整理 | 梦依丹
出品 | CSDN(ID:CSDNnews)
近日,Google Chrome Team 通过 邮件 的形式告知 Linux 发行版开发者。为改善 Google 用户数据安全体验,从 2021 年 3 月 15 日开始,在构建配置上使用 google_default_client_id 和 google_default_client_secret 的 Chromium 和 Chromium OS 衍生产品的终端用户将无法登录其 Google 帐户。
原因是他们在最近的一次审核中发现某些基于 Chromium 的第三方浏览器具有允许访问 Google API 和仅保留给 Google 使用的服务密钥,其中最主要的是访问具有同步账号功能的 Chrome Sync API。
这意味着用户除了可以使用 Chrome 浏览器,还可以使用基于 Chromium 的第三方浏览器访问其个人 Chrome Sync 数据(例如书签)。这给用户个人数据安全埋下了隐患。
而对于通过基于第三方 Chromium 的第三方浏览器访问 Google 功能(例如Chrome Sync)的用户,其数据将继续在其 Google 帐户中可用,并且本地存储的数据将继续在本地可用。
如何移除:
从构建配置中删除 google_default_client_id 和 google_default_client_secret;
在启动时传递–allow-browser-signin = false标志;
可能受影响的 Linux 发行版有 Arch Linux Chromium (arch-linux-chromium)
对此,Linux 发行版开发者表示,如果 Google 开发人员确认移除,则没有理由继续维护 Chromium 软件包了 。Chrome 的工程总监 Jochen Eisinger 在回复中表示他们的决定不会改变。Slackware Linux 和 Arch Linux 都表示考虑从仓库移除 Chromium。
参考资料: https://groups.google.com/a/chromium.org/g/embedder-dev/c/NXm7GIKTNTE/m/Qxcew5lfCAAJ
热门跟贴