Chrome wzywa Google'a

Pierwsza fala euforii, jaką wywołała nowa przeglądarka Chrome, została spostponowana przez organizacje zajmujące się ochroną danych osobowych. Przedstawiciele Google'a opublikowali wprawdzie oświadczenie w sprawie ich ochrony w Chrome'ie, ale jest ono tak niejednoznacznie sformułowane, że raczej trudno oczekiwać, aby rozwiało wszelkie wątpliwości.
Korporacja z Mountain View mówi w nim, co robi, ale o tym, czego nie robi, już nie wspomina. Każda kopia przeglądarki ma swój numer identyfikacyjny (ID), który w pewnych okolicznościach jest przesyłany do producenta - i nie jest jasne, w jakich sytuacjach ten numer na pewno nie wypłynie na zewnątrz.

Oczywiście ID jaki taki nie jest niczym nowym. Jeśli tylko jest przesyłany za wyraźną zgodą użytkownika w jasno określonych przypadkach - na przykład po to, aby producent oprogramowania mógł przeanalizować jakiś błąd programu - nie ma w tym nic zdrożnego. I jakkolwiek Google odpytuje użytkownika podczas instalacji, czy wyraża on na to zgodę, a także pozwala na późniejsze wyłączenie funkcji przekazywania ID, to jednak pewne pytania pozostają bez odpowiedzi.

W oczy rzuca się fakt, że Google nie instaluje przeglądarki w przewidzianym do tego katalogu Windows, ale w miejscu, w którym normalnie gromadzone są dane. To przy okazji doprowadza nas do wniosku, że pliki wykonywalne nie są chronione przed modyfikacją przez szkodliwe oprogramowanie, jakie nawet użytkownikowi o ograniczonych prawach wolno ściągnąć z Internetu - a takie igranie z zabezpieczeniami wydaje się nierozsądne. Poza tym oznacza to również, że każdy użytkownik komputera będzie instalował osobną kopię przeglądarki. W efekcie ID staje się znakiem rozpoznawczym każdego internauty z osobna. A kiedy przeglądarka zostanie usunięta, numer ID pozostanie we własnym katalogu z danymi i po ponownej instalacji znowu wróci do obiegu.

Kay Oberbeck, rzecznik prasowy Google'a, zapytany przez heise online o identyfikatory wyjaśnił, że ID nie są kojarzone z danymi o użytkowniku. Takie informacje są przekazywane na przykład wtedy, kiedy internauta wpisuje cokolwiek w pasku adresu Chrome'a. Standardowo włączona wyszukiwarka (a jest nią Google) pobiera z firmowych serwerów propozycje służące do uzupełnienia adresów i kwerend. Te funkcję można jednak bez problemu wyłączyć.

Istnieje zresztą jeszcze jedna opcja, która ma pomagać w razie błędów we wprowadzaniu adresu. Zamiast standardowych komunikatach o błędach 404 lub błędach DNS Google prezentuje propozycje poprawnych adresów i oferuje zmianę nieprawidłowo wprowadzonego adresu. W takich wypadkach Chrome również wysyła wprowadzony URL do Google'a, ale tę funkcję da się również zablokować.

W oświadczeniu o ochronie danych osobowych korporacja stwierdza, że podczas odwiedzania stron Google'a zakładane są pliki cookie. Nie powinno być to zaskoczeniem, dziwne jest jednak, że Chrome ściąga cookies od Google'a nawet wtedy, gdy żadne strony firmy nie były wywoływane. Ciasteczka są później wciąż przesyłane do Google'a wraz z danymi takimi jak wprowadzone adresy.

Podobnie jak Internet Explorer, Firefox i Opera, także Chrome oferuje funkcję porównywania wprowadzonych adresów stron z lokalną, regularnie aktualizowaną bazą danych zawierającą linki witryn phishingowych. Ma ona służyć ostrzeganiu użytkownika przed ładowaniem podejrzanych stron. Uaktywnienie tej funkcji rozpoczyna regularną wymianę informacji między serwerami Google'a i przeglądarką Chrome, w trakcie której przesyłane są także pliki cookies.

Podobnie jak wielu innych producentów, także Google instaluje w wielu swoich programach menedżera aktualizacji, który podczas startu systemu automatycznie ładuje się i w zależności od potrzeb łączy się z serwerami swojej macierzystej firmy, poszukując na nich nowych wersji. Taki plik - o nazwie GoogleUpdate.exe - jest również po cichu instalowany wraz Chrome'em. Denerwujące jest to, że jeden z takich procesów działających w tle pozostaje w komputerze nawet po odinstalowaniu browsera. Jako że nie pojawia się on na liście widocznej po wywołaniu systemowego narzędzia do zarządzania oprogramowaniem, można go łatwo przeoczyć. Taką aplikację trzeba usuwać ręcznie, a automatyczny start aplikacji wyłączać za pomocą programu msconfig.

Każdy, kto chce zainstalować Google'a bez wbudowanego modułu aktualizacyjnego, może pobrać osobny instalator działający w trybie offline. Jednak także w tym przypadku przeglądarka otrzyma swój własny ID. Ktoś, komu to nie odpowiada, powinien sięgnąć po przenośną wersję Chrome'a przygotowaną przez Carstena Knoblocha. Taka przeglądarka też ma co prawda swój numer ID, ale nie jest on unikatowy, lecz identyczny u każdego użytkownika. Utrudni to Google'owi rozpoznanie konkretnego internauty.

W już zainstalowanej wersji Chrome'a można ponadto wprowadzić nowe numery ID. W tym celu należy zamknąć przeglądarkę, odnaleźć plik Local State w katalogu instalacyjnym Google'a (User Data) i zamienić wartości client_id oraz client_id_timestamp. W ich miejsce trzeba wpisać ciągi użyte we wspomnianej wersji przenośnej Chrome'a: FA7069F6-ACF8-4E92-805E-2AEBC67F45E0 i 1220449017. Nie możemy jednak zagwarantować, że jest to jedyne miejsce przechowywania numerów ID.