Chrome — самый популярный браузер на планете, но последнее изменение в политике приватности Chrome заставило некоторых лояльных пользователей пересмотреть свое к нему отношение. Мэтью Грин, эксперт по криптографии и профессор Университета Джона Хопкинса, посвятил этому изменению целую статью, указав, что прекращает пользоваться браузером, которому доверял 10 лет. Этот блог — в основном про криптографию, и я стараюсь не забивать его случайными постами в стиле «в интернете кто-то неправ». Все же для этого существует Twitter. Но время от времени какая-то тема беспокоит меня достаточно сильно, чтобы сделать исключение. Сегодня я хочу посвятить целый пост Google Chrome — я так его любил в прошлом — и почему из-за их новой политики автоматического логина я не буду использовать его в будущем. Краткая история Chrome Когда Google запустил Chrome 10 лет назад, казалось, это — тот редкий случай, когда все в выигрыше. В 2008 году на рынке браузеров доминировал Microsoft — компания, с некрасивой историей сокрушения конкурентов с помощью этого рыночного перевеса. Что хуже, Microsoft делала намеки о намерении зайти на рынок поиска. Это создавало существенную угрозу позициям Google. В таких условиях Chrome был шикарным решением. Даже если бы этот браузер не принес компании ни копейки прибыли, он служил бы своей цели хотя бы тем, что давал путь в интернет другим продуктам Google. А интернет-сообщество получало отличный opensource-браузер, созданный лучшей командой разработчиков, которых только можно нанять за деньги. Это могло обозначать плохие новости для Mozilla, но в целом для стандартов интернета это было полезно. Многие годы так и было. Конечно, Google предлагала опцию sign in для Chrome (оставаться авторизованным в сервисах компании при запуске браузера — ред.), которая предположительно собирала данные о вашем браузинге и отправляла их в Google, но это была всего лишь опция. Ее можно было легко игнорировать. Если ей не пользоваться, политика Google по обхождению с личными данными пользователей оставалась четкой: ваши данные остаются на вашем компьютере, где им и место. Что поменялось? Несколько недель назад Google выпустил апдейт к Chrome, который основательно поменял практику sign-in. Теперь, всякий раз когда вы авторизуетесь в каком-то из сервисов Google (к примеру, в Gmail), Chrome автоматически подключится к вашему аккаунту Google, не уведомляя вас об этом. Однако, и это важно, разработчики Google уверяют, что это не обозначает автоматическую синхронизацию ваших данных с Google — пока что. Единственное предупреждение — в том, что в правом верхнем углу браузера появится картинка вашего Google-профиля. Так однажды я заметил свою:

Это изменение не прошло полностью незамеченным. По этому поводу шли живые обсуждения на сайтах вроде Hacker News. Но основная айтишная пресса полностью пропустила эту тему. Это плохо, ведь этот апдейт серьезно повлияет на будущее Chrome. В этом посте я собираюсь показать, почему это важно. С моей точки зрения, это можно свести к четырем пунктам: Никто из команды разработчиков не может предоставить внятного объяснения, почему это изменение необходимы. Их текущие объяснения не имеют смысла. Это изменение сильно повлияет на приватность и доверие пользователей, а Google ничего не сможет с этим поделать. Это изменение подпортит и собственные политики приватности Google. Google нужно прекратить относиться к пользователям как к возобновимому ресурсу. Предупреждаю, далее текст будет звучать немного пафосно, но все равно прочтите до конца, пожалуйста. Объяснение Google не имеет смысла Новая функция, которая включает автоматический логин, называется «Соответствие идентификации между браузером и хранилищем кукиз». После обсуждений с двумя разработчиками Chrome (имена приводить не буду, не хочу, чтобы они меня возненавидели), мне предоставили два объяснения: Перефразируя: если вы уже залогинены в Chrome и ваш друг сядет за ваш компьютер, случайно может получиться так, что кукиз Google-аккаунта вашего друга загрузятся в ваш аккаунт. Это звучит плохо, никому такое не понравится. Здесь нужно отметить: чтобы эта проблема вас касалась, вам уже надо быть залогиненным в Chrome. В таком описании проблемы ничего не указывает на пользователей, которые не захотели логиниться в браузер. Так что, если ваша проблема — залогиненые пользователи, зачем вводить апдейт, который заставляет логиниться неавторизованных пользователей? А это важно, поскольку синхронизируй или нет, но… Это изменение сильно повлияет на приватность и доверие пользователей Команда Chrome подобрала единственный аргумент в защиту этого апдейта: то, что вы залогинены в браузере, не означает автоматически, что браузер отсылает ваши данные на серверы Google. В частности, сейчас Chrome будет залогиниваться в ваш Google-аккаунт без вашего согласия (как раньше происходило с Gmail-аккаунтом), но не будет активировать функцию синхронизации, которая пересылает данные в Google. Для этого нужно согласие пользователя. Так что в теории данные останутся на его компьютере. В этом нет смысла сразу по нескольким причинам. Согласие пользователя важно. За 10 лет его существования браузер Chrome постоянно меня спрашивал: «Вы хотите залогиниться в свой Google-аккаунт?». И 10 лет подряд я отвечал: «Нет, спасибо». Chrome и сейчас задает мне этот вопрос, вот только не принимает во внимание мой ответ. Проблема здесь следующая: если вы не хотите принимать во внимание мое согласие, почему я должен доверять любым другим вашим формам, где нужно согласие пользователя? Фактически, я раньше никогда даже не слышал об опции синхронизации Chrome, по той простой причине, что до сентября 2018 я никогда не логинился в Chrome. Сейчас мне нужно учить эти новые термины, и верить, что Chrome сдержит обещание, не будет передавать мои данные. Синхронизация в Chrome — это dark pattern («темный паттерн», уловка в интерфейсе, призванная повлиять на поведение пользователя). Теперь, когда меня автоматически логинят в Chrome, перед моими глазами — такое новое меню:

Эта большая голубая кнопка обозначает, что мои данные уже синхронизируются с Google? Это пугает! Возможно, это приглашение синхронизировать их? А что случится с моими данными, если я случайно нажму ее? Вкратце, Google превратил процесс согласия на загрузку данных из чего-то, требующего сознательного усилия (ввода логина/пароля) во что-то, что я могу активировать случайным кликом. Это и есть «темный паттерн». Специально или нет, он повлияет на то, что люди будут активировать синхронизацию, даже не зная об этом, или же будут уверены, что синхронизация уже включена и нет ничего страшного в том, чтобы расширить доступ Google к своим данным. Не нужно верить мне на слово. Но это пугает даже бывших сотрудников Google. «Большому брату» не обязательно на самом деле следить за вами. Мы рассказываем браузеру такие вещи, которые не решились бы рассказать ближайшему другу. Мы творим это, смутно понимая, что интернет шпионит за нами. Но мы также верим, что этот шпионаж — слабенький и основан на предположениях. Совсем не сравнить с тем, как если бы кто-то стоял прямо у нас за плечом и мог получить номер нашего водительского удостоверения из пары кликов. Что случится, если эта вера пошатнется? Многочисленные исследования указывают, что сама мысль о слежке может сильно увеличить градус самоцензуры пользователей. Будет ли пользователь спокойно гуглить информацию о болезни, если его настоящее имя и фото всегда светятся в углу браузера? Команда Chrome считает, что да. Я думаю, они ошибаются. Этот новый подход будет иметь последствия для приватности, даже если синхронизация и в самом деле не работает. К примеру, если я вылогинился из браузера, когда я логинюсь, все мои данные за период, пока я не был авторизован, попадут в Google или нет? Это изменение подпортит и собственные политики приватности Google. Политика приватности Chrome — невероятно простой документ. В отличие от большинства подобных документов, он создавался как обещание пользователям, а не как обычные юридические уловки. Он описывает две модели браузинга: «базовая» и «с авторизацией». Они сильно отличаются.

В базовой модели данные хранятся локально. При авторизации они отправляются на серверы Google. Если хотите приватности, не логиньтесь. Но что если ваш браузер сам будет решать, в каком режиме работать? Технически, правила приватности нарушены не будут. Но проблема в том, что вы больше не сможете сами решать, в каком режиме вы будете работать. После того, как я обнародовал свои опасения, я получил письмо от разработчиков Google о том, что компания обновит свою политику приватности, чтобы отражать новые правила работы Chrome. Доверие — не возобновляемый ресурс Как для компании, которая держится на сборе огромного количества пользовательских данных, Google удалось справиться с негативом и критикой по нарушениям приватности намного лучше, чем, скажем, Facebook. Это не потому, что Google собирает меньше данных, просто раньше компания обращалась с ними более осмотрительно и ответственно. Facebook обычно сначала меняет настройки приватности, а затем извиняется, у Google же — правила приватности довольно ясные, и они нечасто меняются. Google обещает обходиться с данными пользователей определенным образом — и держит обещание. Но похоже, этот подход меняется. Репутация Google зарабатывалась тяжелыми трудом. Подобные апдейты уничтожат доверие пользователей. Если бы этот апдейт решал критическую проблему… Если бы только Google мог меня убедить, что дело в этом. Выводы Прежде чем завершить текст, хотел бы привести два контраргумента по вопросу от людей, которых я считаю экспертами в отрасли. Один — в том, что Google уже шпионит за вами через кукиз, рекламную сеть и партнерки, так в чем же проблема с авторизацией в браузере? Один из моих собеседников описал этот апдейт так: «теперь в Chrome на вас будет два ярлыка с именем вместо одного». Но мне кажется, этот контраргумент бессмысленный — если компания уже нарушила мою приватность, это само по себе не является оправданием для еще большего нарушения. Второй контраргумент звучит так: Google всегда планировал поступать с данными именно так, и если вы пользуетесь его продуктами, вы — нуб. Крайняя степень этого аргумента предполагает, что я должен использовать lynx+Tor. Если я этого не делаю — так мне и надо. Не согласен и с этим аргументом. Думаю, для компании типа Google целиком возможно создать хороший удобный opensource-софт, который при этом не нарушает приватности. 10 лет подряд я верил в то, что именно так поступает Chrome. Почему они решили это прекратить, я не знаю. Но это печалит меня. #СоветыДляКомпьютера