Новый Idle Detection API в Chrome 94 может использоваться для злоупотреблений

Программный интерфейс Idle Detection API в новом Chrome 64 может использоваться сайтами для обнаружения того, что устройство не используется пользователем. Состояние простоя возникает, когда пользователь не взаимодействовал с устройством или определенными аппаратными компонентами компьютера, такими как мышь или клавиатура или произошли определенные системные события, такие как запуск заставки или блокировка системы.

В примере для разработчиков Idle Detection API используется для того, чтобы узнать доступны ли для общения участники чата или собеседники в социальных сетях, а также для автоматического перезапуска приложений режима киоска, если пользователь не взаимодействовал с устройством в течение определенного времени. Кроме того, новый API может использоваться в приложениях, которые  требуют дорогостоящих вычислений именно в момент взаимодействия с пользователем. Последняя реализация Idle Detection API требует от пользователя явного разрешения, чтобы сайты могли его использовать.

Впервые Idle Detection API был интегрирован в Chrome 94, выпущенный на этой неделе. Mozilla и Apple сопротивляются внедрению данного API и не будут добавлять его поддержку в своих браузерах Firefox и Safari.

У Mozilla есть определенные опасения по поводу интеграции этого API из-за того, что он «может использоваться для мониторинга моделей пользовательского поведения и манипулирования ими».

Другими словами, Idle Detection API может использоваться для анализа физической активности пользователя и распознавания ежедневных ритмов (например, обеденного времени). Собираемые данные могут использоваться для активных психологических манипуляций (например, голод, эмоции). Более того, модели поведения могут использоваться для злоупотреблений со стороны веб-сайтов. Например, веб-ресурсы могут максимально использовать вычислительные ресурсы компьютера, когда пользователь за ним не сидит. Все это приведет к повышенным затратам на электроэнергию, причем пользователь даже не будет знать, в чем заключается проблема.

Mozilla официально отказалась от предложения по внедрению Idle Detection API. Компания призывает отказываться от запросов интеграции функционала, к которому проявляет интерес лишь одна компания-разработчик:

Мы просим исключить спецификации, к которым проявляет интерес лишь одна компания-разработчик, в противном случае мы рискуем получить спецификацию с единственной реализацией, которая в конечном итоге будет служить только документацией (а не фактическим открытым стандартом).

Apple опубликовала свой официальный ответ в списке рассылки Webkit. Команда WebKit не видит «достаточно убедительных» вариантов использования реализации API.

Инженер по разработке ПО Ryosuke Niwa (Риосуке Нива) сообщает:

Я собираюсь перестать отвечать на эту тему на этом этапе, потому что ни один из вариантов использования, представленных здесь или где-либо еще, не является убедительным, и ни одно из мер по обеспечению конфиденциальности или безопасности, которые вы представили здесь и которые я нашел в других источниках, не является адекватным. Однако отсутствие ответа на эту или будущую ветку по этой теме не означает, что мы пересмотрим нашу позицию. Если ни одна из поднятых нами проблем не будет претерпевать каких-либо серьезных изменений, наша позиция останется неизменной — мы будем возражать против добавления этого API, если не указано иное, независимо от того, продолжаем ли мы заявлять об этом публично или нет.

Браузеры на основе Chromium по умолчанию будут поддерживать Idle Detection API, если он не будет вручную удален или отключен командой разработчиков конкретного проекта.