Hlavní navigace

Seznam.cz pustil na veřejnost nebezpečný prohlížeč. Proč vůbec potřebuje prohlížeč?

Daniel Dočekal 29. 12. 2014

Otázka první je, proč by vůbec měl Seznam vytvářet vlastní prohlížeč. Otázka druhá, proč to dělá, když na to nemá. A proč ohrožuje své uživatele.

Vánoční dárek v podobě „vlastního prohlížeče“ od Seznamu vyvolal řadu otázek. Tou první je, proč by vlastně Seznam měl vstupovat na trh prohlížečů. Tou druhou, která se přímo nabízela, kdy se objeví první bezpečnostní průšvih. Přeci jenom, z historie prohlížečů víme, jak složité to je.

Nahlášení chyby přes feedback v prohlížeči bez reakce. Druhý pokus přes Twitter, také žádná reakce. Datum 16. prosince dost jasně ukazuje, jak dlouho to Seznam.cz nechal být. 

Jak se, doslova během několika hodin, ukázalo, Seznam.cz otázku bezpečnosti velmi hrubě podcenil. Jeden z nejlepších přehledů toho, co všechno je špatně, najdete v Seznam.cz prohlížeč Jak je na tom s bezpečností? A jak víme ze sociálních sítí, právě tenhle článek vyvolal i v Seznamu značnou paniku.

Co navíc, přiměl programátory k nebývalé  pracovní aktivitě, se kterou rozhodně nepočítali. A byť by jeden čekal, že se spíše poučí, tak opak je pravdou – nasociálních sítích nešetřili stížnostmi na „nezodpovědného autora článku, co je měl komentovat“. A výmluvami typu „protože se to vývíjí nad opensource (ve kterém jsou chyby)“ ukázali, že dost zásadně nechápou podstatu problému.

Vlastní prohlížeč od Seznam.cz

Prohlížeč od Seznamu pro Win/Mac je postavený na node-webkit a vykreslovacím jádře Blink (najdete ho i v aktuálním Chromu) a souvisejícím množství Javascriptu, který realizuje vše potřebné okolo. Seznam v tomto případě doplňuje hodně vlastních věcí a využívá k tomu AngularJS.

Jak upozorňuje výše zmíněný článek, právě zde je jádro problémů – autorům nedošlo, že některé věci mohou být nebezpečné, včetně toho, že jakákoliv stránka se mohla dostat ke kompletním datům uživatele. Chybí i sandboxing, tolik potřebná izolace záložek. Mimo to ještě takové maličkosti, jako přístup k webkameře či mikrofonu, aniž by se o tom uživatel mohl dozvědět. 

Za upozornění stojí i to, že útočník si může screenshotovat cokoliv chce a za uživatele klikat na cokoliv se mu zlíbí – všechno jsou to věci, které je v prohlížečích potřeba pečlivě hlídat. Až po souborové dialogy a tedy i přístup k souborům, ke kterým by se nemělo být možné dostat.

Autor zmíněného přehledu problémů to hodnotí takto:

Verdikt: jedná se o nebezpečný, nedokončený produkt a jeho vydání je spíše hrozbou pro uživatele, než zárukou bezpečí a rychlosti. Jeho spásou můžou být rychlé a časté aktualizace, ale Seznam má co dohánět.

Seznam záplatoval, ale moc nechápe

S hodnocením lze plně souhlasit, možná je ale vhodné ho doplnit ještě o něco dalšího. Firma velikosti a vlivu Seznam.cz si nesmí dovolit něco takového vypustit na veřejnost. V žádném případě. A nic nepomáhá to, že tisková mluvčí Seznamu na sociálních sítích uklidňovala slovy „na opravách chyb pracujeme“ a dodávala:

Jde o nultou verzi prohlizece a jsme pripraveni vse, co se objevi, opravit. Aktualizace vydavame a stahuji se lidem primo na pozadi, aniz by se o to museli starat. Mam informaci, ze i ted kolegove pracuji na dalsich opravach. Takze pracujeme na tom…

Od Seznamu je velmi nezodpovědné, že vypustili na veřejnost produkt, který neprošel dostatečnou kontrolou, ověřením bezpečnosti a chování. Něco takového, tedy „nultou verzi“, bylo možné poskytnout jako uzavřenou betu. Ale hlavně, měla projít důkladným testováním lidmi, kteří skutečně vědí, o co jde a co je potřeba řešit.

Z vyjádření Seznamu je bohužel vidět, že vážnost selhání nepochopili. Co navíc, spoléhají se na „automatické aktualizace na pozadí“, což ve spojení se zásadním selháním v těch nejzákladnějších věcech znamená, že se možná máme ještě na co těšit. Tedy, lépe řečeno: ti, kteří Seznamu uvěřili a nebezpečný prohlížeč si nainstalovali, se mají na co těšit.

Nic nepomůže, že zmíněné chyby už Seznam podle všeho napravil. S přístupem autorů „my za nic neneseme zodpovědnost, za to může open-source“ je otázkou, kolik překvapení ještě v prohlížeči od Seznamu čeká.

WT100

Potřebuje Seznam.cz vlastní prohlížeč?

Vraťme se ale zpět k první otázce – potřebuje Seznam.cz vlastní prohlížeč? Není na ni jednoduché odpovědět – zejména proto, že Seznam.cz si samozřejmě může vyvíjet co chce a jak chce. A v době, kdy Google přišel s Chrome, také převládaly hlasy, že nic takového není potřeba.

Existence vlastního prohlížeče od Seznamu je ale bohužel spjatá právě s tím, zda je Seznam.cz schopen zajistit jeho bezpečnost, ochránit uživatele a starat se o jejich podporu. A hned na samém začátku se bohužel ukazuje právě to, že přesně tohle Seznam.cz zajistit neumí. 

Našli jste v článku chybu?
Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Jak důležitá je u firemních počítačů spotřeba?

Jak důležitá je u firemních počítačů spotřeba?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink