Szerző: Hlács Ferenc

2018. szeptember 24. 12:07:00

Kérés nélkül bejelentkeztet a Chrome (frissítve)

A Google-szolgáltatásokkal a böngészőbe is automatikusan beléptet a keresőóriás. A cég szerint ezzel a böngészési előzményeket nem menti automatikusan a szoftver - vagy legalábbis nem mindenkinél.

Széleskörű nemtetszést váltott ki a Chrome radar alatt élesített, komoly adatvédelmi problémákat hordozó új funkciója: a Chrome 69-cel a szoftver magában a böngészőben is automatikusan bejelentkezteti a felhasználókat Google-profiljukkal, ha azok a keresőóriás valamely szolgáltatásába belépnek felületén - akkor is, ha az erre vonatkozó opciót a böngésző első indításakor a felhasználó expliciten elutasította.

A helyzetet tovább rontja, hogy kéretlen bejelentkeztetésről a böngésző egyáltalán nem értesíti a felhasználót, mindössze a jobb felső sarokban jelenik meg a Google szolgáltatásokban megadott profilkép, jelezve, hogy a profil már a böngészőben is aktív. A Google szerint azért volt szükség a vitatott újításra, mert ha valaki a Chrome-ból úgy próbál egy Google szolgáltatásba belépni, hogy közben egy másik fiók tulajdonosa jelentkezett be a böngészőbe, az összekavarhatja a két fiókhoz tartozó Google cookie-kat. Gyorsan világossá válik, hogy miután az indoklásból teljesen kimaradtak azok a felhasználók, akik egyáltalán nem szeretnének bejelentkezni a böngészőbe, azaz akiket a lépés a leginkább érzékenyen érint, a keresőóriás válasza inkább csak gyors tűzoltási próbálkozás volt.

Elmaradt értesítés, félrevezető UI

A vállalat munkatársa emellett azzal is próbálja nyugtatni az elégedetlenségüknek Twitteren is aktívan hangot adó felhasználókat, hogy a bejelentkezés nem jelenti rögtön azt is, hogy a szoftver böngészési előzményeiket is kapásból szinkronizálja, ez azonban a legtöbbeknek sovány vigasz - főleg figyelembe véve, hogy a többek között az adatszinkronizáció ki- és bekapcsolását szolgáló beállítási menüt nem épp felhasználóbarát módon alakította ki a cég.

chrmill

Kép: Adrienne Proter Felt, Twitter

A menü, amelyet az "erőszakkal" bejelentkeztetett felhasználók jó eséllyel először látnak, egy nagyméretű gombbal nyit, amelyen a "szinkronizálás mint" szöveg, illetve a felhasználó neve szerepel - ebből azonban korántsem egyértelmű, hogy a gombra bökve indítható el a szinkronizálás, vagy épp az már az aktív szinkronizációt jelzi. Matthew Green, a Johns Hopkins Egyetem hírneves biztonsági szakértője hosszas blogposztban korholja a Google-t az agresszív bejelentkeztetés miatt, írásában pedig maga is kiemeli, hogy a beállítások menü kimeríti a "dark pattern" fogalmát, azaz olyan UI-t jelent, amely kifejezetten a fejlesztő céljaira igyekszik rávezetni a felhasználót, akaratán kívül.

A lépés leginkább vitatható része tehát nem is maga a szinte kötelező bejelentkezés, hanem az, hogy a Google erről semmilyen formában nem értesíti a felhasználót. Ezzel kapcsolatban Twitteren is többen hangot adtak aggodalmaiknak, kiemelve, hogy egy rossz kattintás és a böngészési adatok szinkronizálása is megkezdődik. A Google pedig mint látható nem igazán töri magát, hogy utóbbi funkció állapota egyértelmű legyen.

November 27-28-án ismét HWSW mobile! (x) A legnagyobb hazai digitális termékfejlesztési konferenciára most kedvezményesen lehet regisztrálni! 2 nap, 1000 látogató, dedikált workshopnap.

Adrienne Proter Felt, a Chrome fejlesztője ugyancsak Twitteren próbálta csitítani a kedélyeket, szintén hangsúlyozva, hogy a bejelentkeztetés nem jelenti rögtön az előzmények elküldését a Google-nek, továbbá azt is hozzátéve, hogy a cég már dolgozik az adatvédelmi irányelvei frissítésén a változásoknak megfelelően. Arra ugyanakkor nem tért ki, hogy például ezeket a módosításokat miért a funkció élesítése utánra hagyta a Google, és arra sem, miért nem dob fel a böngésző semmilyen értesítést a bejelentkeztetések kapcsán, vagy épp hogy miért használ erősen félrevezető UI-t a szinkronizálás beállításainál.

Ennél csak rosszabb lesz

De a jövő sem fest túl fényesen, a Chrome 69-cel publikált, adatvédelemre vonatkozó white paperből ugyanis kiderül, egyes felhasználóknál a Google tesztjelleggel új beállítási felületet vezet be Sync and Google services név alatt, amelyben a korábban különálló szinkronizációs és adatvédelmi beállításokat egy fedél alá hozza - ezen belül pedig új adatgyűjtési opciók is feltűnnek: a “Make searches and browsing better (Sends URLs of pages you visit to Google)”, illetve az "Activity and interactions" formájában.

Míg előbbi névtelenül küldi el a felhasználó által begépelt URL-eket a Google-nek, utóbbi a bejelentkezett felhasználóknál már az adott fiókhoz kötve továbbítja ezeket az információkat, a "böngészési élmény személyre szabása" végett. Ahogy a white paperben a Google is rámutat, ezeket az URL-eket eddig csak az előzmények aktív szinkronizálása mellett továbbította a böngésző. Azok a felhasználók, akik megkapják az új funkciót, a böngésző indításakor új értesítőablakot is kapnak, amelyben a cég igyekszik egyértelműsíteni az átalakított szinkronizációs magatartást - ha tehát a felhasználó rábólint az adatok szinkronizálására, a hagyományos Sync mellet a fenti két opció is bekapcsolódik. Nagyobb probléma viszont, hogy a leírás szerint a Sync kikapcsolásával a fentiek, beleértve az Activity and interactions funkciót is, aktívak maradnak, a bejelentkeztetett felhasználók adatait tehát változatlanul szinkronizálja majd a böngésző, szemben cég mérnökeinek twitteres nyilatkozataival.

Aki tehát továbbra is kitart a Chrome mellett, és nem szándékozik megosztani böngészési előzményeit a Google-lel, jobb ha dupla figyelmet fordít biztonsági beállításaira - egyrészt meggyőződve róla, hogy épp be van-e jelentkezve a böngészőben, másrészt a lekapcsolt szinkronizációt ellenőrizve, ha pedig az új funkciók szerencsés tesztbázisába tartozik, az átrajzolt biztonsági menüben azokat is külön kikapcsolva.

Frissítés: a Google a hangos felhasználói panaszokra reagálva bejelentette, a Chrome következő 70-es verziójában a Privacy and security menü új pontot kap, amely alatt ki- és bekapcsolható lesz a Chrome automatikus bejelentkeztetése, emellett a vitatott felhasználói felülettel rendelkező szinkronizálási menü is jóval érthetőbb UI-t kap.

goognwu

Időközben továbbá egy újabb probléma is felmerült: a Chrome 69 a cookie-k törlése után is megtartja a Google-cookie-kat - az erősen kifogásolható magatartás a keresőóriás ígérete szerint a Chrome 70-nel ugyancsak megszűnik. A frissítés október közepén várható.

a címlapról

Hirdetés

November 27-28-án ismét HWSW mobile!

2019. október 24. 01:58

A legnagyobb hazai digitális termékfejlesztési konferenciára most early bird kedvezménnyel lehet regisztrálni! 2 nap, 1000 látogató, dedikált workshopnap.