Hlavní navigace

Seznam.cz pustil na veřejnost nebezpečný prohlížeč. Proč vůbec potřebuje prohlížeč?

29. 12. 2014
Doba čtení: 4 minuty

Sdílet

Otázka první je, proč by vůbec měl Seznam vytvářet vlastní prohlížeč. Otázka druhá, proč to dělá, když na to nemá. A proč ohrožuje své uživatele.

Vánoční dárek v podobě „vlastního prohlížeče“ od Seznamu vyvolal řadu otázek. Tou první je, proč by vlastně Seznam měl vstupovat na trh prohlížečů. Tou druhou, která se přímo nabízela, kdy se objeví první bezpečnostní průšvih. Přeci jenom, z historie prohlížečů víme, jak složité to je.

Nahlášení chyby přes feedback v prohlížeči bez reakce. Druhý pokus přes Twitter, také žádná reakce. Datum 16. prosince dost jasně ukazuje, jak dlouho to Seznam.cz nechal být. 

Jak se, doslova během několika hodin, ukázalo, Seznam.cz otázku bezpečnosti velmi hrubě podcenil. Jeden z nejlepších přehledů toho, co všechno je špatně, najdete v Seznam.cz prohlížeč Jak je na tom s bezpečností? A jak víme ze sociálních sítí, právě tenhle článek vyvolal i v Seznamu značnou paniku.

Co navíc, přiměl programátory k nebývalé  pracovní aktivitě, se kterou rozhodně nepočítali. A byť by jeden čekal, že se spíše poučí, tak opak je pravdou – nasociálních sítích nešetřili stížnostmi na „nezodpovědného autora článku, co je měl komentovat“. A výmluvami typu „protože se to vývíjí nad opensource (ve kterém jsou chyby)“ ukázali, že dost zásadně nechápou podstatu problému.

Vlastní prohlížeč od Seznam.cz

Prohlížeč od Seznamu pro Win/Mac je postavený na node-webkit a vykreslovacím jádře Blink (najdete ho i v aktuálním Chromu) a souvisejícím množství Javascriptu, který realizuje vše potřebné okolo. Seznam v tomto případě doplňuje hodně vlastních věcí a využívá k tomu AngularJS.

Jak upozorňuje výše zmíněný článek, právě zde je jádro problémů – autorům nedošlo, že některé věci mohou být nebezpečné, včetně toho, že jakákoliv stránka se mohla dostat ke kompletním datům uživatele. Chybí i sandboxing, tolik potřebná izolace záložek. Mimo to ještě takové maličkosti, jako přístup k webkameře či mikrofonu, aniž by se o tom uživatel mohl dozvědět. 

Za upozornění stojí i to, že útočník si může screenshotovat cokoliv chce a za uživatele klikat na cokoliv se mu zlíbí – všechno jsou to věci, které je v prohlížečích potřeba pečlivě hlídat. Až po souborové dialogy a tedy i přístup k souborům, ke kterým by se nemělo být možné dostat.

Autor zmíněného přehledu problémů to hodnotí takto:

Verdikt: jedná se o nebezpečný, nedokončený produkt a jeho vydání je spíše hrozbou pro uživatele, než zárukou bezpečí a rychlosti. Jeho spásou můžou být rychlé a časté aktualizace, ale Seznam má co dohánět.

Seznam záplatoval, ale moc nechápe

S hodnocením lze plně souhlasit, možná je ale vhodné ho doplnit ještě o něco dalšího. Firma velikosti a vlivu Seznam.cz si nesmí dovolit něco takového vypustit na veřejnost. V žádném případě. A nic nepomáhá to, že tisková mluvčí Seznamu na sociálních sítích uklidňovala slovy „na opravách chyb pracujeme“ a dodávala:

Jde o nultou verzi prohlizece a jsme pripraveni vse, co se objevi, opravit. Aktualizace vydavame a stahuji se lidem primo na pozadi, aniz by se o to museli starat. Mam informaci, ze i ted kolegove pracuji na dalsich opravach. Takze pracujeme na tom…

Od Seznamu je velmi nezodpovědné, že vypustili na veřejnost produkt, který neprošel dostatečnou kontrolou, ověřením bezpečnosti a chování. Něco takového, tedy „nultou verzi“, bylo možné poskytnout jako uzavřenou betu. Ale hlavně, měla projít důkladným testováním lidmi, kteří skutečně vědí, o co jde a co je potřeba řešit.

Z vyjádření Seznamu je bohužel vidět, že vážnost selhání nepochopili. Co navíc, spoléhají se na „automatické aktualizace na pozadí“, což ve spojení se zásadním selháním v těch nejzákladnějších věcech znamená, že se možná máme ještě na co těšit. Tedy, lépe řečeno: ti, kteří Seznamu uvěřili a nebezpečný prohlížeč si nainstalovali, se mají na co těšit.

Nic nepomůže, že zmíněné chyby už Seznam podle všeho napravil. S přístupem autorů „my za nic neneseme zodpovědnost, za to může open-source“ je otázkou, kolik překvapení ještě v prohlížeči od Seznamu čeká.

wt100 2024 EARLY

Potřebuje Seznam.cz vlastní prohlížeč?

Vraťme se ale zpět k první otázce – potřebuje Seznam.cz vlastní prohlížeč? Není na ni jednoduché odpovědět – zejména proto, že Seznam.cz si samozřejmě může vyvíjet co chce a jak chce. A v době, kdy Google přišel s Chrome, také převládaly hlasy, že nic takového není potřeba.

Existence vlastního prohlížeče od Seznamu je ale bohužel spjatá právě s tím, zda je Seznam.cz schopen zajistit jeho bezpečnost, ochránit uživatele a starat se o jejich podporu. A hned na samém začátku se bohužel ukazuje právě to, že přesně tohle Seznam.cz zajistit neumí. 

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).