it-swarm-eu.dev

Cosa impedisce a Google di salvare tutte le informazioni sul mio computer tramite Google Chrome?

Ho notato che in Google Chrome, se digito file:///C:/Users/MyUsername/Desktop/ mi mostra tutte le cartelle sul mio desktop e posso digitare aprire PDF e simili in chrome semplicemente digitando il percorso del file.

Quali processi e sistemi sono in atto in modo che Google non sia in grado di copiare i dati memorizzati sul mio computer? Quali processi e sistemi sono in atto in modo che qualcuno che scrive un'estensione Chrome non è in grado di copiare i file memorizzati sul mio computer?

127
Pro Q

Quali processi e sistemi sono in atto in modo che Google non sia in grado di copiare i dati sul mio computer?

Nessuna. Google Chrome di solito viene eseguito con le autorizzazioni del tuo account utente. L'applicazione può quindi leggere e modificare i file locali nella stessa misura del tuo account utente. (Queste autorizzazioni si applicano alla maggior parte dei programmi che " stai usando.) Quindi devi fidarti di Google in quanto non spediscono un aggiornamento dannoso che ti spia, o mantenere i file sensibili inaccessibili all'account con cui stai eseguendo il browser. In alternativa, ci sono molto probabilmente sandbox implementazioni per il tuo sistema operativo che ti consentono di eseguire Chrome in un ambiente isolato con accesso limitato al filesystem.

Quali processi e sistemi sono in atto in modo che qualcuno che scrive un'estensione Chrome non è in grado di copiare i file sul mio computer?

Le estensioni di Chrome hanno privilegi limitati per impostazione predefinita. Un'estensione deve esplicitamente richiedere (dichiarare) un'autorizzazione per interagire con i documenti sul file:// schema.

Inoltre, il tuo browser non consente ai normali siti Web di leggere o addirittura reindirizzare a file:// URI. Pertanto, mentre i file locali sono accessibili al processo Chrome, non sono esposti al Web.

225
Arminius

Un software senza sandbox in esecuzione su un PC/Mac ha (generalmente) gli stessi privilegi dell'utente che lo esegue e quindi può accedere a tutti i dati a cui l'utente può accedere.

Ti stai fidando di Google (e di qualsiasi altro fornitore di software il cui codice viene eseguito) di non fare nulla di dannoso con tale accesso.

Se non ti fidi di Google, la tua unica opzione come utente generale del software è di non eseguire il loro codice.

La situazione con Chrome estensioni in qualche modo diverse. Google pone restrizioni su ciò che il fornitore di estensioni è in grado di fare e quando installi un'estensione ti dirà quali autorizzazioni le stai fornendo.

Ovviamente ti stai ancora fidando che Google abbia codificato correttamente queste restrizioni e potenzialmente ti fidi ancora degli autori delle estensioni con alcune autorizzazioni che potrebbero essere utilizzate per intraprendere azioni dannose.

84
Rory McCune

Se si esegue una distribuzione Linux con SELinux, è possibile avere un ulteriore livello di sicurezza. SELinux è una tecnologia a livello di sistema operativo che consente rigide restrizioni a quali processi - come il processo del browser - possono accedere. In effetti, in Fedora e in Red Hat Enterprise Linux (dichiarazione di non responsabilità: lavoro per Red Hat, su Fedora!), Per impostazione predefinita per Firefox e Chrome esiste un leggero confinamento. Ciò risulta difficile e scomodo da rendere più rigoroso per la maggior parte degli utenti - vedi questo post sul blog del guru di SELinux Dan Walsh per ulteriori informazioni.

Ci sono lavori in corso in Linux in generale per eseguire più applicazioni a livello di utente con maggiori restrizioni (vedere ad esempio Flatpak).

37
mattdm

Avvocati . Hai un contratto con Google che indica cosa faranno/che gli consenti di fare. Questo si chiama Google Chrome Termini di servizio . E ovviamente, l'hai letto attentamente prima di installarlo.

Questo include¹ brani come questo (enfasi da me):

Per impostazione predefinita, le statistiche sull'utilizzo e i rapporti sugli arresti anomali vengono inviati a Google (...). Le statistiche sull'utilizzo contengono informazioni come preferenze, clic sui pulsanti e utilizzo della memoria . In generale, le statistiche sull'utilizzo non includono gli URL delle pagine Web o le informazioni personali, ma , se si è effettuato l'accesso a Chrome e sincronizzazione della cronologia di navigazione nel tuo account Google senza passphrase di sincronizzazione, quindi Le statistiche sull'utilizzo di Chrome includono informazioni sulle pagine web che visiti e il loro utilizzo . Ad esempio, potremmo raccogliere statistiche per identificare le pagine Web che si caricano lentamente. (...) I rapporti sugli arresti anomali contengono informazioni di sistema al momento dell'arresto anomalo e può contenere URL di pagine Web o informazioni personali , a seconda di ciò che stava accadendo al momento dell'attivazione del rapporto sugli arresti anomali. Potremmo condividere informazioni aggregate, non identificabili personalmente, e con partner come editori, inserzionisti o sviluppatori Web. Puoi modificare se le statistiche sull'utilizzo e i rapporti sugli arresti anomali vengono inviati a Google in qualsiasi momento. Ulteriori informazioni. Se le app di Google Play sono abilitate sul Chromebook e Chrome sono e abilitato, quindi i dati diagnostici e di utilizzo di Android vengono inviati anche a Google .

Pertanto, installando Google Chrome (e non disabilitando queste opzioni), stai dando il consenso per fornire queste informazioni a Google.

Sarebbero in grado tecnicamente di raccogliere più informazioni di quelle che hanno dichiarato? Sì. Lo stanno facendo intenzionalmente? È improbabile, poiché metterebbe la società in una posizione precaria qualora venissero sorpresi a rubare i dati degli utenti. È preferibile per loro aggiungere una nota nella loro politica che copre il loro incontro (probabilmente includendo una logica accettabile come "questo ci permetterà di fornirti contenuti più adatti ai tuoi interessi", nel tentativo di renderlo meno scoraggiante), come legittima la loro pratica e poche persone leggono i termini legali , comunque.

Sebbene una storia su Google Chrome non sarebbero complete senza dire come, quando Google Chrome, i suoi termini di utilizzo originariamente rendevano l'utente

"Concedere a Google una licenza perpetua, irrevocabile, mondiale, esente da royalty e non esclusiva per riprodurre, adattare, modificare, tradurre, pubblicare, eseguire pubblicamente, visualizzare e distribuire pubblicamente qualsiasi Contenuto inviato, pubblicato o visualizzato su o attraverso" ²

una frase che stavano usando su altri servizi. Dopo un tumulto con questi termini apparentemente offensivi, hanno aggiornato i loro termini il giorno successivo, affermando che per qualsiasi contenuto che l'utente produce utilizzando Google Chrome, conserva i suoi diritti.

¹ In realtà nel Google Chrome Informativa sulla privacy , incorporato dall'eula.

² https://www.mattcutts.com/blog/google-chrome-license-agreement/

23
Ángel

Quali processi e sistemi sono in atto in modo che Google non sia in grado di copiare i dati sul mio computer?

Non c'è nulla in atto che lo rende così impossibile ma c'è qualcosa in atto che rende improbabile che sarebbe : trust.

Il prodotto di Google sei tu . Vogliono sapere tutto di te ed essere in grado di prevedere ogni singola decisione che tu possa mai prendere. Se riescono a farlo possono incoraggiarti ad acquistare Ford invece di Chevy quando arriva il momento.

Hanno un contratto sociale con noi che dice che forniranno strumenti utili (e quindi ccidili ), come Google Drive, Chrome (ium), Blogger, Gmail, Google Foto, Maps, YouTube, Cerca, ecc. E, in cambio, lasceremo che estraggano le nostre informazioni su di noi con la consapevolezza che non faranno anche molte cose terribili, e che proveranno a rendere il Web un posto più piacevole, con pubblicità più pertinenti e nessuna delle cose fastidiose che ci fanno desiderare di rompere molto lentamente le dita di qualcuno per mettere online una di quelle stupide pubblicità audio.

Parte di quella fiducia è che se installiamo uno dei loro programmi che non inseriranno codice che comprometterà i nostri sistemi o consentirà loro di esserlo.

Perché se non ci fidiamo di Google, non daremo loro accesso al prodotto a cui sono così incredibilmente interessati: noi. Più ci fidiamo di Google, più prezioso il loro prodotto è (noi) che possono vendere agli inserzionisti. È nel migliore interesse di Google fare cose che accrescano tale fiducia - perché più ci fidiamo di Google, più possono addebitare gli inserzionisti, perché possono dire: "Guarda, conosciamo queste persone e sono disposti ad acquistare/leggere/ascolta/guarda le cose che ti consigliamo. Se il tuo prodotto soddisfa le loro esigenze e interessi, allora ti consiglieremo il tuo prodotto e probabilmente lo compreranno perché siamo stati noi a sostenerlo. "

Questo è il sistema che è in atto per renderlo molto molto cattiva idea per Google di fare qualsiasi tipo di male con Chrome o qualsiasi altro loro software. La fiducia è qualcosa che è difficile da recuperare una volta persa, e Google sicuramente lo sa.

18
Wayne Werner

Estendendo la risposta di Arminius , il che è del tutto vero, vorrei chiarire che il valore della fiducia tra Google e gli utenti finali non è l'unico valore efficace nel determinare se la vostra fiducia nei loro l'integrità è giusta.

La base di Chrome (Chromium) è open-source, quindi gli sviluppatori possono verificarlo (e fare tutto il tempo) per vedere se Google sta implementando qualcosa di dannoso. Inoltre, se Google deve inviare i tuoi dati/file personali ai propri server, sarai in grado di dirlo utilizzando un registro di rete, che è uno strumento che traccia l'attività di Internet attraverso il tuo computer. C'è anche sempre una buona decompilazione, perché se qualcosa come il malware in Chrome è implementato e non in Chromium dove la fonte è già aperta.

Credo che sia importante capire che la fiducia non è l'unico fattore da considerare qui. Esistono modi oggettivi per scoprire se Google o chiunque altro fa queste cose e vengono controllati da altri in ogni momento, quindi non c'è motivo di preoccuparsi dell'implementazione di tale malware da parte di Google.

Chiunque come una società pratica non avrebbe alcun vero motivo per inserire tale malware, dato che farlo ovviamente non causerebbe un vantaggio netto (sfiducia oggettiva tra gli utenti, perdita di profitto, cose che le aziende in genere non gradiscono). risposta di Wayne Werner copre bene.

Non sto dicendo che una situazione del genere sarebbe impossibile, ma che è estremamente improbabile.

6
Grant Gryczan

Esistono diverse risposte a ciò, inclusa una risposta accettata, ma nessuna a mio giudizio cattura la sfumatura appropriata.

La sfumatura implica la distinzione tra "politica" e "meccanismo". Questa distinzione trascende i sistemi tecnici e, per non dire troppo grande, esiste in tutte le aree dello sforzo umano regolamentato.

In generale, non esiste alcun meccanismo che impedisca al medico di rivelare i tuoi dati medici sensibili, tecnicamente codificati o no. Nel piccolo, non esiste alcun meccanismo che impedisce al garage in cui parcheggi la tua auto di regalare la tua auto a un'altra parte. In una società libera, chiunque può fare quasi tutto senza supervisione o ramificazioni immediate. In altre parole, non esistono meccanismi diretti e immediati per prevenire comportamenti scorretti.

Invece ci sono politiche - quelle implicite di solito chiamate norme che la maggior parte delle persone apprende dall'asilo, e quelle esplicite più sofisticate chiamate statuti e leggi e simili - che hanno meccanismi di applicazione, certo, ma in base alle quali si verifica la vasta, vasta maggioranza della conformità senza che tali meccanismi di esecuzione vengano esercitati. Questo è ovviamente il punto di fiducia menzionato nelle altre risposte. Una società libera è possibile solo con una cultura di altissima fiducia.

Nel software, siamo abituati a pensare alle cose in termini di meccanismi - tali e tali è impossibile a causa di questa e quella difficoltà tecnica. Ciò che è importante capire è nel software, ancor più che nel mondo reale, TUTTI i meccanismi sono transitori e fungibili. Ciò che era impossibile ieri diventa banale domani.

Quindi l'UNICA cosa che "impedisce" che accada qualcosa di brutto nell'uso di un software è in definitiva la politica, le norme implicite e il rispetto delle regole esplicite, le politiche sulla privacy, i termini di servizio e così via. E se li leggi attentamente ti rendi conto che nessuno fa promesse legali utili a non fare nulla di male.

Perciò sii cauto là fuori. L'unica cosa che hai è la tua capacità di esprimere giudizi informati sulla fiducia.

3
Jonah Benton

La risposta di "Nessuno" di Arminius è la risposta più corretta ... Volevo solo aggiungere una risposta troppo grande per un commento:

Quali processi e sistemi sono in atto in modo che Google non sia in grado di copiare i dati sul mio computer?

Se ne hai uno, ed è configurato correttamente, il tuo Firewall in uscita può essere responsabile di questa responsabilità ... il problema è, poiché lì; s così tanto traffico quando stai navigando sul Web che diventa rapidamente impossibile impostare correttamente le regole.

Ad esempio, ecco una schermata di ciò che accade sul mio computer senza una regola che consenta a Google Chrome accesso alla rete a livello globale:

Google Chrome wants to connect to security.stackexchange.com on TCP port 443, do you want to allow this?

Se tu sapessi Chrome stava contattando un dominio google per uso dannoso, potresti negare che:

Deny button highlighted on Google Chrome firewall Prompt

Il problema è che durante la navigazione sul Web esiste una così vasta gamma di domini che sarebbe banale per Google "ingannare" gli utenti per consentire il contenuto di un dominio e aggirare questa restrizione. Ma se sei esternamente attento e mirato (leggi: paranoico) questo è un metodo che potresti usare.

2
Josh

Cosa impedisce a Google di salvare tutte le informazioni sul mio computer tramite Google Chrome?

Scollegando il computer dalla rete lo farà. Per proteggere ulteriormente il tuo computer, puoi anche disattivare wifi, bluetooth, ecc. E utilizzare sempre solo l'input manuale senza dispositivi rimovibili insieme a RF schermatura per proteggere dalle perdite EM. Questo ti proteggerà da tutto tranne l'intrusione fisica.

A tale scopo, operare in uno SCIF o in una gabbia farady sicura codificata con apparecchiature conformi a ICD 503. Richiedere agli operatori di rimuovere tutti gli indumenti e altri oggetti ed eseguire ricerche fisiche tra cui i raggi X prima dell'accesso fisico per impedire l'introduzione di qualsiasi dispositivo di intercettazione. Esegui anche la stessa ricerca in uscita per assicurarti che non venga rimosso nulla.

2
ggb667