V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
leafre
V2EX  ›  Chrome

谷歌 Chrome 94 新 API 引争议,苹果和 Mozilla 联合反对

  •  2
     
  •   leafre · 2021-09-24 12:03:39 +08:00 · 6188 次点击
    这是一个创建于 1190 天前的主题,其中的信息可能已经有所发展或是发生改变。

    9 月 24 日消息 谷歌 Chrome 94 浏览器于近日发布,带来了多个新 API 。然而,其中一个 API 受到了苹果和 Mozilla 的联合反对。

    出现争议的 API 名叫 Idle Detection API,该 API 可以检测用户是否处于空闲状态,如果用户没有与键盘、鼠标、屏幕交互,且电脑没有开启屏幕保护程序、锁定等,该 API 将会通知开发人员。

    然而,苹果和 Mozilla 都表示该 API 存在监控用户的嫌疑,甚至还有更大的风险。

    苹果认为:

    我们担忧的不仅限于隐私问题,该 API 的另一个明显的问题就是可以让网站观察一个人是否在设备附近,从而在用户不注意的情况下偷偷挖矿或者部署恶意软件等。

    Mozilla 认为:

    按照目前的规范,我们认为该 API 将帮助网站监视用户,可被用于侵犯用户隐私、长期记录用户行为。

    该 API 已出现在 Chrome 94 中,采用最新 Chromium 内核的浏览器也可以使用该 API 。

    45 条回复    2024-02-04 19:28:24 +08:00
    est
        1
    est  
       2021-09-24 12:12:16 +08:00
    onblur 一波带走
    cairnechen
        2
    cairnechen  
       2021-09-24 12:30:21 +08:00
    在 b 站看视频,如果你长时间不在屏幕前,会弹出一个提示同时暂停视频播放,是为了节省带宽资源吧,应该没用到这个新的 API,是自己实现的,有了估计对他们更加方便了
    halfdb
        3
    halfdb  
       2021-09-24 12:32:50 +08:00 via Android   ❤️ 11
    chrome 正在逐渐变成恶龙
    Cavolo
        4
    Cavolo  
       2021-09-24 12:35:52 +08:00 via iPhone   ❤️ 1
    @halfdb 还是比 EDGE 良心
    Novichok
        5
    Novichok  
       2021-09-24 12:39:55 +08:00   ❤️ 1
    我们不作恶的,大家放心好了
    harwck
        6
    harwck  
       2021-09-24 12:53:23 +08:00
    停在 Chrome 91 就沒升了
    matrix67
        7
    matrix67  
       2021-09-24 12:56:14 +08:00
    @cairnechen #2 这个是咋实现的,摄像头吗? 没有的话就能一直播放下去的吧
    Tink
        8
    Tink  
       2021-09-24 12:59:47 +08:00 via Android
    这个开发者用不用还是另外一码事呢,怎么就开始反抗了
    Tink
        9
    Tink  
       2021-09-24 13:01:09 +08:00 via Android
    我觉得这个 api 不恶用的话,还是很有想法的
    harsonyoung
        10
    harsonyoung  
       2021-09-24 13:03:14 +08:00
    @matrix67 #7 应该是检测到长时间停留在直播页面没有操作就会弹提示
    winterbells
        11
    winterbells  
       2021-09-24 13:07:23 +08:00 via Android   ❤️ 1
    @matrix67 斗鱼是长时间没操作会弹提醒。鼠标晃一下就好了
    Z1on
        12
    Z1on  
       2021-09-24 13:16:04 +08:00
    之前没这 API 不也可以实现这种功能么?应该只是方便这种功能的开发了吧,而且之前的实现方法是可以用脚本绕过的,使用了 API 是不是没有比较好的绕过办法了?有没有比较懂的讲一讲
    flyhaozi
        13
    flyhaozi  
       2021-09-24 13:36:26 +08:00   ❤️ 1
    @Z1on 浏览器的 API 最终还是要以 javascript 对象的形式去调用,只要能在调用的代码执行前插入脚本,覆盖掉相关的对象或方法,应该还是能绕过
    ShuoHui
        14
    ShuoHui  
       2021-09-24 13:38:57 +08:00 via iPhone
    @Tink #6 你有点搞笑,这也能“理中客”?
    whitedroa
        15
    whitedroa  
       2021-09-24 13:56:25 +08:00   ❤️ 8
    @Tink 你是什么 sb 。。。。提供了 api 恶人不会用?带点逻辑好吧
    felixcode
        16
    felixcode  
       2021-09-24 13:59:54 +08:00 via Android
    这个苹果为什么要反对,禁止在 iphone 和 macos 上运行 chrome 不就行了么
    vate32
        17
    vate32  
       2021-09-24 14:08:24 +08:00   ❤️ 3
    “如果一个东西会被坏人用,那么他一定会被坏人用”
    ToPoGE
        18
    ToPoGE  
       2021-09-24 14:08:46 +08:00   ❤️ 7
    ```
    chrome://settings/content/idleDetection

    ```

    可以暂时关闭,
    但还是那句话,希望出来一个新的浏览器完全干掉现在 IE ( chrome
    autoxbc
        19
    autoxbc  
       2021-09-24 14:59:09 +08:00   ❤️ 4
    @Z1on #12 原来网页只能在自己的标签(视口)检测用户的状态,新的 API 允许网站检测用户在其他标签,其他软件,其他屏幕的状态,实际已经破坏了业界对 Web 安全的约束

    这种 API 总是有用户态的方法屏蔽,也有开发端的方法反屏蔽,这是前端对抗的范畴,负责任的浏览器应该在系统层面拒绝这种越界提案
    cslive
        20
    cslive  
       2021-09-24 15:30:54 +08:00   ❤️ 1
    已禁用,这玩意太恶心了,以后主力还是 firefox 算了
    TomatoYuyuko
        21
    TomatoYuyuko  
       2021-09-24 15:45:59 +08:00   ❤️ 1
    v2 大部分都是开发者,现在面对新技术都已经这么“感性化”了吗
    marczhao
        22
    marczhao  
       2021-09-24 15:50:38 +08:00 via Android   ❤️ 1
    看了一下,是 ask to know if 。
    也就是说,会跳出来个框问用户是否允许权限。
    这么看来好像还行,不是很恶心。
    Zeonjl
        23
    Zeonjl  
       2021-09-24 15:51:35 +08:00 via iPhone
    google 赶脚已经走上不归路了
    docx
        24
    docx  
       2021-09-24 15:52:08 +08:00
    @cairnechen #2 b 站那个好像是判断窗口是否在前台,而且触发机制很迷,多数情况后台播放着干别的事情也没触发
    mascteen
        25
    mascteen  
       2021-09-24 16:10:26 +08:00 via Android   ❤️ 1
    @whitedroa 你又是什么 sb,锤子菜刀铁瞅能杀人难道就不应该被发明出来
    mascteen
        26
    mascteen  
       2021-09-24 16:13:18 +08:00 via Android
    Chrome 这么做我能想到是想把 chrome 上升到系统级,在 chrome 上的 app 可以拿到系统级 api
    ReferenceE
        27
    ReferenceE  
       2021-09-24 16:16:06 +08:00 via Android   ❤️ 1
    上网课的学生正好可以准备 痛苦面具 了,哈哈哈哈哈哈哈哈(
    whitedroa
        28
    whitedroa  
       2021-09-24 16:28:49 +08:00   ❤️ 2
    @mascteen 这两种事物发明出来的作用完全不一样,发明锤子菜刀的目的是为了提高生产力,但是这种 api 发明的目的就是为了监视用户,而且几乎可以百分百确认可以被网站用来监视用户啊
    pkoukk
        29
    pkoukk  
       2021-09-24 16:34:09 +08:00
    @Cavolo ???edge 现在用的就是 Chromium 内核啊,和 chrome 只是 ui 不一样,有什么谁比谁良心一说呢
    wszgrcy
        30
    wszgrcy  
       2021-09-24 16:35:35 +08:00   ❤️ 2
    所以说可以直接加载挖矿脚本了?只要空闲自动挖矿?
    HongJay
        31
    HongJay  
       2021-09-24 16:43:24 +08:00   ❤️ 1
    @Tink #8 你这明显带点利益相关了啊
    Cavolo
        32
    Cavolo  
       2021-09-24 16:45:17 +08:00 via iPhone
    @pkoukk 微软加壳后急着搞一堆自己的东西,不忘给你塞点广告
    agagega
        33
    agagega  
       2021-09-24 17:56:19 +08:00 via iPhone
    Slack 好像很久以前就有这个功能了(检测你有没有活动),是通过这个 API 实现的吗?
    otakustay
        34
    otakustay  
       2021-09-24 19:34:19 +08:00
    我们现在是自己实现了一套逻辑(监听鼠标、键盘、focus 、blue 等一堆东西)来判断的,作用就是定时轮询的频率可以闲时降下来
    所以这种东西,无论你有没有,真有需要的自己也会上,反而浪费你的机器性能
    flyhaozi
        35
    flyhaozi  
       2021-09-24 19:36:17 +08:00   ❤️ 2
    @Z1on 写了个在允许了权限的情况下,绕过 Idle Detection 的脚本,就,写得很简单
    不知道有啥网站用了这个 API,就现在来讲也没有装的必要😂
    https://greasyfork.org/zh-CN/scripts/432878-idle-detection-bypasser
    shuxiao9058
        36
    shuxiao9058  
       2021-09-24 22:15:18 +08:00 via iPhone
    转 Firefox
    hanguokai
        37
    hanguokai  
       2021-09-24 22:30:17 +08:00
    桌面的原生应用都有这个能力,只是过去 Web 没有(过去最多只能在自己的标签内对鼠标键盘做检测)。
    这个功能有正当的使用用例,比如过去 QQ 和其它 IM 客户端有个功能:当用户空闲的时候设置为“离开”状态。

    可以先参考相关讨论:
    https://groups.google.com/a/chromium.org/g/blink-dev/c/ZmHHfrR_jak
    https://github.com/WICG/idle-detection
    https://web.dev/idle-detection/

    Chrome 扩展也有类似功能的 API (且不需要授权) https://developer.chrome.com/docs/extensions/reference/idle/
    autoxbc
        39
    autoxbc  
       2021-09-24 23:34:37 +08:00
    @hanguokai #37 用户和任何一个最危险的网页之间只隔着一个点击,这和有人审计的扩展,和必须主动安装的原生都相去甚远,拿来类比并不合适

    引入一个映射整个文件树到 BOM 的 API 是否合理?我看能举出不少正当的使用用例
    hanguokai
        40
    hanguokai  
       2021-09-24 23:48:19 +08:00
    @autoxbc > 用户和任何一个最危险的网页之间只隔着一个点击。

    这个 API 在打开网页之后需要先授权才能使用的,和摄像头、地理位置 API 类似。并不是默认可用,用户可以拒绝、也可以取消授权。
    Cielsky
        41
    Cielsky  
       2021-09-25 00:34:11 +08:00 via Android
    @Tink 这不一样吧,就国内公司这调性,积极的方面从来不积极支持,监控用户的肯定积极跟上
    emberzhang
        42
    emberzhang  
       2021-09-25 07:06:29 +08:00   ❤️ 1
    随你们怎么说我也不会再用 firefox 和 edge 这两坨了。。。
    zckevin
        43
    zckevin  
       2021-09-25 08:25:25 +08:00
    Project Fugu
    wanguorui123
        44
    wanguorui123  
       2021-09-25 17:17:11 +08:00 via iPhone
    其实加不加都可以判断的
    wenwen12345
        45
    wenwen12345  
       327 天前
    @flyhaozi #35 #35 你这个脚本好像会影响 alist 的弹出窗口,直接黑了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   985 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:57 · PVG 06:57 · LAX 14:57 · JFK 17:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.