9 月 24 日消息 谷歌 Chrome 94 浏览器于近日发布,带来了多个新 API 。然而,其中一个 API 受到了苹果和 Mozilla 的联合反对。
出现争议的 API 名叫 Idle Detection API,该 API 可以检测用户是否处于空闲状态,如果用户没有与键盘、鼠标、屏幕交互,且电脑没有开启屏幕保护程序、锁定等,该 API 将会通知开发人员。
然而,苹果和 Mozilla 都表示该 API 存在监控用户的嫌疑,甚至还有更大的风险。
苹果认为:
我们担忧的不仅限于隐私问题,该 API 的另一个明显的问题就是可以让网站观察一个人是否在设备附近,从而在用户不注意的情况下偷偷挖矿或者部署恶意软件等。
Mozilla 认为:
按照目前的规范,我们认为该 API 将帮助网站监视用户,可被用于侵犯用户隐私、长期记录用户行为。
该 API 已出现在 Chrome 94 中,采用最新 Chromium 内核的浏览器也可以使用该 API 。
1
est 2021-09-24 12:12:16 +08:00
onblur 一波带走
|
2
cairnechen 2021-09-24 12:30:21 +08:00
在 b 站看视频,如果你长时间不在屏幕前,会弹出一个提示同时暂停视频播放,是为了节省带宽资源吧,应该没用到这个新的 API,是自己实现的,有了估计对他们更加方便了
|
3
halfdb 2021-09-24 12:32:50 +08:00 via Android 11
chrome 正在逐渐变成恶龙
|
5
Novichok 2021-09-24 12:39:55 +08:00 1
我们不作恶的,大家放心好了
|
6
harwck 2021-09-24 12:53:23 +08:00
停在 Chrome 91 就沒升了
|
7
matrix67 2021-09-24 12:56:14 +08:00
@cairnechen #2 这个是咋实现的,摄像头吗? 没有的话就能一直播放下去的吧
|
8
Tink 2021-09-24 12:59:47 +08:00 via Android
这个开发者用不用还是另外一码事呢,怎么就开始反抗了
|
9
Tink 2021-09-24 13:01:09 +08:00 via Android
我觉得这个 api 不恶用的话,还是很有想法的
|
10
harsonyoung 2021-09-24 13:03:14 +08:00
@matrix67 #7 应该是检测到长时间停留在直播页面没有操作就会弹提示
|
11
winterbells 2021-09-24 13:07:23 +08:00 via Android 1
@matrix67 斗鱼是长时间没操作会弹提醒。鼠标晃一下就好了
|
12
Z1on 2021-09-24 13:16:04 +08:00
之前没这 API 不也可以实现这种功能么?应该只是方便这种功能的开发了吧,而且之前的实现方法是可以用脚本绕过的,使用了 API 是不是没有比较好的绕过办法了?有没有比较懂的讲一讲
|
13
flyhaozi 2021-09-24 13:36:26 +08:00 1
@Z1on 浏览器的 API 最终还是要以 javascript 对象的形式去调用,只要能在调用的代码执行前插入脚本,覆盖掉相关的对象或方法,应该还是能绕过
|
16
felixcode 2021-09-24 13:59:54 +08:00 via Android
这个苹果为什么要反对,禁止在 iphone 和 macos 上运行 chrome 不就行了么
|
17
vate32 2021-09-24 14:08:24 +08:00 3
“如果一个东西会被坏人用,那么他一定会被坏人用”
|
18
ToPoGE 2021-09-24 14:08:46 +08:00 7
```
chrome://settings/content/idleDetection ``` 可以暂时关闭, 但还是那句话,希望出来一个新的浏览器完全干掉现在 IE ( chrome |
19
autoxbc 2021-09-24 14:59:09 +08:00 4
@Z1on #12 原来网页只能在自己的标签(视口)检测用户的状态,新的 API 允许网站检测用户在其他标签,其他软件,其他屏幕的状态,实际已经破坏了业界对 Web 安全的约束
这种 API 总是有用户态的方法屏蔽,也有开发端的方法反屏蔽,这是前端对抗的范畴,负责任的浏览器应该在系统层面拒绝这种越界提案 |
20
cslive 2021-09-24 15:30:54 +08:00 1
已禁用,这玩意太恶心了,以后主力还是 firefox 算了
|
21
TomatoYuyuko 2021-09-24 15:45:59 +08:00 1
v2 大部分都是开发者,现在面对新技术都已经这么“感性化”了吗
|
22
marczhao 2021-09-24 15:50:38 +08:00 via Android 1
看了一下,是 ask to know if 。
也就是说,会跳出来个框问用户是否允许权限。 这么看来好像还行,不是很恶心。 |
23
Zeonjl 2021-09-24 15:51:35 +08:00 via iPhone
google 赶脚已经走上不归路了
|
24
docx 2021-09-24 15:52:08 +08:00
@cairnechen #2 b 站那个好像是判断窗口是否在前台,而且触发机制很迷,多数情况后台播放着干别的事情也没触发
|
26
mascteen 2021-09-24 16:13:18 +08:00 via Android
Chrome 这么做我能想到是想把 chrome 上升到系统级,在 chrome 上的 app 可以拿到系统级 api
|
27
ReferenceE 2021-09-24 16:16:06 +08:00 via Android 1
上网课的学生正好可以准备 痛苦面具 了,哈哈哈哈哈哈哈哈(
|
28
whitedroa 2021-09-24 16:28:49 +08:00 2
@mascteen 这两种事物发明出来的作用完全不一样,发明锤子菜刀的目的是为了提高生产力,但是这种 api 发明的目的就是为了监视用户,而且几乎可以百分百确认可以被网站用来监视用户啊
|
29
pkoukk 2021-09-24 16:34:09 +08:00
@Cavolo ???edge 现在用的就是 Chromium 内核啊,和 chrome 只是 ui 不一样,有什么谁比谁良心一说呢
|
30
wszgrcy 2021-09-24 16:35:35 +08:00 2
所以说可以直接加载挖矿脚本了?只要空闲自动挖矿?
|
33
agagega 2021-09-24 17:56:19 +08:00 via iPhone
Slack 好像很久以前就有这个功能了(检测你有没有活动),是通过这个 API 实现的吗?
|
34
otakustay 2021-09-24 19:34:19 +08:00
我们现在是自己实现了一套逻辑(监听鼠标、键盘、focus 、blue 等一堆东西)来判断的,作用就是定时轮询的频率可以闲时降下来
所以这种东西,无论你有没有,真有需要的自己也会上,反而浪费你的机器性能 |
35
flyhaozi 2021-09-24 19:36:17 +08:00 2
@Z1on 写了个在允许了权限的情况下,绕过 Idle Detection 的脚本,就,写得很简单
不知道有啥网站用了这个 API,就现在来讲也没有装的必要😂 https://greasyfork.org/zh-CN/scripts/432878-idle-detection-bypasser |
36
shuxiao9058 2021-09-24 22:15:18 +08:00 via iPhone
转 Firefox
|
37
hanguokai 2021-09-24 22:30:17 +08:00
桌面的原生应用都有这个能力,只是过去 Web 没有(过去最多只能在自己的标签内对鼠标键盘做检测)。
这个功能有正当的使用用例,比如过去 QQ 和其它 IM 客户端有个功能:当用户空闲的时候设置为“离开”状态。 可以先参考相关讨论: https://groups.google.com/a/chromium.org/g/blink-dev/c/ZmHHfrR_jak https://github.com/WICG/idle-detection https://web.dev/idle-detection/ Chrome 扩展也有类似功能的 API (且不需要授权) https://developer.chrome.com/docs/extensions/reference/idle/ |
38
LigeLaige 2021-09-24 23:24:11 +08:00
|
39
autoxbc 2021-09-24 23:34:37 +08:00
@hanguokai #37 用户和任何一个最危险的网页之间只隔着一个点击,这和有人审计的扩展,和必须主动安装的原生都相去甚远,拿来类比并不合适
引入一个映射整个文件树到 BOM 的 API 是否合理?我看能举出不少正当的使用用例 |
40
hanguokai 2021-09-24 23:48:19 +08:00
|
42
emberzhang 2021-09-25 07:06:29 +08:00 1
随你们怎么说我也不会再用 firefox 和 edge 这两坨了。。。
|
43
zckevin 2021-09-25 08:25:25 +08:00
Project Fugu
|
44
wanguorui123 2021-09-25 17:17:11 +08:00 via iPhone
其实加不加都可以判断的
|
45
wenwen12345 287 天前
@flyhaozi #35 #35 你这个脚本好像会影响 alist 的弹出窗口,直接黑了
|