Opdateret: I forbindelse med lanceringen af Google Chrome-browseren i denne måned var det danske sikkerhedsfirma CSIS ude med en advarsel mod at bruge browseren i virksomheder.
Google har siden afvist kritikken, hvilket får CSIS til at skære sin kritik ud i pap. Og fastholde den.
»Vi mener, på baggrund af den brede pressedækning, at det er rimeligt at vi uddyber, hvorfor vi gik så vidt at fraråde browseren,« skriver CSIS i en længere redegørelse. CSIS understreger dog, at advarslen er møntet på brug af Chrome i erhvervsøjemed.
Firmaets første kritikpunkt går på, at Chrome benytter en ældre version af rendering-motoren "Webkit", der også benyttes i Safari. Kritikken går på, at Chrome har "arvet" gamle fejl fra Webkit. Fejl som ellers er blevet rettet i Safari for lang tid siden.
»Det, syntes vi, er sjusket og sløset, og det bør ikke forekomme - selv i et beta-produkt,« lyder det fra CSIS.
Misforstået beta-begreb
CSIS anerkender, at hele browser-projektet fortsat er påhæftet et beta-mærke, der indikerer, at browseren langt fra er færdig endnu.
»Men samtidig med at betegnelsen beta normalt dækker over et ikke endeligt produkt, så bruger Google udtrykket meget flittigt og beta-betegnelsen er fortsat knyttet til populære produkter og online services, som blev lanceret offentligt for mere end fire år siden,« lyder det i CSISs dokument:
»Det er vores generelle bekymring, at begreber som beta kan misbruges til at omgå sikkerhed, stabilitet og privacy, idet et beta-produkt ikke kan forventes at være fuldt implementeret og udviklet.«
Ved den danske lancering af Chrome nedtonede de danske udviklere beta-kritikken med, at Google benytter benytter begrebet ud fra en opfattelse om, at et produkt kan tilføjes flere features. Ikke at det er usikkert at bruge.
Sladrehank
Et andet kritikpunkt er Chromes tilbagerapportering til Google.
Når browseren installeres dannes den nemlig et unikt ID, som Google kan knytte forskellige data til.
»Vi finder dette yderst betænkeligt, når man tænker på, hvilke data, der sendes fra pc'en til Google,« skriver firmaet, der også fortæller, at stort set alt, der tastes i adressefeltet, vil blive sendt til Googles centrale servere. Også selv om man aldrig klikker på "søg".
Denne feature kan dog aktivt fravælges under Options -> Manage -> Use a suggestion.
Indrapporteringen gælder også Googles cookies. Derfor kan Google binde URL'er og søgninger med en brugers unikke profil (UID) og dermed danne en klar personlig profil af brugernes færden.
DNS feature
CSIS har også fundet dokumentation på, at Google Chrome tilsidesætter netværksindstillinger på den PC, den installeres på og laver DNS opslag af links på den side, der surfes på, så oplevelsen bliver hurtigere.
For danske Chrome-installationer betyder det, at DNS opslag (prefetch) vil blive foretaget mod serveren "client1.google.dk".
»Det er ikke svært at regne ud, hvilke privacy komplikationer det kan give, når IP adresse, DNS opslag og et unikt ID samles og korreleres i en central database. Google forsvarer denne feature med, at det giver brugeren en hurtigere oplevelse, når en side åbnes, da det pågældende link, som findes på den side, du befinder dig på, allerede er blevet translateret af Google's DNS server,« forklarer CSIS i skrivelsen.
En anden af CSISs bekymringer omkring Chrome er de automatiske opdateringer, der tvangsfodres til alle brugere.
»Hele filosofien bag Google Chrome er - via automatiske opdateringer - at sikre mod sikkerhedstrusler på nettet. Det syntes vi som udgangspunkt godt om, men vi bryder os afgjort ikke om, at brugeren ikke har gennemsigtighed i produktet,« anfører CSIS.
Det fremgår nemlig ingen steder, hvad en opdatering indeholder. Det forsvarer Google således:
"Google believes it's best if Chrome applies security updates not only without a description of what's changing, but also without an opportunity for users to decide whether to accept the patch.".
Desuden peger CSIS på mindst fire sårbarheder, der er blevet konstateret - og rettet - siden starten. Og andre problemer for eksempel med opbevaringen af brugernavne og passwords skulle være på vej, hævder CSIS.
Hos Google forstår man dog ikke den kritik, da alle hullerne netop er blevet lukket meget hurtigere, end brugere af andre browsere er vant til.
Hos CSIS vil man dog heller ikke dømme Chrome ude for altid.
»Grundlæggende er vi imødekommende overfor den nye browsere, som også indeholder forskellige sikkerhedsmæssige forbedringer, som med fordel kan flyttes over i andre browsere og give en mere sikker surfing oplevelse. Men vi skal forholde os til produktet nuværende status, og i den sammenhæng kan vi ikke anbefale, at man anvender Google Chrome,« siger Peter Kruse.
Han har i øvrigt fundet en lille skjult feature i Google Chrome. Prøv at skriv about:internets i browserens adresselinje.
