufanie to coś, na co trudno jest odzyskać utracone zaufanie, a Google z pewnością o tym wie.

W takim razie proszę mi wyjaśnić: nikt, kogo znam, naprawdę nie ufa firmie Microsoft, a jednak każdy instaluje system Windows.Dlaczego miałoby być inaczej w przypadku Google / Facebook / Amazon / ...
@Alexander łatwe - ludzie są leniwi i dobrze znają to, co znane, nawet jeśli jest to dla nich gorsze.Microsoft dofinansowuje zakup sprzętu, dlatego zazwyczaj taniej jest kupić komputer z zainstalowanym systemem Windows niż bez systemu operacyjnego i samodzielnie zainstalować Linuksa.Oczywiście znosiliśmy pewną ilość wkręcania nas przez Google - zabierając Czytnik Google, zamieniając coraz bardziej w otoczony murem ogród (brak już interfejsu GTalk / jabber itp.) - To samo dotyczy Microsoftu.Dopóki możemy udawać, że to nie problem, wytrzymamy to.
Nie zgodziłbym się z tym, że ludzie ufają Microsoft.Ludzie narzekają na Microsoft, ale nie oczekują, że będą używać systemu Windows do celowego rejestrowania naciśnięć klawiszy hasła, do przechowywania profili swoich nawyków związanych z pornografią, do tworzenia bazy danych swojej historii medycznej, a następnie do wykorzystywania wszystkich tych danychprzeciwko swoim użytkownikom.Istnieją stopnie i rodzaje zaufania.Myślę też, że ludzie przynajmniej częściowo narzekają na Microsoft, ponieważ narzekanie na Microsoft stało się modne.Ale błądzę.
@WayneWerner Nie powiedziałbym, że Google koniecznie nas „wkręca”.Jeśli osoba trzecia chce dać Ci coś za darmo, ma absolutne prawo do tego, aby w przyszłości nie dawać Ci tego za darmo.Byłoby zupełnie inaczej, gdybyśmy zapłacili za ich usługi.
@dotnetengineer Jasne - ale jak wspomniałem, technicznie nie jest to * darmowe * - to tylko wymiana z ukrytą wartością.
Grant Gryczan
2018-06-12 06:04:56 UTC
view on stackexchange narkive permalink

Pomijając odpowiedź Arminiusa, która jest całkowicie prawdziwa, chciałbym bardzo wyraźnie podkreślić, że wartość zaufania między Google a użytkownikami końcowymi nie jest jedyną skuteczną wartością w określaniu, czy zaufanie do ich integralności jest sprawiedliwe.

Podstawa Chrome (Chromium) jest open-source, więc programiści mogą to sprawdzić (i robić to cały czas), aby zobaczyć, czy Google implementuje coś złośliwego. Ponadto, jeśli Google ma wysyłać Twoje dane osobowe / pliki na swoje własne serwery, możesz to stwierdzić za pomocą dziennika sieciowego, który jest narzędziem śledzącym aktywność internetową na Twoim komputerze. Zawsze jest też stara dobra dekompilacja, bo jeśli coś takiego jak złośliwe oprogramowanie jest zaimplementowane w Chrome, a nie w Chromium, gdzie źródło jest już otwarte.

Uważam, że ważne jest, aby zrozumieć, że zaufanie nie jest jedynym czynnikiem wpływającym na należy wziąć pod uwagę tutaj. Istnieją obiektywne sposoby, aby dowiedzieć się, czy Google lub ktokolwiek inny robi te rzeczy, i są one sprawdzane przez innych przez cały czas, więc nie ma powodu do obaw, że Google zaimplementuje takie złośliwe oprogramowanie.

Nikt jako praktyczna firma i tak nie miałby żadnego prawdziwego powodu, aby wstawiać takie szkodliwe oprogramowanie, ponieważ oczywiście nie przyniosłoby to korzyści netto (obiektywna nieufność wśród użytkowników, utrata zysków, rzeczy, których korporacje zwykle nie lubią). Odpowiedź Wayne'a Wernera dobrze to wyjaśnia.

Nie mówię, że taka sytuacja byłaby niemożliwa, ale jest to niezwykle mało prawdopodobne.

Pamiętaj, że analiza źródła Chromium w celu ustalenia, czy nie zawiera on złośliwego kodu, tak naprawdę nie pomoże Ci udowodnić, że sam Chrome go nie zawiera.Nie pomaga nawet w udowodnieniu, że prekompilowane kompilacje Chromium nie.(Nawet samodzielne skompilowanie niekoniecznie tego dowodzi, jeśli ktoś był w stanie skompromitować twój kompilator). Zwykle weryfikowanie _ wszystkiego_ jest niepraktyczne, więc w pewnym momencie musisz polegać na zaufaniu.Ale * są * osoby, których praca i / lub hobby polega na wyszukiwaniu tego rodzaju rzeczy, szczególnie w przeglądarkach, co może dać ci pewną pewność siebie.
@Miral, jeśli używasz pakietu Chromium z zaufanych repozytoriów, takich jak Debian, Fedora itp., Możesz wiedzieć, że ktoś miał przynajmniej szansę sprawdzić i usunąć złośliwy kod (np. Zastrzeżone binarne bloby).Jeśli korzystasz z plików binarnych Google Chrome, jesteś całkowicie w ciemności.
Jeśli chodzi o dziennik sieci, * będziesz miał trudności * z informacją z dziennika, ponieważ Google wymusza kryptografię prawie wszędzie i regularnie wysyła informacje analityczne do swoich serwerów.Chodzi mi o to, że prawdopodobnie nie będziesz mieć ** pewności **, że Google zachowuje się niewłaściwie, po prostu obserwując ruch na serwerach, których są właścicielami.Jednak badania poczyniły duży postęp w analizie statystycznej ruchu sieciowego, więc wolę trzymać twoje oświadczenie o logowaniu sieci w * szarej strefie *
To trochę przypomina myśl, że „wiele oczu sprawia, że wszystkie błędy są płytkie”.Chociaż jest to prawdą w teorii, w praktyce jest mało prawdopodobne.Luki w zabezpieczeniach przetrwały w bardzo dobrze używanym oprogramowaniu open source przez * dziesięciolecia * i to bez żadnej próby ich ukrycia.Dobrze wykonany atakujący mógłby z łatwością ukryć złośliwy kod w czymś wielkości chromu (kilka milionów linii kodu) bez większych szans na wykrycie.
Umieszczenie złośliwego oprogramowania w Chromium wymagałoby pracy zespołowej w Google.Ludzie musieliby sprawdzać swoje zobowiązania przed upublicznieniem ich.
Nie całkiem;to właściwie trywialne.Pobierz kod Chromium, połącz się z gałęzią zawierającą złośliwe oprogramowanie, zbuduj.Jest to dokładnie ten sam proces, którego już używają (prawdopodobnie bez złośliwego oprogramowania), ponieważ * istnieje * jakiś niepubliczny kod w Chrome.Znowu jednak jest mało prawdopodobne, aby tak się stało, ponieważ byłoby to samobójstwem zaufania, gdyby zostało złapane, a w przypadku tak głośnej aplikacji ludzie analizują i dekompilują ostateczne pliki binarne, szukając luk w zabezpieczeniach i exploitów przez cały czas - co nie działa.nie gwarantuję, że go tam nie ma, ale musiałby być dość subtelny.Bardziej prawdopodobne jest, że otrzymasz złośliwe oprogramowanie z dowolnej innej aplikacji.
To też jest prawda.
Och, nie mówię, że byłoby to łatwe, ale używając przeglądarki Chrome skutecznie ufasz, że Google nie jest złośliwy (niezależnie od tego, czy ufasz temu, ponieważ ufasz im, czy ufasz temu), ponieważ uważasz, że wstrzyknięcie złośliwego oprogramowania byłoby złą praktyką biznesowądo chrome nie ma tu znaczenia).Chodziło o to, że zewnętrzny przegląd kodu bazy kodu wielkości chromu a) prawdopodobnie nie nastąpi i b) prawdopodobnie nie znajdzie celowo ukrytych tylnych drzwi, nawet gdyby tak się stało.
Fakt, że taki przypadek jest _ skrajnie_ mało prawdopodobny, jest wartością, którą próbuję przekazać w mojej odpowiedzi.Ponadto, jeśli ludzie znajdą obiektywny powód, by nie ufać Google, bardzo wątpię, że Google skorzystałby na tym, a zatem bardzo wątpię, że Google miałby jakikolwiek prawdziwy powód _ do wstawienia złośliwego oprogramowania.Ponownie, moja odpowiedź opiera się na tym, że sytuacja jest mało prawdopodobna, a nie, że nie może się zdarzyć.Jest to absolutnie możliwe, ale tylko wtedy, gdy istnieje niesprawdzony, nieuczciwy pracownik Google wolny od wszelkiej logiki lub jeśli Google nagle sprzeciwi się idei zysku.
Jonah Benton
2018-06-18 07:47:24 UTC
view on stackexchange narkive permalink

Jest na to kilka odpowiedzi, w tym odpowiedź zaakceptowana, ale żadna z nich nie oddaje odpowiedniego niuansu.

Ten niuans polega na rozróżnieniu między „polityką” a „mechanizmem”. To rozróżnienie wykracza poza systemy techniczne i, żeby nie mówić zbytnio o tym, istnieje we wszystkich obszarach regulowanych ludzkich przedsięwzięć.

W większości przypadków nie ma mechanizmu uniemożliwiającego lekarzowi ujawnienie wrażliwych danych medycznych, zakodowanych technicznie lub nie. W małym nie ma mechanizmu uniemożliwiającego garaż, w którym parkujesz samochód, przekazanie go innej osobie. W wolnym społeczeństwie każdy może zrobić prawie wszystko bez bezpośredniego nadzoru lub konsekwencji. Innymi słowy, nie ma bezpośrednich, natychmiastowych mechanizmów zapobiegających złemu zachowaniu.

Zamiast tego istnieją zasady - ukryte, zwykle nazywane normami, których większość ludzi uczy się w przedszkolu, i bardziej wyrafinowane, wyraźne mechanizmy zwane statutami i prawami itp. - które z pewnością posiadają mechanizmy egzekwowania, ale w ramach których ogromna większość zgodności zachodzi bez stosowania tych mechanizmów egzekwowania. Jest to oczywiście punkt zaufania wspomniany w innych odpowiedziach. Wolne społeczeństwo jest możliwe tylko z kulturą bardzo, bardzo wysokiego zaufania.

W oprogramowaniu jesteśmy przyzwyczajeni do myślenia o rzeczach w kategoriach mechanizmów - takie a takie są niemożliwe z powodu tej i tej technicznej trudności . Ważne jest, aby zrozumieć, że w oprogramowaniu, nawet bardziej niż w świecie rzeczywistym, WSZYSTKIE mechanizmy są przejściowe i zamienne. To, co wczoraj było niemożliwe, jutro stanie się powszechne.

Zatem JEDYNĄ rzeczą „zapobiegającą” zdarzeniu się czegoś złego podczas korzystania z oprogramowania jest ostatecznie polityka - dorozumiane normy i zgodność z wyraźnymi zasadami - Polityka prywatności, Warunki usługi i tak dalej. A jeśli uważnie je przeczytasz, zdasz sobie sprawę, że nikt nie składa żadnych przydatnych obietnic prawnych, że nie zrobi nic złego.

Więc bądź ostrożny. Jedyne, co masz, to umiejętność dokonywania przemyślanych ocen zaufania.

Myślę, że [odpowiedź Wayne'a Wernera] (https://security.stackexchange.com/a/187632/176607) miał podobny sentyment, ale doceniam jasność różnic między politykami i mechanizmami.
Tak, zgadzam się.Twoje zdrowie...
Josh
2018-06-13 19:06:23 UTC
view on stackexchange narkive permalink

Odpowiedź Arminiusa na „Brak” jest najbardziej poprawną odpowiedzią ... Chciałem tylko dodać odpowiedź, która była zbyt obszerna, aby można było ją skomentować:

Jakie procesy i systemy są na miejscu, więc że Google nie jest w stanie skopiować danych z mojego komputera?

Jeśli masz i jest prawidłowo skonfigurowany, Twoja zapora poczty wychodzącej może przejąć tę odpowiedzialność ... problem polega na tym, że ; s tyle ruchu podczas przeglądania sieci, że szybko staje się niewykonalne prawidłowe skonfigurowanie reguł.

Jako przykład, oto zrzut ekranu przedstawiający, co się dzieje mój komputer bez reguły zezwalającej na globalny dostęp do sieci Google Chrome:

Google Chrome wants to connect to security.stackexchange.com on TCP port 443, do you want to allow this?

Jeśli wiedziałeś , że Chrome kontaktuje się z google do złośliwego użycia, możesz zaprzeczyć, że:

Deny button highlighted on Google Chrome firewall prompt

Problem polega na tym, że podczas przeglądania sieci jest tak duża różnorodność domen że Google byłoby trywialne „oszukiwać” użytkowników, aby zezwolili na treści w domenie i omijali to ograniczenie. Ale jeśli jesteś zewnętrznie ostrożny i ukierunkowany (czytaj: paranoik), jest to jedyna metoda, którą możesz zastosować.

To jest jednak trochę głupie.Jeśli nie ufasz domenie `google.com`, to przede wszystkim nie powinieneś używać Chrome!Ponadto, jeśli chcesz tylko zablokować dostęp do określonych domen, są na to łatwiejsze sposoby (jednym ze sposobów jest między innymi ustawienie adresu IP lokalnego hosta w pliku hosts).
Uzgodniono @Muhd, jeśli nie ufasz Google, nie używaj ich przeglądarki ... ale to było pytanie.Zauważ, że ustawienie „google.com” na „127.0.0.1” lub coś innego w pliku hosts nie blokuje aplikacji dostępu do google, a jedynie (prawdopodobnie) powoduje, że program rozpoznawania nazw DNS zwraca ten adres IP.I to był przykład ... Używam tej techniki z oprogramowaniem, którego nie chcę nazywać domem, lub ograniczam komunikację wychodzącą do mojej sieci LAN / moich serwerów, na przykład ... gdzie nie wiem, co to będzierozmawiać, ale wiem, z czym pozwolę mu rozmawiać.
Słusznie.Wydaje się, że warto być tego świadomym.
ggb667
2018-06-13 20:34:02 UTC
view on stackexchange narkive permalink

Co powstrzymuje Google przed zapisaniem wszystkich informacji na moim komputerze za pośrednictwem przeglądarki Google Chrome?

Spowoduje to odłączenie komputera od sieci. Aby dodatkowo zabezpieczyć komputer, możesz również wyłączyć Wi-Fi, Bluetooth itp. I zawsze używać tylko ręcznego wprowadzania bez żadnych wymiennych urządzeń wraz z ekranowaniem RF w celu ochrony przed wyciekiem EM. To ochroni cię przed wszystkim z wyjątkiem włamań fizycznych.

W tym celu działaj w SCIF lub zamkniętej, bezpiecznej klatce ze sprzętem zgodnym z ICD 503. Wymagaj od operatorów zdjęcia całej odzieży i innych przedmiotów oraz wykonywania przeszukania fizyczne, w tym prześwietlenie przed fizycznym dostępem, aby zapobiec wprowadzeniu jakichkolwiek podsłuchów. Wykonaj to samo wyszukiwanie przy wyjściu, aby upewnić się, że nic nie jest usuwane.

Chociaż ta ogólna odpowiedź jest idealnym podręcznikiem terenowym dla kapeluszy z folii aluminiowej, nie daje ona odpowiedzi na pytanie „Co powstrzymuje Google przed zapisaniem wszystkich informacji na moim komputerze za pomocą przeglądarki Google Chrome?”
Innymi słowy, nie masz pojęcia, prawda?
Odłączenie zapobiega usunięciu jakichkolwiek informacji z komputera.To jedyna rzecz, która działa.Google chce WSZYSTKICH Twoich informacji.Jak myślisz, do czego służy Colud, Google Docs itp.?


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...