El décimo aniversario de Google Chrome estuvo pasado por agua: los cambios visuales y las nuevas funcionalidades eran destacables, pero quedaron ensombrecidos por una nueva característica de la que Google no dijo nada: el login forzado.
Esta opción hace que cualquier usuario de Chrome que inicie sesión en un servicio de Google lo haga automáticamente en Chrome, algo que plantea riesgos potenciales a la privacidad. Los responsables de Google han acabado recapacitando y tras las críticas introducirán en Chrome 70 la posibilidad de desactivar ese tipo de login automático y corregirán otro problema reciente con las cookies.
Una práctica preocupante
Chrome es un navegador notable en muchos apartados —aunque sea algo glotón en materia de consumo de memoria— pero lo realmente preocupante de la nueva versión era ese inicio de sesión forzado que hacía que el usuario ya no tuviera que dar su consentimiento para logarse en Chrome al detectarse inicio de sesión en uno de los servicios de Google.
Los expertos en seguridad criticaron esa decisión, que en Google defendieron argumentando que aportaba consistencia y evitaba confusión: en anteriores ediciones de Chrome un usuario A podía estar logado en el navegador pero acceder a servicios de Google con otra cuenta B.
Esto podía hacer que la recolección de datos de una cuenta B acabase alineada con los datos de la cuenta A, algo que podría plantear riesgos para la privacidad según los ingenieros de Google.
La nueva característica era potencialmente peligrosa para la privacidad de los usuarios que prefieren no iniciar sesión en Chrome, aunque es cierto que para que se iniciase la recolección de datos había que activar un último servicio: Google Sync.
Chrome borraba todas las cookies... excepto las de Google
Otro de los descubrimientos que se realizaron en las últimas horas también añadió más leña al fuego: el navegador Chrome hacía una gestión de las cookies bastante particular.
"Clear all Cookies except Google Cookies", thanks Chrome. /cc @matthew_d_green pic.twitter.com/tR0UJjtPFL
— Christoph Tavan (@ctavan) 24 de septiembre de 2018
De hecho si un usuario decidía borrarlas se borraban todas a excepción de las cookies generadas por sitios y servicios de Google, que seguían almacenadas en el navegador.
In "Clear browsing data" there's at least a notice that I won't be signed out of Google. In chrome://settings/siteData?search=cookies however, there's a "Remove all" button which doesn't remove all. See screenshots before, after click on "remove all" and after refresh. pic.twitter.com/rTkFWmCmWP
— Christoph Tavan (@ctavan) 25 de septiembre de 2018
El botón "Remove all" ("Borrar todas") en realidad no las eliminaba totalmente, y como explicaba Christoph Tavan, esas cookies pertenecientes a servicios de Google se eliminaban para luego ser "recreadas inmediatamente" como se ve en la secuencia de imágenes de su mensaje en Twitter. El problema volvió a encender las críticas de usuarios y expertos en privacidad y seguridad informática.
Google recapacita
Las críticas por esa medida ha hecho que en Google den marcha atrás. En un nuevo post en el blog oficial de Google uno de sus responsables de producto explica cómo en Chrome 70 incluirán una nueva opción para activar o desactivar el llamado "Chrome sign-in".
También, aseguran, eliminarán todas las cookies (todas, todas) cuando lo pidamos, y no mantendrán ya las de Google auth, que según los ingenieros de Google no borraban "para permitir que te mantuvieras logado después de que las cookies se borraran".
No obstante, habrá que ver si el navegador mantiene el login forzado por defecto, algo que a juzgar por las imágenes será el comportamiento nativo de Chrome. Si es así volverán las críticas, y serán los usuarios los que tendrán que desactivar esta función manualmente si desean no contar con ese inicio de sesión automático en Chrome.
Como ya comentábamos al hablar de esta técnica, es posible desactivar ese comportamiento en Chrome 69. Para ello hay que navegar a la dirección "chrome://flags/#account-consistency" y deshabilitar la opción "Identity consistency between browser and cookie jar". Hasta que aparezca Chrome 70 a mediados de octubre, esta será la forma más rápida de evitar problemas y confusiones en este ámbito.
Más información | Google Blog
Ver todos los comentarios en https://www.xataka.com.co
VER 0 Comentario