今天的 Tetralet 又在唧唧喳喳了



« 四月 2017 »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30






 

警告:注意您手上的 Google Chrome!

Tetralet | 13 四月, 2010 14:44

今天在進行 apt-get dist-upgrade 時,發現 google-chrome-unstable 有更新了。但這沒道理呀?我沒有印象我有把任何的 google-chrome 的相關 apt archiver 寫入/etc/apt/sources.list 呀?

並且,為什麼 google-chrome-unstable 能夠不經過我的確認就更新?我不記得我有新增任何的 google apt archiver 的金鑰呀?還好我更新前都會稍稍瞄一下,不然還真的傻傻得就確認下去了。 

稍稍追了一下。您可以猜到的,是 Google 官方所提供的 google-chrome-unstable 利用 apt 的 postinst 幫您自動加上去的,它不但貼心得把 apt archiver 寫了進去,同時還幫您連 apt 金鑰都匯了進去。若一時不查,Google 可以丟一個有鬼的套件上去然後悄悄得藉由 apt-get dist-upgrade 安裝上去。管理者可能做夢都想不到,系統是何時在什麼狀況之下被動了什麼手腳,死得不明不白呢!

並且由於它是用 postinst 寫的,所以除非特意檢查,是不可能發現系統已經被搞鬼。我不清楚別人怎麼想,但對敝人而言,是可忍,孰不可忍?

要知道,所謂的金鑰,就是身份認証。接受了金鑰,就表示您『完全信任』這份金鑰,而可想而之這是多麼嚴重的一件事!所以一般我們和人交換金鑰,會希望對方能提供護照、身份証等証明文件;而若對方是公司或企業的話,那我們更不能等閒視之。更何況 Google 提供的是 apt 如此重要的系統金鑰,我不懂真的有人會信任 Google 到拿自己系統開玩笑?像敝人所維護的 Luna's Debian Archiver 就根本不提供金鑰。我不認為任何人應該輕易得接受這些站台的金鑰,就算維護者再值得信任都一樣。

而 Google 不是口口聲聲說什麼注重使用者的感受嗎?說什麼『Don't be evil』嗎?但為什麼卻偷偷摸摸修改了我系統裡重要的核心檔案,在安裝過程中卻沒有任何的警告或提問?若 Google 真的值得我們信任,那相對的,它必須要光明磊落到讓人能夠放心得去相信才行。但,就在今天,Google 的形象在我心目中完全破滅了。

想想看,若您安裝 LilyTerm 的 deb 套件的同時,敝人也默默得把 Luna's Debian Archiver 也寫入您的 sources.list,並自動匯入 Luna's Debian Archiver 的金鑰,我不曉得會有誰能忍受這種事。

我含著怒氣用 apt-get purge google-chrome-unstable 把 google-chrome-unstable 移掉了,卻發現那個 apt 金鑰卻沒有跟著移掉,它還留在我的系統裡,只好再自己手動移除。那請問它還在我的系統裡動了什麼手腳?真叫人不敢想像...

後來我查了一下。是的,其實在下載那個 deb 套件的網頁上,Google 是有提醒過的。我原本以為那頂多是像很多軟體一樣,在開啟 Google Chrome 的同時,會檢查新版並提醒您更新罷了。但 Google 的做法並不是。Google Chrome 不但替您新增了 sources.list,還不聲不響把 apt 金鑰也匯了進去。如此重大的事,至少要用 debconf 提醒一下唄?但 Google 卻偷偷摸摸得幹了,事後還不會自動移掉!我不相信以 Google 之人材濟濟,連包個 deb 套件都包不好。Google 說什麼注重使用者的隱私,從這個事件上大略可以看出應該只是嘴上說說罷了吧?

也許您會說,我們應該相信 Google 不會亂搞,Google 不會拿自己的商譽開玩笑,Google 絕對不會胡亂提供惡意程式讓使用者下載。但以目前的情勢看來,Google Chome 問也不問就把金鑰安裝在您的系統,事後也不會自動移除,這種行逕已經近於一些流氓軟體了,Google 真的值得我們的信任嗎?基本上個人是難以認同的。

自從 Google 退出中國之後,我不得不承認它似乎是家有骨氣的公司,非常值得敬重。在試用了 Google Chrome 後,我甚至想過要等 Google Chrome 更成熟點,要好好得向別人推廣 Google Chrome:『忘了 Firefox 吧!那已是舊時代的產物了。』但如今,我迷惘了。我想了想,還是乖乖得回去用 Firefox 好了。

是的,Google Chrome 真的快,功能也不差,但若開發者不值得信任,那它就是不值得一用。今天它偷偷改了我系統裡重要的核心檔案,天曉得明天會幹出什麼事?雖然 Firefox 是慢了點,但至少我用起來不會心裡毛毛的,然後晚上也不會因此睡不著覺。因此,我下定了決心,我不會再碰 Google Chrome 了。雖然一想到又有一個好用軟體從我的使用清單除名未免有些惆悵,但不管如何,做人是要有點風骨的。『珍愛生命、遠離 Google Chrome』呀!

迴響

大爺請息怒...

我想這多少是為了他安裝上的方便,使得使用上的人能收到更新,所以才自動加入的。
雖然疑神疑鬼是好事,但是就以往的紀錄而言,他大致上仍然遵守他的原則的。
我嘗試著發個郵件倒討論群組問問,你可以等等看這會不會有所改進。

[回應] 張X @ 14/04/2010, 13:37

試試CHROMIUM吧…

GOOGLE CHROME的更新本來就是這樣,WINDOWS下也是一聲不吭就直接昇級了,
當初好像也有引起小小的爭議,不過FIREFOX好像也是直接就昇級了不是?
真的那麼不滿GOOGLE的話可以試試CHROMIUM,
這是沒有GOOGLE染指的CHROME…

[回應] SWATCH @ 14/04/2010, 21:30

Re: 警告:注意您手上的 Google Chrome!

上次試裝後apt更新時我也覺得怪怪的,
後來就砍了,反正也用不習慣。
不過我記得我裝的是Chromium吔?

[回應] cc @ 15/04/2010, 00:03

Google自動更新

之前裝過Google的瀏覽器、輸入法還有工具列
每個都會自動在系統中塞一個自動更新的常駐程式
每裝一個就多一個 而且不提供關閉的選項 要得自己去砍
後來火大全部不裝了~ 反正也沒有好用到非用不可!!
現在主要用Firefox 再裝個Chromium Portable測試用~
(用個前導程式配合buildbot丟出的zip檔就可以用了)

塞金鑰的問題我覺得換個角度想是apt工具給deb套件的權限太大了
就算Google給了警告 還是有可能有人在deb套件裡面亂搞
一般使用者可能根本不懂deb套件可能帶來的風險就裝下去了
要根本解決這個問題的話可能要從apt下手

[回應] WL @ 29/04/2010, 22:54

感慨

一个月就发一篇文章,这blog写的真悠闲。其实想一想,这才是极佳的生活态度

[回應] AA @ 30/04/2010, 07:35

Zerng07

我前幾天安裝時有見到 Google 官方 Chrome 頁面下方有提及。

「注意:安裝「Google 瀏覽器」將會在您的電腦中加入 Google 儲存庫,讓您的系統自動更新「Google 瀏覽器」。如果您不想安裝 Google 的儲存庫,請先執行 "sudo touch /etc/default/google-chrome" 再安裝套件。」

[回應] zerng07 @ 31/05/2010, 23:03

Re: zerng07

真的改了耶?太出乎人意料之外了。

感謝告知這個資訊!

[回應] Tetralet @ 01/06/2010, 19:26

Re: 警告:注意您手上的 Google Chrome!

真的那麼不滿GOOGLE的話可以試試CHROMIUM,
這是沒有GOOGLE染指的CHROME…

really?

[回應] PixQun @ 28/05/2011, 01:57

authimage
驗證碼皆為英文大寫字母
僅輸入前4碼即可。後2碼是假的,欺敵用。
這是為了防制 Spam 而設計的。若造成您的不便還請見諒!
Accessible and Valid XHTML 1.0 Strict and CSS
Powered by LifeType - Design by BalearWeb