Frage:
Was hindert Google daran, alle Informationen über Google Chrome auf meinem Computer zu speichern?
Pro Q
2018-06-11 20:34:05 UTC
view on stackexchange narkive permalink

Ich habe festgestellt, dass in Google Chrome, wenn ich file: /// C: / Users / MyUsername / Desktop / eingebe, alle Ordner auf meinem Desktop angezeigt werden und ich eingeben kann Öffnen Sie PDFs und dergleichen in Chrome, indem Sie einfach den Dateipfad eingeben.

Welche Prozesse und Systeme sind vorhanden, damit Google keine auf meinem Computer gespeicherten Daten kopieren kann? Welche Prozesse und Systeme sind vorhanden, damit jemand, der eine Chrome-Erweiterung schreibt, keine auf meinem Computer gespeicherten Dateien kopieren kann?

Und würden wir überhaupt wissen, ob Google hier und da kleine Informationen von unseren Computern abruft?Oder schon?
Könnte daran interessiert sein, über [Qubes OS] (https://en.wikipedia.org/wiki/Qubes_OS) zu lesen.Eine praktischere Problemumgehung könnte darin bestehen, einen Webbrowser in einer virtuellen Box zu installieren, z.in Hyper-V unter Windows 10.
Ich glaube nicht, dass dies auf Chrome beschränkt ist. So ziemlich jeder Webbrowser kann das Gleiche tun ... file: /// sagt nur, dass der URI lokal für den Computer ist, auf dem er installiert ist.
@aslum Einverstanden, Chrome war nur mein besonderes Beispiel.In den Antworten und anderen [Kommentaren] (https://security.stackexchange.com/questions/187556/what-stops-google-from-saving-all-the-information-on-my-computer?noredirect=1#comment368741_187558) Es scheint, als wäre es nicht einmal auf Webbrowser beschränkt.
@ProQ Die markige Antwort, die keine Antwort ist, lautet: Dasselbe, was jedes andere Programm davon abhält: Wenn dies der Fall wäre, würde es schnell als Malware / Virus bekannt und von AV-Programmen blockiert.
@aslum Chrome wurde bereits [beim Scannen von Dateien erwischt] (https://www.engadget.com/2018/04/07/chrome-cleanup-download-scan/).Aber keine Ahnung, ob sich die meisten Leute wirklich so sehr darum kümmern.
Das Speichern des Inhalts der Festplatte aller Benutzer würde viel Speicherplatz beanspruchen und viel Geld kosten ... und was würden sie davon profitieren, wenn überhaupt?Qualifizieren sich grundlegender Geschäftssinn und der Wunsch, nicht aus der Existenz verklagt zu werden, als Prozesse und Systeme?
verwandte xkcd: https://xkcd.com/1200/
News Flash: Jede Exe (nicht nur Chrome oder andere Browser) hat grundsätzlich uneingeschränkten Zugriff auf Ihren Computer.Sie können auch eine Verbindung zu anderen Computern im lokalen Netzwerk (oder Internet) herstellen.Ich dachte, das sei allgemein bekannt.
@gre_gor Überhaupt nicht allgemein bekannt.Ich habe vor, Informatik zu studieren, und ich hatte keine Ahnung, dass dies möglich ist.Ich nahm an, dass standardmäßig alles in einer Sandbox war.Ich habe mit meinem Vater über diese Frage gesprochen und etwas über die lokale Netzwerkverbindung erfahren.(Wenn Sie einen Link zur Funktionsweise dieser Verbindung bereitstellen könnten, wäre das wunderbar.) Ich denke, Computerkenntnisse werden heutzutage auf einem ganz anderen Niveau vermittelt, und nur sehr wenige Menschen wissen, dass sie so funktionieren.(Ich eingeschlossen, bis ich fragte.)
@Nat Das klingt wirklich nach einem Fehler. Wenn Sie die Dateien bereits über Chrome heruntergeladen haben, hätte es sie beim Schreiben auf Ihre Festplatte untersuchen können. Aus Spionage-Sicht wäre es nicht sinnvoll, sie später erneut auszuführen.
@MrLore ging es durch Dateien, die nichts mit Chrome zu tun hatten (nicht einmal mit Chrome heruntergeladen).Ich denke immer noch, dass es ein Fehler war, aber ein seltsames Beispiel, das gut zu dieser Frage passt.
Nebenbei bemerkt können Windows, Word, Excel, Paint, Freecell und World of Warcraft Ihre Dateien scannen und Änderungen an Ihrem Computer vornehmen, die Ihren Benutzerberechtigungen entsprechen.Chrome ist nicht anders.Es ist nur ein anderes Programm.
@Pro Q Sandboxing ist eine Sache mit bestimmten * mobilen * Geräten und mit Desktop-Apps, die ein nicht natives Framework wie Java verwenden, und mit speziellen Betriebssystem-Setups (z. B. Linux mit Apparmor).Eine EXE-Datei (oder .scr oder DLL) auf einem Windows-PC oder -Server wird nur durch die Benutzerberechtigungen und die Benutzerkontensteuerung eingeschränkt.
Tatsächlich weiß Google bereits genug über Sie (uns), da sie jeden Link verfolgen, auf den Sie bei einer Google-Suche klicken.Heutzutage ist das so ziemlich alles, was Sie brauchen, da viele Leute die Website-Adresse nicht mehr eingeben, sondern bei Google danach suchen.Sie haben normalerweise auch alle E-Mail-Adressen (und normalerweise Telefonnummern) Ihrer Kontakte. Sie scannen den Inhalt Ihrer E-Mail, damit sie sowohl Sie als auch den Absender / Empfänger der E-Mail kennen und wissen, welcheVideos, die Sie ansehen und so weiter.Das Kopieren der Daten auf Ihren PC ist die Mühe nicht wert.
Abgesehen davon stehen zahlreiche Tools zur Verfügung (wenn auch nicht unbedingt annähernd kostenlos), mit denen Sie analysieren können, was eine Anwendung vorhat. Wenn Chrome auf Inhalte zugreift, die nicht zu erwarten sind, und dann Netzwerkübertragungen durchführenBei einer vergleichbaren Größe ist es nicht schwer, anhand von Endpunktberichten zu erkennen, dass ein großes Unternehmen mit einem großen Sicherheitsbudget in seiner gesamten Infrastruktur eingesetzt wird.
Wenn Sie mehr Sicherheit wünschen, führen Sie Programme normalerweise in einer virtuellen Maschine aus, sodass sie keinen Zugriff auf das "äußere" System haben.
Wenn Sie einem Softwarehersteller nicht vertrauen, installieren Sie dessen Software nicht auf Ihrem Computer.
Ich stimme @gre_gor zu, dass dies allgemein bekannt ist, dass native Desktop-Software, die Sie normalerweise ausführen, die gleichen Berechtigungen wie Ihr Dateibrowser hat.In der Tat ist diese Frage verdammt dumm.Abgestimmt.
Jeder Browser wird dies tun, obwohl die Art und Weise, wie die Daten angezeigt werden, unterschiedlich sein wird.Der Desktop ist nur ein Verzeichnis auf Ihrer Festplatte, und Browser können diese anzeigen und anzeigen. Dies war schon immer möglich.
Neun antworten:
Arminius
2018-06-11 20:51:25 UTC
view on stackexchange narkive permalink

Welche Prozesse und Systeme sind vorhanden, damit Google die Daten nicht auf meinen Computer kopieren kann?

Keine. Google Chrome wird normalerweise mit den Berechtigungen Ihres Benutzerkontos ausgeführt. Die Anwendung kann dann lokale Dateien in demselben Umfang lesen und ändern, wie es Ihr Benutzerkonto kann. (Diese Berechtigungen gelten für die meisten von Ihnen verwendeten Programme.) Sie müssen Google also vertrauen, dass sie kein böswilliges Update liefern, das Sie ausspioniert, oder vertrauliche Dateien für das Konto, auf das Sie den Browser ausführen, nicht zugänglich machen mit. Alternativ gibt es höchstwahrscheinlich Sandbox -Implementierungen für Ihr Betriebssystem, mit denen Sie Chrome in einer isolierten Umgebung mit eingeschränktem Zugriff auf das Dateisystem ausführen können.

Welche Prozesse und Systeme befinden sich? Platzieren, damit jemand, der eine Chrome-Erweiterung schreibt, keine Dateien auf meinen Computer kopieren kann?

Chrome -Erweiterungen haben standardmäßig eingeschränkte Berechtigungen. Eine Erweiterung muss explizit eine Berechtigung anfordern (deklarieren), um mit Dokumenten im Schema file: // zu interagieren.

Beachten Sie außerdem, dass Ihr Browser dies nicht zulässt gewöhnliche Websites zum Lesen oder sogar Umleiten zu file: // URIs. Während Ihre lokalen Dateien für den Chrome-Prozess zugänglich sind, sind sie nicht für das Web verfügbar.

Wie würde ich vorgehen, um Dateien für das Konto, mit dem ich den Browser ausführe, unzugänglich zu machen?
@ProQ Das hängt von den Zugriffskontrollmechanismen Ihres Betriebssystems ab.Einfach gesagt, haben Sie ein separates Konto und legen Sie die Berechtigungen für vertrauliche Dateien fest, damit andere Benutzer nicht darauf zugreifen können.
Wenn Chrome auf Ihre Festplatte zugreifen kann, können Sie Dateien hochladen, indem Sie den Dateinamen in ein Webseitenfenster ziehen und dort ablegen."Sie müssen Google vertrauen, dass es keine böswilligen Updates liefert, die Sie ausspionieren." Oder Schwachstellen aufweisen, die ausgenutzt werden können.
@Arminius wow, warum ist das nicht vielen anderen bekannt?Ich wusste, dass Google etwas weiß, aber dies ist eine völlig neue Ebene.
Dies gilt auch für fast jede andere Software, die Sie auf Ihrem PC ausführen.Nur weil es keine "file: //" - Suchfunktion verfügbar macht, sind Ihr Musik-Player, Video-Player, Ihre Steam-Spiele ... einige oder alle von ihnen "vertrauenswürdig", um Ihre Inhalte nicht zu scannen und zu protokollieren.Dies ist nicht nur eine "Google" Sache.
@watchme - Google nicht mit Chrome in Verbindung bringen.* Ihr * Browser, der auf * Ihrem * System sitzt, kann auf Ihre Dateien zugreifen.Aber (abgesehen von böswilligen Dingen) Google selbst hat keinen Zugriff auf diese.
@Bobson Nun, "alles Bösartige auszuschließen" umgeht den Punkt der Frage.
"Normale Websites dürfen niemals Datei: // URIs lesen oder sogar verlinken" - natürlich verhindert kein Standard (von HTML), dass eine Website die Zeichenfolge "
@DavidZ, zumal das Motto des Google-Verhaltenskodex nicht mehr "Sei nicht böse" lautet....
@JesseM Und manchmal wird dieses Vertrauen missbraucht.Es gibt diesen Flight Sim-Plugin-Entwickler, der wiederholt bei der Installation von Software und Malware für Passwortdiebstahl neben der Software erwischt wurde, angeblich um Piraterie zu bekämpfen.
@BruceWayne Warten Sie ernsthaft?Das ist ein bisschen [besorgniserregend] (https://en.wikipedia.org/wiki/Warrant_canary).
@JesseM - Während "dies auch für fast jede andere von Ihnen ausgeführte Software gilt", können Sie die Datenübertragung mit ausgehenden Firewall-Whitelists blockieren.Was Sie mit einem Webbrowser nicht tun können (ohne seine gesamte Funktionalität zu verlieren).
@BruceWayne & Nat: Mein Verständnis ist, dass dieser Provisor, obwohl eine lustige Ergänzung, die ein paar College-Kinder beschlossen haben, zu ihrem Unternehmen hinzuzufügen, nicht viel rechtliche Stellung hat ("böse" ist kein juristischer Begriff), und seine Einbeziehung wurdeeine wachsende Sorge um den gleichen Weg.d.h. wird Chrome Version 66.6r ... als böse angesehen?Nicht für die meisten, aber einige können Probleme haben.Es geht nicht darum, was wir als die großen Übel betrachten, sondern um das Ärgernis, das durch das unterschiedliche Konzept des Bösen für jeden Menschen verursacht wird.
Ich bin mir nicht sicher, woher diese Geschichte "Nicht böse sein ist nicht mehr Googles Motto" stammt, @BruceWayne.Öffnen Sie einfach ihren [Verhaltenskodex] (https://abc.xyz/investor/other/google-code-of-conduct.html).Es ist immer noch da, ganz unten.
@Bobson Tatsächlich scannt Chrome für Windows Ihren Computer aktiv und sendet Informationen über verdächtige Dateien an Google (und ESET, nehme ich an).Bei dieser Anzahl von Bestellungen vom Mutterschiff ist es schwer anzunehmen, dass Chrome alles liefert, was Google von Ihrem Computer will.
@Justastudent Sie [haben die meisten Verweise darauf entfernt] (https://gizmodo.com/google-removes-nearly-all-mentions-of-dont-be-evil-from-1826153393), mit Ausnahme des einzelnen unten.
@NigelTouch "_Sie können die Datenübertragung mit ausgehenden Firewall-Whitelists blockieren_" Aber dann könnte das Programm einfach den installierten Mail-Agenten verwenden, um die Informationen als angehängte Datei an eine Adresse zu senden.Oder wenn kein solcher Agent gefunden wird, öffnen Sie den Browser und die Datei für einen Dateifreigabedienst.Es könnte etwas komplizierter sein, aber nicht viel.(In ist möglicherweise sogar einfacher, wenn Sie nicht wissen, wie Sie die Socket-API verwenden, aber wissen, wie Sie andere Programme starten und mit ihnen interagieren.)
Rory McCune
2018-06-11 20:51:02 UTC
view on stackexchange narkive permalink

Eine Software ohne Sandbox, die auf einem PC / Mac ausgeführt wird, verfügt (im Allgemeinen) über dieselben Berechtigungen wie der Benutzer, der sie ausführt, und kann daher auf alle Daten zugreifen, auf die der Benutzer zugreifen kann.

Sie vertrauen Google (und jeder andere Softwareanbieter, dessen Code Sie ausführen), um mit diesem Zugriff nichts Bösartiges zu tun.

Wenn Sie Google nicht vertrauen, besteht Ihre einzige Option als allgemeiner Benutzer von Software darin, deren Zugriff nicht auszuführen Code.

Die Situation mit Chrome-Erweiterungen ist etwas anders. Google schränkt die Möglichkeiten des Erweiterungsanbieters ein. Wenn Sie eine Erweiterung installieren, werden Sie darüber informiert, welche Berechtigungen Sie bereitstellen.

Offensichtlich vertrauen Sie weiterhin darauf, dass Google diese Einschränkungen korrekt codiert hat. und Sie vertrauen den Autoren der Erweiterung möglicherweise weiterhin einige Berechtigungen an, mit denen böswillige Aktionen ausgeführt werden können.

Wenn Sie erwägen, einfache Sandboxing-Maßnahmen zu implementieren (z. B. Chrome mit einem anderen Benutzerkonto oder in einer VM auszuführen oder kritische Dateien zu verschlüsseln und sie nicht zu öffnen, während Chrome ausgeführt wird), ist dies für einen "allgemeinen Benutzer" nicht möglich.
Sie können auch das Open-Source-Äquivalent von Chrome, Chromium ausführen.
@NonnyMoose Wenn Sie über automatische Updates verfügen, spielt es keine Rolle, ob Sie eine Version aus dem Quellcode kompiliert haben, da das Update-System von Natur aus einer Signatur eines Anbieters vertraut (vorausgesetzt, das System ist korrekt entworfen) und der Unterzeichner Sie zum Herunterladen und Ausführen einer beliebigen Version veranlassen kannCode, den er wünscht.
Ich hätte einen Hinweis "Führen Sie Ihren Browser in einem gesicherten Container aus" anstelle von "Wenn Sie Google nicht vertrauen, besteht Ihre einzige Option als allgemeiner Benutzer von Software darin, den Code nicht auszuführen" erwartet.- oder würde ein containerisierter Browser keine angemessen sichere Trennung zwischen Betriebssystem und Programm bieten (unter der Annahme einer korrekten Containerkonfiguration)?Oder war es das, was "unsandboxed" ausschließen sollte?(was diesen Kommentar zu überflüssigem Rauschen machen würde.)
@e-sushi Ein sicherer Container sieht aus wie eine Beschreibung von "Sandbox".
TBH Ich habe diese Antwort auf einer Ebene allgemeiner Computerbenutzer gehalten, anstatt auf die technischen Details möglicher Abhilfemaßnahmen einzugehen.Wenn Sie technisch werden möchten, können Sie eine Menge Dinge tun, von VMs über Container bis hin zu bestimmten Betriebssystemen wie Tails.Obwohl all das jedes Mal gesagt wird, wenn Sie dies tun, fügen Sie Ihrer Liste eine neue Gruppe vertrauenswürdiger Parteien (die Personen, die die Isolationssoftware schreiben) hinzu :)
mattdm
2018-06-11 23:26:22 UTC
view on stackexchange narkive permalink

Wenn Sie eine Linux-Distribution mit SELinux ausführen, ist möglicherweise eine zusätzliche Sicherheitsebene vorhanden. SELinux ist eine Technologie auf Betriebssystemebene, die strenge Einschränkungen hinsichtlich des Zugriffs auf Prozesse wie Ihren Browserprozess ermöglicht. In Fedora und Red Hat Enterprise Linux (Haftungsausschluss: Ich arbeite für Red Hat, unter Fedora!) Gibt es standardmäßig eine leichte Einschränkung für Firefox und Chrome. Es stellt sich als schwierig und unpraktisch heraus, dies für die meisten Benutzer strenger zu gestalten. Weitere Informationen finden Sie in diesem Blog-Beitrag des SELinux-Gurus Dan Walsh.

Unter Linux wird derzeit allgemein gearbeitet um mehr Anwendungen auf Benutzerebene mit größeren Einschränkungen auszuführen (siehe zum Beispiel Flatpak).

Nur um ein paar weitere Beispiele für Sandboxing auf Anwendungsebene in den Mix aufzunehmen: snapd / snapcraft (Linux), UWP (Windows) und Sandboxie (Windows).
Auch AppArmor, eine konkurrierende Technologie zu SELinux.(Sowohl SELinux als auch AppArmor sind Bausteine für übergeordnetes Sandboxing wie Snap und Flatpak.)
@mattdm Ich kenne AppArmor nur als * das Ding, an dem ich arbeiten muss, damit MySQL jetzt unter Ubuntu richtig funktioniert. *
Und das ist im Allgemeinen das Problem mit starker Sicherheit - es beeinträchtigt die Benutzerfreundlichkeit.Dies ist kein Fehler, sondern ein unvermeidbarer Aspekt des Designs. Ebenso wie das Verschließen Ihrer Haustür beim Verlassen des Hauses bedeutet, dass Sie Ihren Schlüssel herausziehen müssen, um ihn zu entsperren, wenn Sie nach Hause kommen.
@Shadur Es ist wahrscheinlich richtiger zu sagen, dass dies eine Folge des Versuchs ist, einem Legacy-System, das es derzeit nicht hat, starke Sicherheit zu verleihen.Wenn Desktop- und Server-Apps immer die erforderlichen Berechtigungen explizit aufzählen müssten (so wie es mobile Apps jetzt tun), würde es viel weniger Reibung geben.
Sie können Chrome auch in einem Linux-Container mit eingeschränktem Zugriff auf das Dateisystem ausführen.Das ist was ich mache.
@James_pic stimmt zu, aber nur das Aufzählen von Berechtigungen ist nur ein (guter) erster Schritt.Benutzer müssen im Allgemeinen geschult werden, um zu verstehen, wofür sie die Berechtigung erteilen.Die meisten nicht-technischen Personen akzeptieren nur die von einer App angeforderten Aufzählungsberechtigungen - ähnlich wie die Endbenutzervereinbarungen bei der Installation von Software.
@Shadur-Fingerabdruck-Scannen und Augenerkennung usw. sind benutzerfreundlichere Mittel zum Entriegeln einer verschlossenen Tür, bei denen der Benutzer nicht daran denkt, einen Schlüssel zu tragen, und ihn dann herausnehmen muss.Würde es vielleicht ein digitales Äquivalent geben?
@EdmundReed Auch wenn das Erteilen einer temporären Berechtigung so einfach ist wie das Klicken auf "Ja", entwickeln Benutzer eine Klickermüdung und klicken automatisch auf eine Sicherheitsaufforderung, wie im UAC-Fall oder im Berechtigungsdialog für mobile Apps
Ángel
2018-06-14 03:04:58 UTC
view on stackexchange narkive permalink

Anwälte . Sie haben einen Vertrag mit Google, in dem angegeben ist, was sie tun werden / was Sie ihnen erlauben. Dies wird als Google Chrome-Nutzungsbedingungen bezeichnet. Und offensichtlich haben Sie es vor der Installation sorgfältig gelesen.

Dies beinhaltet¹ Auszüge wie diesen (Hervorhebung von mir):

Standardmäßig, Nutzungsstatistiken und Absturzberichte werden an Google (…) gesendet. Nutzungsstatistiken enthalten Informationen wie Einstellungen, Tastenklicks und Speichernutzung . Im Allgemeinen enthalten Nutzungsstatistiken keine Webseiten-URLs oder persönlichen Informationen, aber , wenn Sie bei Chrome angemeldet sind und Ihren Browserverlauf in Ihrem Google-Konto ohne Synchronisierung synchronisieren Passphrase, dann Chrome-Nutzungsstatistiken enthalten Informationen zu den von Ihnen besuchten Webseiten und deren Nutzung . Beispielsweise können wir Statistiken sammeln, um Webseiten zu identifizieren, die langsam geladen werden. (…) Absturzberichte enthalten Systeminformationen zum Zeitpunkt des Absturzes und können Webseiten-URLs oder persönliche Informationen enthalten, je nachdem, was zum Zeitpunkt der Auslösung des Absturzberichts passiert ist. Wir können aggregierte, nicht persönlich identifizierbare Informationen öffentlich und mit Partnern wie Publishern, Werbetreibenden oder Webentwicklern teilen. Sie können jederzeit ändern, ob Nutzungsstatistiken und Absturzberichte an Google gesendet werden. Mehr erfahren. Wenn Google Play-Apps auf Ihrem Chromebook aktiviert sind und die Chrome-Nutzungsstatistiken aktiviert sind, werden Android-Diagnose- und Nutzungsdaten auch an Google gesendet.

Durch Installation Bei Google Chrome (und ohne Deaktivierung dieser Optionen) erteilen Sie die Zustimmung zur Weitergabe dieser Informationen an Google.

Würden sie technisch in der Lage sein, mehr Informationen zu sammeln als angegeben? Ja. Tun sie es absichtlich? Dies ist unwahrscheinlich, da dies das Unternehmen in eine prekäre Lage bringen würde, wenn es beim Diebstahl von Benutzerdaten erwischt wird. Es ist für sie vorzuziehen, eine Notiz in ihre Richtlinie aufzunehmen, die ihre Sammlung abdeckt (wahrscheinlich einschließlich einer akzeptablen Begründung wie "Dies ermöglicht es uns, Ihnen Inhalte bereitzustellen, die Ihren Interessen besser entsprechen", um sie weniger entmutigend zu machen) legitimiert ihre Praxis, und nur wenige Menschen lesen die rechtlichen Bestimmungen.

Obwohl eine Geschichte über die Datenschutzerklärungen von Google Chrome nicht vollständig wäre, ohne zu sagen, wie, als Google Chrome gestartet wurde, Aufgrund seiner Nutzungsbedingungen hat der Nutzer

„Google eine unbefristete, unwiderrufliche, weltweite, lizenzgebührenfreie und nicht exklusive Lizenz zur Reproduktion, Anpassung, Änderung, Übersetzung, Veröffentlichung und öffentlichen Aufführung erteilt , öffentlich Inhalte anzeigen und verbreiten, die Sie über einen Satz, den sie für andere Dienste verwendet haben, übermitteln oder veröffentlichen oder auf ”²

verwenden. Nach einem Aufruhr mit diesen scheinbar missbräuchlichen Bedingungen aktualisierten sie ihre Bedingungen am nächsten Tag und erklärten, dass er für alle Inhalte, die der Nutzer mit Google Chrome erstellt, seine Rechte behält.

¹ Tatsächlich in der Google Chrome-Datenschutzerklärung, die von der Eula aufgenommen wurde.

² https://www.mattcutts.com/blog/google-chrome-license-agreement/

+1 für die Erwähnung der ursprünglichen Bedingungen von Google Chrome.
Wayne Werner
2018-06-12 21:09:42 UTC
view on stackexchange narkive permalink

Welche Prozesse und Systeme sind vorhanden, damit Google die Daten nicht auf meinen Computer kopieren kann?

Es gibt nichts, was es so macht, dass sie kann nicht , aber es gibt etwas, das es unwahrscheinlich macht, dass sie vertrauen würden.

Googles Produkt ist Sie . Sie möchten alles über Sie wissen und in der Lage sein, jede einzelne Entscheidung vorherzusagen, die Sie jemals treffen werden. Wenn sie das können, können sie Sie ermutigen, Ford anstelle von Chevy zu kaufen, wenn es soweit ist.

Sie haben einen Gesellschaftsvertrag mit uns, der besagt, dass sie nützlich sein werden Tools (und dann töte sie) wie Google Drive, Chrome (ium), Blogger, Google Mail, Google Fotos, Karten, YouTube, Suche usw., und im Gegenzug lassen wir sie unsere abbauen Informationen über uns mit dem Verständnis, dass sie nicht zu viele schreckliche Dinge tun und versuchen werden, das Web zu einem angenehmeren Ort zu machen, mit relevanterer Werbung und keinem der nervigen Dinge, die es gibt Lassen Sie uns jemandem sehr, sehr langsam die Finger brechen, um eine dieser dummen Audio-Anzeigen online zu stellen.

Ein Teil dieses Vertrauens besteht darin, dass sie keinen Code einfügen, wenn wir eines ihrer Programme installieren Das wird unsere Systeme gefährden oder zulassen.

Wenn wir Google nicht vertrauen, geben wir ihnen keinen Zugriff auf das Produkt, an dem sie so unglaublich interessiert sind - an uns. Je mehr wir Google vertrauen, desto wertvoller ist ihr Produkt (wir), das sie an Werbetreibende verkaufen können. Es liegt im besten Interesse von Google, Dinge zu tun, die dieses Vertrauen stärken. Je mehr wir Google vertrauen, desto mehr können sie Werbetreibenden in Rechnung stellen, weil sie sagen können: "Schauen Sie, wir kennen diese Leute und sie sind bereit zu kaufen / lesen / Hören Sie zu / sehen Sie sich die Dinge an, die wir empfehlen. Wenn Ihr Produkt ihren Bedürfnissen und Interessen entspricht, werden wir Ihnen Ihr Produkt empfehlen und sie werden es wahrscheinlich kaufen, weil wir es befürwortet haben. "

Das ist das System, das vorhanden ist, um es für Google zu einer sehr sehr schlechten Idee zu machen, mit Chrome oder einer anderen Software irgendeine Art von Schlechtigkeit zu begehen. Vertrauen ist etwas, das sich nur schwer zurückgewinnen lässt, wenn es verloren geht, und Google weiß das mit Sicherheit.

Dann erklären Sie mir bitte: Niemand, den ich kenne, vertraut Microsoft wirklich, aber jeder installiert Windows.Warum sollte es bei Google / Facebook / Amazon / ... anders sein?
@Alexander easy - Menschen sind faul und fühlen sich mit dem Vertrauten wohl, auch wenn es für sie schlimmer ist.Und Microsoft subventioniert den Kauf von Hardware, weshalb es normalerweise billiger ist, einen Computer mit Windows als ohne Betriebssystem zu installieren und Linux selbst zu installieren.Offensichtlich haben wir es mit einer gewissen Menge von Google zu tun, die uns verarscht - Google Reader wegnehmen, immer mehr in einen ummauerten Garten verwandeln (keine GTalk / Jabber-Schnittstelle mehr usw.) - Gleiches gilt für Microsoft.Solange wir so tun können, als wäre es kein Problem, werden wir es ertragen.
Ich würde nicht zustimmen, wenn Leute Microsoft vertrauen.Die Leute meckern über Microsoft, aber sie erwarten nicht, dass sie Windows verwenden, um absichtlich ihre Kennworttasten aufzuzeichnen, Profile ihrer Pornogewohnheiten zu führen, eine Datenbank mit ihrer Krankengeschichte zu erstellen und dann all diese Daten zu verwendengegen ihre Benutzer.Es gibt Grade und Arten von Vertrauen.Ich denke auch, dass sich die Leute zumindest teilweise über Microsoft beschweren, weil es Mode geworden ist, sich über Microsoft zu beschweren.Aber ich schweife ab.
@WayneWerner Ich würde nicht sagen, dass Google uns unbedingt "verarscht".Wenn ein Dritter Ihnen etwas kostenlos geben möchte, hat er das uneingeschränkte Recht, es Ihnen in Zukunft nicht kostenlos zu geben.Es wäre ganz anders, wenn wir für ihre Dienste bezahlen würden.
@dotnetengineer Sicher - aber wie gesagt, es ist technisch nicht * kostenlos * - es ist nur ein Austausch mit einem impliziten Wert.
Grant Gryczan
2018-06-12 06:04:56 UTC
view on stackexchange narkive permalink

Ausgehend von der Antwort von Arminius, die völlig richtig ist, möchte ich sehr deutlich machen, dass der Wert des Vertrauens zwischen Google und den Endbenutzern nicht der einzig wirksame Wert ist, um festzustellen, ob Ihre Das Vertrauen in ihre Integrität ist fair.

Die Chrome-Basis (Chromium) ist Open Source, sodass Entwickler dies überprüfen (und dies jederzeit tun) können, um festzustellen, ob Google etwas Bösartiges implementiert. Wenn Google Ihre persönlichen Daten / Dateien an seine eigenen Server senden soll, können Sie dies anhand eines Netzwerkprotokolls feststellen. Hierbei handelt es sich um ein Tool, mit dem die Internetaktivität über Ihren Computer verfolgt wird. Es gibt auch immer eine gute alte Dekompilierung, denn wenn so etwas wie Malware in Chrome implementiert ist und nicht in Chromium, wo die Quelle bereits geöffnet ist.

Ich glaube, es ist wichtig zu verstehen, dass Vertrauen nicht der einzige Faktor ist hier berücksichtigt werden. Es gibt objektive Möglichkeiten, um herauszufinden, ob Google oder jemand anderes diese Dinge tut, und sie werden ständig von anderen überprüft. Daher gibt es nicht so viele Gründe, sich über die Implementierung solcher Malware durch Google Sorgen zu machen.

Jeder als praktisches Unternehmen hätte ohnehin keinen wirklichen Grund, solche Malware einzufügen, da dies offensichtlich keinen Nettogewinn bringen würde (objektives Misstrauen unter den Benutzern, Gewinnverlust, Dinge, die Unternehmen normalerweise nicht mögen). Wayne Werners Antwort deckt dies gut ab.

Ich sage nicht, dass eine solche Situation unmöglich wäre, aber dass es äußerst unwahrscheinlich ist.

Beachten Sie, dass die Analyse der Chromium-Quelle, um festzustellen, dass sie keinen schädlichen Code enthält, nicht wirklich dazu beiträgt, zu beweisen, dass Chrome selbst dies nicht tut.Es hilft Ihnen nicht einmal zu beweisen, dass vorkompilierte Chromium-Builds dies nicht tun.(Selbst das Kompilieren selbst beweist dies nicht unbedingt, wenn jemand in der Lage war, Ihren Compiler zu kompromittieren.) Es ist im Allgemeinen nicht praktikabel, alles zu überprüfen, sodass Sie sich irgendwann auf Vertrauen verlassen müssen.Aber es gibt Menschen, deren Job und / oder Hobby darin besteht, nach solchen Dingen zu suchen, insbesondere in Browsern, die Ihnen ein gewisses Maß an Vertrauen geben können.
@Miral Wenn Sie das Chromium-Paket aus vertrauenswürdigen Repositorys wie Debian, Fedora usw. verwenden, können Sie feststellen, dass jemand zumindest die Möglichkeit hatte, schädlichen Code (wie proprietäre binäre Blobs) zu überprüfen und zu entfernen.Wenn Sie die Chrome-Binärdateien von Google verwenden, sind Sie völlig im Dunkeln.
Über das Netzwerkprotokoll * fällt es Ihnen schwer *, anhand eines Protokolls zu sagen, da Google die Kryptografie fast überall erzwingt und regelmäßig Analyseinformationen an seine Server sendet.Ich meine, Sie werden wahrscheinlich keine ** Gewissheit ** haben, dass sich Google schlecht verhält, wenn Sie nur den Datenverkehr zu den Servern sehen, die sie besitzen.Die Forschung hat jedoch große Fortschritte bei der statistischen Analyse des Netzwerkverkehrs erzielt. Daher ziehe ich es vor, Ihre Aussage zum Netzwerkprotokoll in einer * Grauzone * zu halten.
Dies fühlt sich ein bisschen wie die Idee an, dass "viele Augen alle Käfer flach machen".Während dies theoretisch zutrifft, ist es in der Praxis wahrscheinlich nicht wahr.Sicherheitslücken haben in * gut genutzten Open-Source-Software * Jahrzehnte * überlebt, und das ohne jeden Versuch, sie zu verbergen.Ein gut ausgeführter Angreifer wäre in der Lage, bösartigen Code in etwas von der Größe von Chrom (mehrere Millionen Codezeilen) zu verstecken, ohne dass eine große Chance besteht, entdeckt zu werden.
Malware in Chromium zu integrieren, müsste eine Teamarbeit bei Google sein.Die Leute müssten die gegenseitigen Verpflichtungen überprüfen, bevor sie veröffentlicht werden könnten.
Nicht wirklich;es ist eigentlich trivial.Ziehen Sie den Chromium-Code, führen Sie ihn zu einem Malware-haltigen Zweig zusammen und erstellen Sie ihn.Es ist genau derselbe Prozess, den sie bereits verwenden (vermutlich ohne Malware), da es in Chrome * nicht * nicht öffentlichen Code gibt.Auch hier ist es jedoch unwahrscheinlich, dass dies tatsächlich geschieht, da es sich um einen Vertrauensselbstmord handelt, wenn er erwischt wird. Bei einer so hochkarätigen App analysieren und dekompilieren die Leute die endgültigen Binärdateien ständig nach Sicherheitslücken und Exploits - was nicht der Fall istIch kann nicht garantieren, dass es nicht da ist, aber es müsste ziemlich subtil sein.Es ist wahrscheinlicher, dass Sie Malware von einer anderen App erhalten.
Das ist auch wahr.
Oh, ich sage nicht, dass es einfach wäre, aber wenn Sie Chrome verwenden, vertrauen Sie effektiv darauf, dass Google nicht bösartig ist (ob Sie dem vertrauen, weil Sie ihnen vertrauen oder dem, weil Sie glauben, dass es eine schlechte Geschäftspraxis wäre, Malware zu injizierenChrom macht hier keinen Unterschied).Der Punkt war, dass eine externe Codeüberprüfung einer Codebasis von der Größe von Chrom a) wahrscheinlich nicht stattfindet und b) wahrscheinlich keine absichtlich versteckte Hintertür finden würde, selbst wenn dies der Fall wäre.
Der Punkt, dass ein solcher Fall äußerst unwahrscheinlich ist, ist der Wert, den ich in meiner Antwort zu vermitteln versuche.Wenn Leute einen objektiven Grund finden, Google zu misstrauen, bezweifle ich sehr, dass Google davon profitieren würde, und daher bezweifle ich auch sehr, dass Google einen wirklichen Grund hat, Malware einzufügen.Meine Antwort basiert wiederum darauf, dass die Situation unwahrscheinlich ist und nicht, dass sie nicht eintreten kann.Dies ist absolut möglich, aber nur, wenn es einen ungeprüften, betrügerischen Google-Mitarbeiter gibt, der frei von jeglicher Logik ist, oder wenn Google plötzlich gegen die Idee des Gewinns ist.
Jonah Benton
2018-06-18 07:47:24 UTC
view on stackexchange narkive permalink

Es gibt mehrere Antworten darauf, einschließlich einer akzeptierten Antwort, aber meines Erachtens erfasst keine die entsprechende Nuance.

Die Nuance beinhaltet die Unterscheidung zwischen "Politik" und "Mechanismus". Diese Unterscheidung geht über technische Systeme hinaus und existiert, um es nicht allzu groß auszudrücken, in allen Bereichen regulierter menschlicher Bemühungen.

Im Großen und Ganzen gibt es keinen Mechanismus, der Ihren Arzt daran hindert, Ihre sensiblen medizinischen Daten, technisch verschlüsselt oder nein, preiszugeben. In der kleinen gibt es keinen Mechanismus, der die Garage, in der Sie Ihr Auto parken, daran hindert, Ihr Auto einer anderen Partei zu geben. In einer freien Gesellschaft kann jeder fast alles ohne unmittelbare Kontrolle oder Konsequenzen tun. Mit anderen Worten, es gibt keine direkten, unmittelbaren Mechanismen, die schlechtes Verhalten verhindern.

Stattdessen gibt es Richtlinien - implizite, die normalerweise als Normen bezeichnet werden, die die meisten Menschen im Kindergarten lernen, und anspruchsvollere explizite, die als Statuten und Gesetze und ähnliches bezeichnet werden - die zwar Durchsetzungsmechanismen haben, bei denen jedoch die überwiegende Mehrheit der Einhaltung erfolgt, ohne dass diese Durchsetzungsmechanismen ausgeübt werden. Dies ist offensichtlich der in den anderen Antworten erwähnte Vertrauenspunkt. Eine freie Gesellschaft ist nur mit einer Kultur von sehr, sehr hohem Vertrauen möglich.

In der Software sind wir es gewohnt, Dinge in Form von Mechanismen zu denken - solche und solche sind aufgrund dieser und jener technischen Schwierigkeiten unmöglich . Es ist wichtig zu verstehen, dass in der Software, noch mehr als in der realen Welt, ALLE Mechanismen vorübergehend und fungibel sind. Was gestern unmöglich war, wird morgen alltäglich.

Das EINZIGE, was bei der Verwendung einer Software "verhindert", dass letztendlich etwas Schlimmes passiert, sind letztendlich Richtlinien-implizite Normen und die Einhaltung expliziter Regeln - Datenschutzrichtlinien, Nutzungsbedingungen of Service und so weiter. Und wenn Sie diese sorgfältig lesen, stellen Sie fest, dass niemand nützliche rechtliche Versprechungen macht, nichts Schlechtes zu tun.

Also sei da draußen vorsichtig. Das einzige, was Sie haben, ist Ihre Fähigkeit, fundierte Urteile über das Vertrauen zu fällen.

Ich denke, [Wayne Werners Antwort] (https://security.stackexchange.com/a/187632/176607) hatte ein ähnliches Gefühl, aber ich schätze die Klarheit über die Unterschiede zwischen Richtlinien und Mechanismen.
Ja, stimme zu.Prost...
Josh
2018-06-13 19:06:23 UTC
view on stackexchange narkive permalink

Arminius 'Antwort "Keine" ist die richtigste Antwort ... Ich wollte nur eine Antwort hinzufügen, die für einen Kommentar zu groß war:

Welche Prozesse und Systeme sind so vorhanden? dass Google die Daten nicht auf meinen Computer kopieren kann?

Wenn Sie eine haben und diese ordnungsgemäß konfiguriert ist, kann Ihre ausgehende Firewall diese Verantwortung übernehmen ... das Problem ist, da dort ; s so viel Verkehr beim Surfen im Internet, dass es schnell unmöglich wird, die Regeln richtig einzurichten.

Als Beispiel sehen Sie hier einen Screenshot dessen, was passiert Mein Computer ohne Regel, die den weltweiten Zugriff auf das Google Chrome-Netzwerk ermöglicht:

Google Chrome wants to connect to security.stackexchange.com on TCP port 443, do you want to allow this?

Wenn Sie wussten, dass Chrome eine Kontaktaufnahme mit a Bei einer Google-Domain für böswillige Verwendung können Sie Folgendes ablehnen:

Deny button highlighted on Google Chrome firewall prompt

Das Problem ist, dass beim Surfen im Internet eine so große Vielfalt an Domains vorhanden ist dass es für Google trivial wäre, Nutzer dazu zu verleiten, Inhalte einer Domain zuzulassen und diese Einschränkung zu umgehen. Wenn Sie jedoch äußerlich vorsichtig und zielgerichtet sind (sprich: paranoid), ist dies eine Methode, die Sie anwenden können.

Das ist allerdings etwas albern.Wenn Sie der Domain "google.com" nicht vertrauen, sollten Sie Chrome überhaupt nicht verwenden!Wenn Sie nur den Zugriff auf bestimmte Domänen blockieren möchten, gibt es einfachere Möglichkeiten (eine Möglichkeit besteht darin, sie unter anderem auf die lokale Host-IP-Adresse in Ihrer Hosts-Datei festzulegen).
Einverstanden @Muhd, wenn Sie Google nicht vertrauen, verwenden Sie nicht deren Browser ... aber das war die Frage.Beachten Sie, dass das Setzen von "google.com" auf "127.0.0.1" oder etwas anderes in der Hosts-Datei den Zugriff von Anwendungen auf Google nicht blockiert, sondern lediglich (wahrscheinlich) dazu führt, dass der DNS-Resolver des Systems diese IP zurückgibt.Und dies war ein Beispiel ... Ich verwende diese Technik mit Software, die ich nicht zu Hause anrufen oder die ausgehende Kommunikation zu meinem LAN / meinen Servern einschränken möchte, zum Beispiel ... wo ich nicht weiß, was es sein wirdrede mit, aber ich weiß, womit ich es reden lassen werde.
Fair genug.Es scheint eine nützliche Technik zu sein, sich dessen bewusst zu sein.
ggb667
2018-06-13 20:34:02 UTC
view on stackexchange narkive permalink

Was hindert Google daran, alle Informationen auf meinem Computer über Google Chrome zu speichern?

Wenn Sie Ihren Computer vom Netzwerk trennen, wird dies ausgeführt. Um Ihren Computer weiter zu schützen, können Sie auch WLAN, Bluetooth usw. ausschalten und zum Schutz vor EM-Leckagen immer nur manuelle Eingaben ohne entfernbare Geräte und HF-Abschirmung verwenden. Dies schützt Sie vor allem außer vor physischen Eingriffen.

Arbeiten Sie dazu in einem SCIF oder einem sicheren Farady-Käfig mit Geräten, die ICD 503 entsprechen. Fordern Sie die Bediener auf, alle Kleidungsstücke und andere Gegenstände zu entfernen und durchzuführen Physische Suche einschließlich Röntgen vor dem physischen Zugriff, um die Einführung von Abhörgeräten zu verhindern. Führen Sie dieselbe Suche auch beim Austritt durch, um sicherzustellen, dass nichts entfernt wird.

Diese generische Antwort ist zwar ein perfektes Handbuch für Zinnfolienhüter, bietet jedoch keine Antwort auf die Frage "Was hindert Google daran, alle Informationen über Google Chrome auf meinem Computer zu speichern?"
Mit anderen Worten, Sie haben keine Ahnung, oder?
Durch das Entfernen des Netzsteckers wird verhindert, dass Informationen von Ihrem Computer entfernt werden.Das ist das einzige, was funktioniert.Google möchte ALLE Ihre Informationen.Wofür ist der Colud, Google Docs usw. Ihrer Meinung nach gedacht?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...