Leggo su Downloadblog un articolo agghiacciante, che meriterebbe, per qualità e quantità di fesserie che ci sono scritte, di comparire sulle pagine di Repubblica dedicate alla Tecnologia.
Nell'articolo in questione si paventa - udite udite - la presenza di un keylogger all'interno di Chrome.
Ora: il codice di Chrome è opensource (rilasciato sotto licenza BSD) e nessuna persona dotata di un cervello mediamente sviluppato e funzionante si sognerebbe mai di infilare un keylogger dentro a un software opensource. Si dà il caso, poi, che gli ingegneri di Google non siano gli ultimi deficienti del pianeta, tutt'altro.
Quindi?
Quindi non c'è nessun keylogger dentro Chrome e non c'è nessun keylogger dentro Chromium. C'è solo un redattore poco competente (che scrive però su uno dei blog commerciali più seguiti d'Italia...) o, se vogliamo essere buoni, un po' disattento nella cura delle fonti.
La omnibar di Google comunica (e deve comunicare se si vuole sfruttarla appieno!) con Google per suggerire i risultati di cui si popola. Punto.
Se questo non ci sta bene, e capisco perfettamente che a qualcuno possa non stare bene, basta disabilitare la funzione così:
Clicchiamo sull'icona con la chiave inglese e andiamo su Opzioni:
Clicchiamo sul pulsante Gestisci vicino alla ricerca predefinita
Togliamo il segno di spunta vicino a "Utilizza i suggerimenti per completare i termini di ricerca etc. etc."
Stop. E' sacrosanto cercare di tutelare in tutti i modi la nostra privacy: cerchiamo di farlo seriamente, e senza gridare "al lupo, al lupo" quando non ce n'è alcun bisogno!
Nell'articolo in questione si paventa - udite udite - la presenza di un keylogger all'interno di Chrome.
Ora: il codice di Chrome è opensource (rilasciato sotto licenza BSD) e nessuna persona dotata di un cervello mediamente sviluppato e funzionante si sognerebbe mai di infilare un keylogger dentro a un software opensource. Si dà il caso, poi, che gli ingegneri di Google non siano gli ultimi deficienti del pianeta, tutt'altro.
Quindi?
Quindi non c'è nessun keylogger dentro Chrome e non c'è nessun keylogger dentro Chromium. C'è solo un redattore poco competente (che scrive però su uno dei blog commerciali più seguiti d'Italia...) o, se vogliamo essere buoni, un po' disattento nella cura delle fonti.
La omnibar di Google comunica (e deve comunicare se si vuole sfruttarla appieno!) con Google per suggerire i risultati di cui si popola. Punto.
Se questo non ci sta bene, e capisco perfettamente che a qualcuno possa non stare bene, basta disabilitare la funzione così:
Clicchiamo sull'icona con la chiave inglese e andiamo su Opzioni:
Clicchiamo sul pulsante Gestisci vicino alla ricerca predefinita
Togliamo il segno di spunta vicino a "Utilizza i suggerimenti per completare i termini di ricerca etc. etc."
Stop. E' sacrosanto cercare di tutelare in tutti i modi la nostra privacy: cerchiamo di farlo seriamente, e senza gridare "al lupo, al lupo" quando non ce n'è alcun bisogno!
13 commenti
Premetto che non sto dalla parte di nessuno, non ho neppure letto l'articolo di Downloadblog, vorrei solo dire che non si deve dare nulla per scontato e dire che non può esserci un keylogger in chrome SOLO perché è opensource, prima trova uno che si è letto tutto il codice e lo ha capito e poi si può dire cosa c'è realmente e cosa non c'è.
Un programmatore che include nel suo programma opensource un keylogger o qualsiasi altro codice maligno non è un cretino e uno che o spera che nessuno se ne accorga (magari perché nascosto molto bene) o che detta le sue regole (e ne ha tutto il diritto) e lascia all'utente la scelta di "prendere o lasciare"
Google vive dei dati che raccoglie dai propri utenti non mi stupire per niente di trovarci un keylogger nel suo browser, altri servizi di google raccolgono molti dati, a noi utenti spetta decidere se la qualità dei suoi servizi giustifica quella piccola parte di privacy che perdiamo.
Ho letto l'articolo di downloadblog e mi sembra ben scritto: usa il tono ipotetico già dal titolo, cita le fonti, spiega tutto quello che hai scritto nel tuo articolo, compresa la procedura per disabilitare la funzione incriminata.
Mi sembra che il comportamento di chrome per quando riguarda il "catturare" la digitazione degli url sia molto simile a un keylogger, se è limitata ai soli url non è grave come può sembrare, ma sono pur sempre informazioni inviate (in chiaro?) a google ed è una impostazione abilitata di default, l'utente medio è ignaro di tutto questo.
Chiedere più chiarezza a google senza doversi leggere tutto il codice mi sembra legittimo.
Il funzionamento di omnibar, così come quello del servizio Google Suggest che sicuramente ha ispirato la funzionalità introdotta da Chrome, non ha niente di segreto.
E' ovvio che per poter suggerire dei risultati coerenti con quello che si sta digitando ci deve essere uno scambio di informazioni.
L'articolo non spiega come fare a disabilitare la funzione e dice anzi "purtroppo non è una cosa facile da eseguire" linkando di seguito una pagina che riporta l'informativa sulla privacy di Google.
Non ho niente contro l'autore. Non ho espresso giudizi sullo stile. Confermo invece il giudizio sui contenuti: chiamare keylogger una funzionalità ben pubblicizzata e documentata è una fesseria, e non si difende il sacrosanto diritto di tutti noi alla tutela della nostra privacy, scrivendo fesserie.
Riguardo agli appunti sul codice: so che sembra impossibile Urturino ma ti assicuro che c'è gente che il codice se lo legge (secondo me in Mozilla ad es. un'occhiatina gliela daranna e anche in Microsoft e anche in decine di altri laboratori).
Un altro "sprovveduto" che sostine che che ci sia un tracciante in Chrome, e pure in Firefox e' Matteo FLora: http://www.lastknight.com/2008/09/06/google-chrome-ecco-il-tracciante/
Ehy l'articolo che citi inizia con "In attesa di avere tempo per scrivere bene il tutto...".
Che dici? Aspettiamo?
Ho letto l'articolo (e i relativi commenti) che cita "Anonimo".
Non si parla mai di keylogger e sopratutto non si parla della funzione di "suggerimento" della omnibar.
Flora, che non è uno sprovveduto, sa cos'è un keylogger e si guarda bene dall'usare termini a sproposito.
hipst3r non intendevo dire che nessuno si legge il codice, anzi c'è molta gente che lo fa (giustamente).
Volevo solo dire che non si può giudicare un software primo di codice maligno solo perché è opensource ma bisogna appunto leggerselo prima, quindi per vedere se chrome ha codice maligno bisogna chiedere a chi si è letto il codice.
Ammettiamo che la disponibilità del codice sorgente non garantisca di per sè.
Rendiamoci conto però che stiamo parlando di Google, del browser di Google. Il codice del browser di Google interessa almeno agli sviluppatori di Microsoft, Mozilla, Apple, KDE, Gnome e Opera.
Possibile che nessuno si sia accorto del keylogger?
Non sono esperto di licenze. Però Chrome è rilasciato sotto licenza BSD, la quale non obbliga a chi apporta modifiche di redistribuire il codice modificato.
Quindi in via del tutto teorica, il binario distribuito da Google potrebbe differire dal codice sorgente pubblico e quindi contenere altro.
Sbaglio?
(Comunque non penso che ci sia un keylogger)
offuscare codice è molto più semplice di quello che si pensa :-)
http://en.wikipedia.org/wiki/International_Obfuscated_C_Code_Contest
Cmq, senza voler giustificare niente e nessuno, la questione della privacy sta cominciando a diventare scottante, soprattutto per BigG. Key logging è un termine inappropriato, ma sollevare problemi di privacy è sacrosanto, soprattutto se si ricorda di cosa c'era scritto al paragrafo 11 dell'EULA di Chrome prima che gli utenti andassero in rivolta...
E' certo che la profilazione degli utenti è cosa altrettanto spiacevole e credo che Mountain View abbia da tempo abbandonato ogni decenza in merito.
p.s. per chi si fosse dimenticato cosa c'era scritto nell'EULA al paragrafo 11 :
http://www.scibiz.it/blogging/?p=209
Ok, ci sono gare di codice offuscato? Quindi?
Vuoi dire che il codice di Chrome/Chromium contiene porzioni di codice offuscate che nascondono Keylogger?
Anche io sono convinto che difendere la Privacy sia importante. Ovvio. Non credo che fare dell'inutile allarmismo, usando parole a caso, serva allo scopo. Trovo anzi che sia controproducente.
Il paragrafo 11 è stato completamente riscritto. Che senso ha citarlo qui?
Per altro la spiegazione che hanno dato dell'errore a me è sembrata plausibile.
come dice hipst3r, quello che scrive Flora è molto più tecnico e corretto dell'articolo di downloadblog. Non è uno sprovveduto e infatti non parla di keylogger...
Se ci fosse veramente un keylogger sarebbe gravissimo, talmente grave da poter mettere in discussione l'impero di google, e da quelle parti non sono così scemi...
Posta un commento