Domanda:
Cosa impedisce a Google di salvare tutte le informazioni sul mio computer tramite Google Chrome?
Pro Q
2018-06-11 20:34:05 UTC
view on stackexchange narkive permalink

Ho notato che in Google Chrome, se digito file: /// C: / Users / MyUsername / Desktop / mi mostra tutte le cartelle sul mio desktop e posso digitare aprire PDF e simili in Chrome semplicemente digitando il percorso del file.

Quali processi e sistemi sono in atto in modo che Google non sia in grado di copiare i dati memorizzati sul mio computer? Quali processi e sistemi sono in atto affinché qualcuno che scrive un'estensione di Chrome non sia in grado di copiare i file memorizzati sul mio computer?

E lo sapremmo anche se Google iniziasse a estrarre piccole informazioni dai nostri computer qua e là?O lo sono già?
Potrebbe essere interessato a leggere informazioni su [Qubes OS] (https://en.wikipedia.org/wiki/Qubes_OS).Una soluzione più pratica potrebbe essere l'installazione di un browser Web in una scatola virtuale, ad es.in Hyper-V su Windows 10.
Non penso che questo sia limitato a Chrome, praticamente qualsiasi browser web può fare la stessa cosa ... file: /// dice solo che l'URI è locale per il computer su cui è installato.
@aslum D'accordo, Chrome era solo il mio esempio particolare.Nelle risposte e in altri [commenti] (https://security.stackexchange.com/questions/187556/what-stops-google-from-saving-all-the-information-on-my-computer?noredirect=1#comment368741_187558) sembra che non sia nemmeno limitato ai browser web.
@ProQ il conciso, la risposta che non è una risposta è: la stessa cosa che impedisce a qualsiasi altro programma di farlo: se lo facesse, diventerebbe rapidamente noto come malware / virus e bloccato dai programmi AV.
@aslum Chrome è già [stato catturato durante la scansione di file] (https://www.engadget.com/2018/04/07/chrome-cleanup-download-scan/).Ma non so se alla maggior parte delle persone importa davvero così tanto.
Memorizzare il contenuto del disco rigido di tutti richiederebbe molto spazio di archiviazione e costerebbe un sacco di soldi ... e cosa, se non altro, potrebbero trarne vantaggio?Il senso degli affari di base e il desiderio di non essere denunciati dall'esistenza si qualificano come processi e sistemi?
xkcd correlato: https://xkcd.com/1200/
Notizie flash: qualsiasi exe (non solo Chrome o altri browser) ha fondamentalmente accesso illimitato al tuo computer.Possono anche connettersi ad altri computer sulla rete locale (o Internet).Pensavo fosse di dominio pubblico.
@gre_gor Non è affatto comune.Ho intenzione di laurearmi in informatica e non avevo idea che fosse possibile.Ho pensato che tutto fosse sandbox per impostazione predefinita.Stavo parlando con mio padre di questa domanda e ho imparato a conoscere la connessione di rete locale.(Se potessi fornire un collegamento su come funziona quella connessione, sarebbe meraviglioso.) Penso che la conoscenza del computer venga insegnata a un livello molto diverso al giorno d'oggi, e pochissime persone sanno che è così che funzionano.(Me incluso finché non l'ho chiesto.)
@Nat Questo suona davvero come un bug, però, se hai già scaricato i file tramite Chrome, potrebbe averli esaminati mentre lo scrivevo sul tuo disco rigido, non avrebbe molto senso dal punto di vista dello spionaggio farlo di nuovo in seguito.
@MrLore stava esaminando file che non avevano nulla a che fare con Chrome (nemmeno scaricato utilizzando Chrome).Penso ancora che fosse un bug, ma uno strano esempio che si adatta abbastanza bene a questa domanda.
In una nota a margine, Windows, Word, Excel, Paint, Freecell e World of Warcraft possono tutti scansionare i tuoi file e apportare modifiche al tuo computer in modo commisurato alle tue autorizzazioni utente.Chrome non è diverso.È solo un altro programma.
@Pro Q Sandboxing è una cosa con alcuni dispositivi * mobili * e con app desktop che utilizzano un framework non nativo come Java e con configurazioni del sistema operativo speciali (ad esempio Linux con apparmor).Un .exe (o .scr o .dll per quella materia) su un PC o un server Windows è limitato solo dalle autorizzazioni dell'utente e dall'UAC.
In realtà, Google sa già abbastanza di te (noi) perché traccia ogni link su cui fai clic su una ricerca su Google.Al giorno d'oggi, è praticamente tutto ciò di cui hai bisogno, dal momento che molte persone non digitano più l'indirizzo del sito web ma lo cercano su Google.Di solito hanno anche tutti gli indirizzi e-mail (e in genere i numeri di telefono) dei tuoi contatti, scansionano il contenuto della tua e-mail, quindi conoscono sia te che il mittente / destinatario dell'e-mail, sanno qualevideo che guardi e così via.Copiare i dati sul tuo PC non varrà la pena.
Per inciso, sono disponibili molti strumenti (anche se non necessariamente neanche lontanamente gratuiti) per analizzare cosa sta facendo un'applicazione - se Chrome stesse accedendo a contenuti che non ci si poteva aspettare, e poi eseguisse trasferimenti di rete diuna dimensione comparabile, non è un modello difficile da rilevare dal report degli endpoint che qualsiasi grande azienda con un budget elevato per la sicurezza avrà implementato nella propria infrastruttura.
Se si desidera una maggiore sicurezza, in genere si eseguono programmi in una macchina virtuale, in modo che non abbiano accesso al sistema "esterno".
Se non ti fidi di un editore di software, non installare il suo software sul tuo computer.
Sono d'accordo con @gre_gor che è risaputo che il software desktop nativo che esegui normalmente ha gli stessi privilegi del tuo browser di file.In effetti, questa domanda è dannatamente stupida.Downvoted.
QUALSIASI browser lo farà, anche se il modo in cui i dati vengono visualizzati sarà diverso.Il desktop è solo una directory sul tuo disco rigido ei browser possono vederli e mostrarli, sono sempre stati in grado di farlo.
Nove risposte:
Arminius
2018-06-11 20:51:25 UTC
view on stackexchange narkive permalink

Quali processi e sistemi sono in atto affinché Google non sia in grado di copiare i dati sul mio computer?

Nessuno. Google Chrome di solito funziona con le autorizzazioni del tuo account utente. L'applicazione può quindi leggere e modificare i file locali nella stessa misura in cui può farlo il tuo account utente. (Queste autorizzazioni si applicano alla maggior parte dei programmi che stai utilizzando.) Quindi devi fidarti di Google in quanto non forniscono un aggiornamento dannoso che ti spia o mantengono i file sensibili inaccessibili all'account su cui stai utilizzando il browser con. In alternativa, sono molto probabili implementazioni sandbox per il tuo sistema operativo che ti consentono di eseguire Chrome in un ambiente isolato con accesso limitato al filesystem.

Quali processi e sistemi si trovano posto in modo che qualcuno che scrive un'estensione di Chrome non sia in grado di copiare file sul mio computer?

Le estensioni di Chrome hanno privilegi limitati per impostazione predefinita. Un'estensione deve richiedere (dichiarare) esplicitamente un'autorizzazione per interagire con i documenti nello schema file: // .

Nota inoltre che il tuo browser non consente normali siti web da leggere o persino reindirizzare a file: // URI. Pertanto, sebbene i tuoi file locali siano accessibili al processo Chrome, non vengono esposti sul Web.

Come dovrei fare per rendere i file inaccessibili all'account che sto utilizzando per eseguire il browser?
@ProQ Dipende dai meccanismi di controllo dell'accesso del tuo sistema operativo.In parole semplici, avere un account separato e impostare le autorizzazioni dei file sensibili in modo che altri utenti non possano accedervi.
Chrome essendo in grado di accedere al tuo disco rigido è il motivo per cui puoi caricare i file trascinando e rilasciando il nome del file nella finestra di una pagina web."Devi fidarti di Google perché non fornisce aggiornamenti dannosi che ti spia" O hanno vulnerabilità che possono essere sfruttate.
@Arminius wow, perché questo non è noto a molti altri?Sapevo che google sa delle cose, ma questo è un livello completamente nuovo.
Questo vale anche per quasi tutti gli altri software che esegui sul tuo PC.Solo perché non espone una funzione di navigazione "file: //", il tuo lettore musicale, lettore video, i tuoi giochi Steam ... qualcuno o tutti sono "attendibili" per non scansionare le tue cose e registrarle.Questa non è solo una cosa "google".
@watchme - Non confondere Google con Chrome.* Il tuo * browser, seduto sul * tuo * sistema, può accedere ai tuoi file.Ma (salvo qualsiasi cosa dannosa) Google stessa non ha accesso a nessuno di essi.
@Bobson Bene, "escludendo qualsiasi cosa dannosa" aggira il punto della domanda.
"ai siti web ordinari non è mai permesso di leggere o addirittura collegarsi a file: // URI" - ovviamente nessuno standard (di HTML) impedisce a un sito web di contenere la sequenza di caratteri " @DavidZ soprattutto perché il motto del Codice di condotta di Google non è più "Non essere cattivo"....
@JesseM E a volte, questa fiducia viene abusata.C'è questo sviluppatore di plugin Flight Sim che è stato ripetutamente sorpreso a installare software per il furto di password e malware eseguibili insieme al software, apparentemente come un modo per combattere la pirateria.
@BruceWayne Aspetta, sul serio?Questo è un po '[preoccupante] (https://en.wikipedia.org/wiki/Warrant_canary).
@JesseM - Anche se "vale anche per quasi tutti gli altri software che esegui", puoi bloccare il trasferimento dei dati con le whitelist del firewall in uscita.Che non è qualcosa che puoi fare su un browser web (senza perdere tutte le sue funzionalità).
@BruceWayne & Nat: La mia comprensione è che quel fornitore, sebbene sia un'aggiunta divertente che un paio di ragazzi del college hanno deciso di aggiungere alla loro azienda, non ha molto valore legale ("male" non è un termine legale), e la sua inclusione stava diventandouna preoccupazione crescente per più o meno allo stesso modo.cioè la versione 66.6r di Chrome ... sarà considerata malvagia?Non per la maggior parte, ma alcuni potrebbero avere problemi.Non si tratta di ciò che pensiamo come dei grandi mali, ma del fastidio causato dal diverso concetto di male, per ogni persona.
Non sono sicuro da dove venga la storia del "non essere cattivo non è più il motto di Google", @BruceWayne.Basta aprire il loro [Codice di condotta] (https://abc.xyz/investor/other/google-code-of-conduct.html).È ancora lì, in fondo.
@Bobson In realtà, Chrome per Windows esegue la scansione attiva del computer e invia informazioni sui file sospetti a Google (e ad ESET, presumo).Quindi, con quella quantità di ordini dalla nave madre, è difficile non presumere che qualunque cosa Google voglia dal tuo computer, Chrome consegnerà.
@Justastudent Hanno [rimosso la maggior parte dei riferimenti ad esso] (https://gizmodo.com/google-removes-nearly-all-mentions-of-dont-be-evil-from-1826153393), tranne quello in basso.
@NigelTouch "_puoi bloccare il trasferimento dei dati con le whitelist del firewall in uscita_" Ma poi il programma potrebbe semplicemente usare l'agente di posta installato per inviare le informazioni come file allegati a qualche indirizzo.Oppure, se non viene trovato alcun agente di questo tipo, aprire il browser e il file su un servizio di condivisione file.Potrebbe essere leggermente più complicato, ma non molto.(Potrebbe anche essere più semplice se non sai come utilizzare l'API socket ma sai come avviare e interagire con altri programmi.)
Rory McCune
2018-06-11 20:51:02 UTC
view on stackexchange narkive permalink

Un software senza sandbox in esecuzione su un PC / Mac ha (generalmente) gli stessi privilegi dell'utente che lo esegue e quindi può accedere a tutti i dati a cui l'utente può accedere.

Ti stai fidando Google (e qualsiasi altro fornitore di software di cui esegui il codice) a non fare nulla di dannoso con tale accesso.

Se non ti fidi di Google, la tua unica opzione come utente generico del software è non eseguire il proprio codice.

La situazione con le estensioni di Chrome è leggermente diversa. Google pone delle restrizioni su ciò che il fornitore di estensioni è in grado di fare e quando installi un'estensione ti dirà quali autorizzazioni le stai fornendo.

Ovviamente stai ancora confidando che Google abbia codificato correttamente queste restrizioni, e stai ancora potenzialmente affidando agli autori delle estensioni alcune autorizzazioni che potrebbero essere utilizzate per intraprendere azioni dannose.

Se prendi in considerazione l'implementazione di semplici misure di sandboxing (ad esempio, eseguire Chrome con un account utente diverso o in una VM, o crittografare i file critici e non averli aperti mentre Chrome è in esecuzione) al di fuori dell'ambito di un "utente generico", sì.
Puoi anche eseguire l'equivalente open source di Chrome, Chromium.
@NonnyMoose Se disponi di aggiornamenti automatici, non importa se hai compilato una versione dall'origine, poiché il sistema di aggiornamento si fida intrinsecamente della firma di un provider (supponendo che il sistema sia progettato correttamente) e il firmatario può farti scaricare ed eseguire qualsiasicodice che desidera.
Mi sarei aspettato un suggerimento "esegui il browser in un contenitore protetto" invece di "Se non ti fidi di Google, la tua unica opzione come utente generico del software è non eseguire il loro codice".- o un browser containerizzato non fornirebbe una separazione adeguatamente sicura tra sistema operativo e programma (assumendo la corretta configurazione del container)?O era questo ciò che si intendeva escludere "senza sandbox"?(il che renderebbe questo commento un rumore superfluo.)
@e-sushi Un contenitore sicuro sembra una descrizione di "sandbox".
TBH Stavo mantenendo questa risposta a un livello di utente generale del computer, piuttosto che immergermi nei dettagli tecnici di possibili mitigazioni.Se vuoi ottenere informazioni tecniche, ci sono un sacco di cose che puoi fare, dalle VM, ai container a sistemi operativi specifici come Tails.Sebbene tutto ciò che viene detto ogni volta che lo fai, stai aggiungendo un nuovo gruppo di parti fidate (le persone che scrivono il software di isolamento) alla tua lista :)
mattdm
2018-06-11 23:26:22 UTC
view on stackexchange narkive permalink

Se stai eseguendo una distribuzione Linux con SELinux, è possibile avere un ulteriore livello di sicurezza. SELinux è una tecnologia a livello di sistema operativo che consente rigide restrizioni su quali processi, come il processo del browser, possono accedere. Infatti, in Fedora e in Red Hat Enterprise Linux (disclaimer: lavoro per Red Hat, su Fedora!), C'è un leggero limite di default per Firefox e Chrome. Questo risulta essere difficile e scomodo da rendere più rigoroso per la maggior parte degli utenti - vedi questo post del blog del guru di SELinux Dan Walsh per ulteriori informazioni.

C'è un lavoro in corso su Linux in generale per eseguire più applicazioni a livello di utente con maggiori restrizioni (vedere ad esempio Flatpak).

Giusto per aggiungere un altro paio di esempi di sandbox a livello di applicazione nel mix: snapd / snapcraft (Linux), UWP (Windows) e Sandboxie (Windows).
Anche AppArmor, una tecnologia concorrente di SELinux.(Sia SELinux che AppArmor sono elementi costitutivi del sandboxing di livello superiore come snap e flatpak.)
@mattdm So solo che AppArmor * è quella cosa che devo aggirare per far funzionare correttamente MySQL su Ubuntu, ora. *
E questo è generalmente il problema con una sicurezza forte: ostacola la comodità dell'utente.Questo non è un bug, ma un aspetto inevitabile del design, allo stesso modo in cui chiudere la porta di casa quando esci di casa significa che devi tirare fuori la chiave per sbloccarla quando torni a casa.
@Shadur Probabilmente è più corretto affermare che è una conseguenza del tentativo di aggiungere una forte sicurezza a un sistema legacy che attualmente non lo dispone.Se le app desktop e server avessero sempre dovuto enumerare esplicitamente le autorizzazioni di cui hanno bisogno (come fanno ora le app mobili), ci sarebbe molto meno attrito.
Puoi anche eseguire Chrome all'interno di un contenitore Linux, con accesso limitato al file system.Questo è ciò che faccio.
@James_pic è d'accordo, ma l'enumerazione delle autorizzazioni è solo un (buon) primo passo.Gli utenti generalmente devono essere istruiti per capire a cosa concedono il permesso.La maggior parte delle persone non tecniche accetterebbe semplicemente le autorizzazioni elencate richieste da un'app, più o meno come gli accordi con l'utente finale durante l'installazione del software.
La scansione delle impronte digitali e il riconoscimento degli occhi di @Shadur sono tutti mezzi più facili da usare per sbloccare una porta chiusa che non implicano che l'utente si ricordi di portare una chiave e quindi richieda loro di estrarla.Ci sarebbe forse un equivalente digitale?
@EdmundReed Anche se concedere l'autorizzazione temporanea è facile come fare clic su "Sì", gli utenti svilupperanno l'affaticamento dei clic e faranno clic automaticamente su qualsiasi richiesta di sicurezza, come nel caso dell'UAC o nella finestra di dialogo dell'autorizzazione dell'app mobile
Ángel
2018-06-14 03:04:58 UTC
view on stackexchange narkive permalink

Avvocati . Hai un contratto con Google che dichiara cosa faranno / gli permetti di fare. Si tratta dei Termini di servizio di Google Chrome. E ovviamente , l'hai letto attentamente prima di installarlo.

Questo include¹ estratti come questo (enfasi da me):

Per impostazione predefinita, le statistiche sull'utilizzo e i rapporti sugli arresti anomali vengono inviati a Google (…). Le statistiche sull'utilizzo contengono informazioni quali preferenze, clic sui pulsanti e utilizzo della memoria . In generale , le statistiche sull'utilizzo non includono URL di pagine web o informazioni personali, ma , se hai eseguito l'accesso a Chrome e hai sincronizzato la cronologia di navigazione nel tuo account Google senza sincronizzazione passphrase, quindi le statistiche sull'utilizzo di Chrome includono informazioni sulle pagine web visitate e sul loro utilizzo . Ad esempio, possiamo raccogliere statistiche per identificare le pagine web che si caricano lentamente. (…) I rapporti sugli arresti anomali contengono informazioni di sistema al momento dell'arresto anomalo e possono contenere URL di pagine Web o informazioni personali , a seconda di ciò che stava accadendo nel momento in cui è stato attivato il rapporto sull'arresto anomalo. Potremmo condividere informazioni aggregate e non identificabili personalmente pubblicamente e con partner, come editori, inserzionisti o sviluppatori web. Puoi modificare l'invio a Google delle statistiche sull'utilizzo e dei rapporti sugli arresti anomali in qualsiasi momento. Per saperne di più. Se le app Google Play sono abilitate sul Chromebook e le statistiche sull'utilizzo di Chrome sono abilitate, anche i dati di utilizzo e diagnostica di Android vengono inviati a Google .

Pertanto, installando Google Chrome (e non disabilitando queste opzioni), stai concedendo il consenso per fornire queste informazioni a Google.

Sarebbero tecnicamente in grado di raccogliere più informazioni di quelle dichiarate? Sì. Lo stanno facendo intenzionalmente? È improbabile, in quanto metterebbe l'azienda in una posizione precaria se venissero scoperti a rubare i dati degli utenti. È preferibile che aggiungano una nota nella loro politica che copre la loro raccolta (probabilmente includendo una logica accettabile come "questo ci consentirà di fornirti contenuti più adatti ai tuoi interessi", nel tentativo di renderlo meno scoraggiante), come legittima la loro pratica e poche persone leggono i termini legali, comunque.

Anche se una storia sulle informative sulla privacy di Google Chrome non sarebbe completa senza dire come, quando Google Chrome è stato lanciato, i suoi termini di utilizzo originariamente imponevano all'utente

"concedere a Google una licenza perpetua, irrevocabile, mondiale, esente da royalty e non esclusiva per riprodurre, adattare, modificare, tradurre, pubblicare, eseguire pubblicamente , visualizzare e distribuire pubblicamente qualsiasi Contenuto che invii, pubblichi o visualizzi su o attraverso "²

una frase che stavano utilizzando su altri servizi. Dopo un tumulto con questi termini apparentemente offensivi, hanno aggiornato i loro termini il giorno successivo, affermando che per qualunque contenuto l'utente produce utilizzando Google Chrome, mantiene i suoi diritti.

¹ In realtà nell ' Informativa sulla privacy di Google Chrome, incorporata dall'eula.

² https://www.mattcutts.com/blog/google-chrome-license-agreement/

+1 per aver menzionato i termini originali di Google Chrome.
Wayne Werner
2018-06-12 21:09:42 UTC
view on stackexchange narkive permalink

Quali processi e sistemi sono in atto affinché Google non sia in grado di copiare i dati sul mio computer?

Non c'è niente in atto che lo renda così non può ma c'è qualcosa in atto che rende improbabile che possano : fidarsi.

Il prodotto di Google sei tu . Vogliono sapere tutto di te ed essere in grado di prevedere ogni singola decisione che prenderai. Se possono farlo questo , possono incoraggiarti ad acquistare Ford invece di Chevy quando sarà il momento.

Hanno un contratto sociale con noi che dice che forniranno utili strumenti (e poi uccidili), come Google Drive, Chrome (ium), Blogger, Gmail, Google Foto, Maps, YouTube, Ricerca e così via, e in cambio lasceremo che minino il nostro informazioni su di noi con la consapevolezza che non faranno anche molte cose terribili e che cercheranno di rendere il Web un luogo più piacevole, con pubblicità più pertinente e nessuna delle cose fastidiose che ci fanno venir voglia di rompere le dita a qualcuno molto, molto lentamente per aver messo online uno di quegli stupidi annunci audio.

Parte di quella fiducia è che se installiamo uno dei loro programmi non inseriranno il codice in esso ciò comprometterà i nostri sistemi o consentirà loro di esserlo.

Perché se non ci fidiamo di Google, non daremo loro accesso al prodotto a cui sono così incredibilmente interessati: noi. Più ci fidiamo di Google, più prezioso è il loro prodotto che possono vendere agli inserzionisti. È nel migliore interesse di Google fare cose che aumentino tale fiducia, perché più ci fidiamo di Google, più possono addebitare gli inserzionisti, perché possono dire: "Guarda, conosciamo queste persone e sono disposte a comprare / leggere / ascolta / guarda le cose che ti consigliamo. Se il tuo prodotto corrisponde alle loro esigenze e ai loro interessi, allora consiglieremo loro il tuo prodotto e probabilmente lo acquisteranno perché siamo stati noi ad approvarlo. "

Questo è il sistema in atto per rendere una pessima idea per Google fare qualsiasi tipo di male con Chrome o qualsiasi altro software. La fiducia è qualcosa che è difficile da recuperare una volta persa, e Google lo sa sicuramente.

Allora per favore spiegami: nessuno che conosco si fida veramente di Microsoft, eppure tutti installano Windows.Perché dovrebbe essere diverso per Google / Facebook / Amazon / ...
@Alexander facile: le persone sono pigre ea proprio agio con ciò che è familiare anche se per loro è peggio.E Microsoft sovvenziona l'acquisto di alcuni hardware, motivo per cui di solito è più economico ottenere un computer con Windows installato che senza SO e installare Linux da soli.Ovviamente abbiamo sopportato una certa quantità di Google che ci fregava - togliendo Google Reader, trasformandolo sempre più in un giardino recintato (nessuna interfaccia GTalk / jabber, ecc.) - Lo stesso vale per Microsoft.Finché possiamo fingere che non sia un problema, lo sopporteremo.
Non sarei d'accordo sul fatto che le persone si fidino di Microsoft.Le persone si lamentano di Microsoft, ma non si aspettano che utilizzino Windows per registrare apposta le sequenze di tasti della password, per mantenere i profili delle loro abitudini pornografiche, per provare a costruire un database della loro storia medica e quindi per utilizzare tutti quei daticontro i loro utenti.Ci sono gradi e tipi di fiducia.Inoltre, penso che le persone si lamentino di Microsoft almeno in parte perché è diventato di moda lamentarsi di Microsoft.Ma sto divagando.
@WayneWerner Non direi che Google ci stia necessariamente "fottendo".Se una terza parte vuole darti qualcosa gratuitamente, ha il diritto assoluto di non dartelo gratuitamente in futuro.Sarebbe completamente diverso se pagassimo i loro servizi.
@dotnetengineer Certo, ma come ho detto, tecnicamente non è * gratuito * - è solo uno scambio con un valore implicito.
Grant Gryczan
2018-06-12 06:04:56 UTC
view on stackexchange narkive permalink

Estendendo la risposta di Arminius, che è completamente vera, vorrei chiarire che il valore della fiducia tra Google e gli utenti finali non è l'unico valore efficace per determinare se il tuo la fiducia nella loro integrità è equa.

La base di Chrome (Chromium) è open source, quindi gli sviluppatori possono verificarlo (e fare sempre) per vedere se Google sta implementando qualcosa di dannoso. Inoltre, se Google deve inviare i tuoi dati / file personali ai propri server, sarai in grado di verificarlo utilizzando un registro di rete, che è uno strumento che tiene traccia dell'attività Internet attraverso il tuo computer. C'è sempre anche una buona vecchia decompilazione, perché se qualcosa come il malware è implementato in Chrome e non in Chromium, dove la fonte è già aperta.

Credo sia importante capire che la fiducia non è l'unico fattore essere considerato qui. Esistono modi oggettivi per scoprire se Google, o chiunque altro, fa queste cose e vengono costantemente controllate da altri, quindi non c'è motivo di preoccuparsi che Google implementi tale malware.

Chiunque come azienda pratica non avrebbe comunque alcun motivo reale per inserire tale malware, dal momento che farlo ovviamente non comporterebbe un vantaggio netto (sfiducia oggettiva tra gli utenti, perdita di profitto, cose che in genere alle aziende non piacciono). La risposta di Wayne Werner copre bene questo aspetto.

Non sto dicendo che una situazione del genere sarebbe impossibile, ma che è estremamente improbabile.

Tieni presente che l'analisi dell'origine di Chromium per determinare che non contiene codice dannoso non ti aiuta a dimostrare che Chrome stesso non lo fa.Non ti aiuta nemmeno a dimostrare che le build di Chromium precompilate non lo fanno.(Anche compilarlo da soli non lo dimostra necessariamente, se qualcuno è stato in grado di compromettere il tuo compilatore.) Generalmente non è pratico verificare _tutto_ quindi a un certo punto devi fare affidamento sulla fiducia.Ma * ci sono * persone il cui lavoro e / o hobby implica la ricerca di questo genere di cose, specialmente nei browser, che possono darti una certa sicurezza.
@Miral se usi il pacchetto Chromium da repository affidabili come Debian, Fedora ecc. Puoi sapere che qualcuno ha almeno avuto la possibilità di controllare e rimuovere codice dannoso (come i blob binari proprietari).Se utilizzi i file binari di Google Chrome, sei completamente all'oscuro.
Per quanto riguarda il registro di rete, * sarà difficile * distinguerlo da un registro, perché Google applica la crittografia quasi ovunque e invia regolarmente informazioni di analisi ai propri server.Voglio dire, probabilmente non avrai la ** certezza ** di comportamenti anomali di Google semplicemente vedendo il traffico verso i server di sua proprietà.Tuttavia, la ricerca ha fatto molti progressi nell'analisi statistica del traffico di rete, quindi preferisco mantenere la tua dichiarazione sul registro di rete in una * area grigia *
Questo sembra un po 'come l'idea che "molti occhi rendono tutti gli insetti superficiali".Sebbene ciò sia vero in teoria, non è probabile che sia vero in pratica.i difetti di sicurezza sono sopravvissuti in software open source molto utilizzati per * decenni * e questo senza alcun tentativo di nasconderli.Un malintenzionato ben eseguito sarebbe probabilmente in grado di nascondere il codice dannoso in qualcosa delle dimensioni di chromium (diversi milioni di righe di codice) senza molte possibilità di essere rilevato.
Per inserire malware in Chromium dovrebbe essere uno sforzo di squadra di Google.Le persone dovrebbero controllare i reciproci impegni prima di renderli pubblici.
Non proprio;in realtà è banale.Estrai il codice Chromium, unisci al ramo contenente malware, crea.È lo stesso identico processo che stanno già utilizzando (presumibilmente senza malware) poiché * c'è * del codice non pubblico in Chrome.Ancora una volta, tuttavia, è improbabile che ciò accada effettivamente in quanto sarebbe un suicidio di fiducia se catturato, e per un'app di alto profilo ci sono persone che analizzano e decompilano i binari finali alla ricerca di falle di sicurezza e exploit tutto il tempo, il che nonNon garantisco che non ci sia, ma dovrebbe essere piuttosto sottile.È più probabile che tu riceva malware da qualsiasi altra app.
Anche questo è vero.
oh, non sto dicendo che sarebbe facile, ma usando Chrome ti fidi effettivamente che Google non sia dannoso (sia che ti fidi di questo perché ti fidi di loro o ti fidi di quello perché pensi che sarebbe una cattiva pratica commerciale iniettare malwareChrome non fa differenza qui).il punto era che la revisione del codice esterno di una base di codice delle dimensioni di cromo a) probabilmente non avviene eb) sarebbe improbabile che trovasse una porta sul retro intenzionalmente nascosta anche se lo avesse fatto.
Il punto che un caso del genere è _estremamente_ improbabile è il valore che sto cercando di trasmettere nella mia risposta.Inoltre, se le persone trovano una ragione oggettiva per diffidare di Google, dubito fortemente che Google ne trarrebbe vantaggio, e quindi dubito fortemente che Google avrebbe una ragione reale per _per_ inserire malware.Ancora una volta, la mia risposta si basa sul fatto che la situazione è improbabile, non che non possa accadere.È assolutamente possibile, ma solo se c'è un dipendente Google incontrollato e disonesto privo di ogni logica, o se Google diventa improvvisamente contro l'idea del profitto.
Jonah Benton
2018-06-18 07:47:24 UTC
view on stackexchange narkive permalink

Ci sono diverse risposte a questa domanda, inclusa una risposta accettata, ma nessuna, a mio giudizio, coglie la sfumatura appropriata.

La sfumatura implica la distinzione tra "politica" e "meccanismo". Questa distinzione trascende i sistemi tecnici e, per non dirla in modo troppo ampio, esiste in tutte le aree dell'attività umana regolamentata.

In generale, non esiste alcun meccanismo che impedisca al medico di rivelare i tuoi dati medici sensibili, tecnicamente codificati o no. Nel piccolo, non c'è alcun meccanismo che impedisca al garage in cui parcheggi la tua auto di cederla a qualche altra parte. In una società libera, chiunque può fare quasi tutto senza una supervisione immediata o ramificazioni. In altre parole, non ci sono meccanismi diretti e immediati che impediscono comportamenti scorretti.

Invece ci sono politiche, quelle implicite di solito chiamate norme che la maggior parte delle persone impara all'asilo, e quelle esplicite più sofisticate chiamate statuti e leggi e simili - che hanno meccanismi di applicazione, certo, ma in base ai quali la stragrande maggioranza della conformità avviene senza che tali meccanismi di applicazione siano esercitati. Questo è ovviamente il punto di fiducia menzionato nelle altre risposte. Una società libera è possibile solo con una cultura di fiducia molto, molto alta.

Nel software, siamo abituati a pensare alle cose in termini di meccanismi: questo e quello è impossibile a causa di questa e quella difficoltà tecnica . Ciò che è importante capire è che nel software, ancor più che nel mondo reale, TUTTI i meccanismi sono transitori e fungibili. Ciò che ieri era impossibile diventa un luogo comune domani.

Quindi l'unica cosa che "impedisce" che accada qualcosa di brutto nell'uso di un pezzo di software è in definitiva la politica, le norme implicite e il rispetto di regole esplicite, le politiche sulla privacy, i termini di servizio e così via. E se li leggi attentamente ti rendi conto che nessuno fa alcuna utile promessa legale per non fare nulla di male.

Quindi fai attenzione là fuori. L'unica cosa che hai è la tua capacità di esprimere giudizi informati sulla fiducia.

Penso che [la risposta di Wayne Werner] (https://security.stackexchange.com/a/187632/176607) avesse un sentimento simile, ma apprezzo la chiarezza sulle differenze tra politiche e meccanismi.
Sì, d'accordo.Saluti...
Josh
2018-06-13 19:06:23 UTC
view on stackexchange narkive permalink

La risposta di Arminius di "Nessuno" è la risposta più corretta ... Volevo solo aggiungere una risposta troppo grande per un commento:

Quali processi e sistemi sono in atto quindi che Google non è in grado di copiare i dati sul mio computer?

Se ne hai uno ed è configurato correttamente, il tuo firewall in uscita può avere questa responsabilità ... il problema è che ; s così tanto traffico durante la navigazione sul Web che diventa rapidamente impossibile impostare correttamente le regole.

Ad esempio, ecco una schermata di ciò che accade su il mio computer senza una regola che consenta l'accesso alla rete di Google Chrome a livello globale:

Google Chrome wants to connect to security.stackexchange.com on TCP port 443, do you want to allow this?

Se sapevi Chrome stava contattando un dominio Google per uso dannoso, potresti negare che:

Deny button highlighted on Google Chrome firewall prompt

Il problema è che durante la navigazione sul Web c'è una così ampia varietà di domini che sarebbe banale per Google "ingannare" gli utenti per consentire ai contenuti di un dominio e aggirare questa restrizione. Ma se sei esternamente attento e mirato (leggi: paranoico) questo è un metodo che potresti utilizzare.

Questo però è un po 'sciocco.Se non ti fidi del dominio `google.com`, non dovresti utilizzare Chrome in primo luogo!Inoltre, se si desidera solo bloccare l'accesso a particolari domini, ci sono modi più semplici per farlo (un modo è impostarli sull'indirizzo IP localhost nel file hosts, tra gli altri metodi).
@Muhd d'accordo riguardo se non ti fidi di Google, non usare il loro browser ... ma questa era la domanda.Nota che l'impostazione di "google.com" su "127.0.0.1" o qualcos'altro nel file hosts non impedisce alle applicazioni di accedere a Google, ma (probabilmente) fa sì che il risolutore DNS del sistema restituisca quell'IP.E questo era un esempio ... Uso questa tecnica con software che non voglio chiamare casa, o limitare la comunicazione in uscita alla mia LAN / ai miei server, ad esempio ... dove non so cosa faràparlare ma so con cosa gli permetterò di parlare.
Giusto.Sembra una tecnica utile di cui essere consapevoli.
ggb667
2018-06-13 20:34:02 UTC
view on stackexchange narkive permalink

Che cosa impedisce a Google di salvare tutte le informazioni sul mio computer tramite Google Chrome?

Se scolleghi il computer dalla rete, questa operazione verrà eseguita. Per proteggere ulteriormente il tuo computer puoi anche disattivare Wi-Fi, Bluetooth, ecc. E utilizzare sempre solo input manuale senza dispositivi rimovibili insieme alla schermatura RF per proteggere dalle perdite EM. Ciò ti proteggerà da tutto tranne che dalle intrusioni fisiche.

Per questo, operare in uno SCIF o in una gabbia di Farady protetta e chiusa con apparecchiature conformi all'ICD 503. Richiedi agli operatori di rimuovere tutti gli indumenti e altri oggetti ed eseguire ricerche fisiche incluse radiografie prima dell'accesso fisico per impedire l'introduzione di qualsiasi dispositivo di intercettazione. Esegui la stessa ricerca anche in uscita per assicurarti che non venga rimosso nulla.

Sebbene questa risposta generica sia un perfetto manuale da campo per cappellai di carta stagnola, non fornisce una risposta alla domanda "Cosa impedisce a Google di salvare tutte le informazioni sul mio computer tramite Google Chrome?"
In altre parole non ne hai idea, vero?
Lo scollegamento impedisce la rimozione di qualsiasi informazione dal computer.Questa è l'unica cosa che funziona.Google vuole TUTTE le tue informazioni.A cosa servono i colud, google docs, ecc.?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...