image

Google Chrome gaat toegang tot batterijstatus vanaf http-sites blokkeren

vrijdag 4 februari 2022, 14:24 door Redactie, 32 reacties

In de volgende versie van Google Chrome is het niet langer meer mogelijk voor websites en webapplicaties om via http de batterijstatus van apparaten op te vragen. Via de Battery Status API kunnen webontwikkelaars onder andere zien hoe ver de batterij is opgeladen en of die op dat moment wordt opgeladen.

"Het is een krachtige feature die er al meer dan tien jaar is, en daardoor oorspronkelijk met andere veiligheidsbeperkingen is ontwikkeld", stelt Google. Het techbedrijf is bezig om krachtige features binnen de browser, zoals de batterijstatus, niet meer vanaf het onveilige http toegankelijk te maken. Naast de batterijstatus gaat het ook om bijvoorbeeld geolocatie, AppCache en of het apparaat ligt of staat.

Met de lancering van Chrome 99 zal de Battery Status API niet langer meer werken vanaf onveilige locaties, zoals http-pagina's of https-iframes op http-pagina's. Chrome 99 zou op 1 maart moeten uitkomen.

Reacties (32)
04-02-2022, 14:53 door Anoniem
...Het is een krachtige feature...
Waarvoor wordt dit dan gebruikt? Sommige websites vragen naar je locatie en daar geef je als gebruiker dan wel of geen toestemming voor. Handig als je bijvoorbeeld Google Maps in de browser gebruikt. Maar wat heeft een website aan je batterijstatus?
04-02-2022, 15:09 door Anoniem
Waaaat? Browsers horen zo min mogelijk van een systeem door te geven.
04-02-2022, 15:10 door johanw
Wat heeft een website uberhaupt met mijn accustatus te maken?
04-02-2022, 15:23 door Anoniem
Oh. Dus vanaf https kan het nog wel?
Toch blij dat ik nooit chrome gebruikt heb. Wat een zinloze en schadelijke functionaliteit!
04-02-2022, 15:32 door Anoniem
Door johanw: Wat heeft een website uberhaupt met mijn accustatus te maken?
Oh helemaal niks maar wat ze bedoelen met krachtige features is fingerprint id. Combi van accu levenduur (cycles) schermresolutie, taal instelling en andere gegevens en je hebt een uniek profiel per bezoeker.

Daarom dat je ook als je beetje respect hebt voor je bezoekers dit onmogelijk maakt op site niveau.
Zoiet Iets als permission policy headers:

Header set Permissions-Policy "execution-while-not-rendered=(self), execution-while-out-of-viewport=(self), fullscreen=(self), legacy-image-formats=(self), oversized-images=(self), sync-xhr=(self), geolocation=(), midi=(), notifications=(), push=(), microphone=(), camera=(), magnetometer=(), gyroscope=(), speaker=(), vibrate=(), fullscreen=(self), payment=()"
04-02-2022, 15:34 door Anoniem
Toch fijn dat Android zo'n fijnmazige API heeft, maar dat het permissions deel dat totaal niet weerspiegeld. Enkel met root-rechten kun je daar in gaan zitten wroeten.
Android was toch opgebouwd rond de idee dat gebruikers zelf konden bepalen hoe en wat het werkte? Nou, Google, voer dat door, zou ik zeggen!
Boomer speaking... we leven ondertussen in de twenties, en dan is het zelf beheren van hardware en software zó achterhaald.
04-02-2022, 15:59 door Anoniem
Aan de reacties te zien weet niet iedereen dat er een profiel van je is op te bouwen (door middel van fingerprinting en dus door online tracking) via je accu-status API.

Je kunt dit in fifrefox blokkeren door in de adresbalk about:config te typen en het item dom.battery.enabled van true op false te zetten door te dubbelklikken. Daarna tabblad afsluiten en klaar is kees.

Overigens is na versie 52 van Firefox niet meer mogelijk om zomaar toegang te hebben tot de battery API. Maar wie dat wil, kan dat via about:config alsnog uitzetten.
04-02-2022, 16:32 door Anoniem
Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.
04-02-2022, 17:17 door Anoniem
WTF waarom kon dit uberhaupt? Ik hoop dat FF dit soort rommel niet standaard aan heeft staan alhoewel die EFF / Mozilla ook niet helemaal 100% zijn.
04-02-2022, 17:19 door Anoniem
WTF waarom kon dit uberhaupt?
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.
Ik hoop dat FF dit soort rommel niet standaard aan heeft staan alhoewel die EFF / Mozilla ook niet helemaal 100% zijn.
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.

Unieke identificatie, hoeveel mensen in een kamer denk je hebben dezelfde batterij status?
04-02-2022, 17:33 door [Account Verwijderd]
Door Anoniem: Aan de reacties te zien weet niet iedereen dat er een profiel van je is op te bouwen (door middel van fingerprinting en dus door online tracking) via je accu-status API.

Je kunt dit in fifrefox blokkeren door in de adresbalk about:config te typen en het item dom.battery.enabled van true op false te zetten door te dubbelklikken. Daarna tabblad afsluiten en klaar is kees.

Overigens is na versie 52 van Firefox niet meer mogelijk om zomaar toegang te hebben tot de battery API. Maar wie dat wil, kan dat via about:config alsnog uitzetten.

Goede aanvulling. Dank!

Maar wat is dat toch met die Firefox? Altijd haantje de voorste met betrekking tot roepen dat zij privacy hoog in het vaandel hebben, en hier haal jij nu een voorbeeld aan waaruit blijkt wat voor een Januskop Firefox soms heeft m.b.t. privacy als je gaat graven in about:config.

Versta mij niet verkeerd, Ik gebruik primair Firefox al vele jaren naast Chromium dus ik post dit niet om blind te hakken op Firefox. Ik constateer dit n.a.v. je opmerking.
04-02-2022, 18:04 door Anoniem
Zelfs in tor-browser staat dit default aan.
04-02-2022, 18:44 door Anoniem
Goede aanvulling. Dank!

Maar wat is dat toch met die Firefox? Altijd haantje de voorste met betrekking tot roepen dat zij privacy hoog in het vaandel hebben, en hier haal jij nu een voorbeeld aan waaruit blijkt wat voor een Januskop Firefox soms heeft m.b.t. privacy als je gaat graven in about:config.

Versta mij niet verkeerd, Ik gebruik primair Firefox al vele jaren naast Chromium dus ik post dit niet om blind te hakken op Firefox. Ik constateer dit n.a.v. je opmerking.
Even een reactie op mijn draadje.

Ik noem hier Firefox, omdat dit een van de browsers is waar je fingerprinting zoveel als mogelijk kunt frustreren. Ik zeg niet dat je alles maar even om zeep moet helpen, want dan ben je een hele middag bezig. Het feit dat Google er nu iets van zegt vind ik rijkelijk laat als het om de batterij API gaat. Wil je meer privacy hebben, dan moet je de browser van Google zoveel mogelijk links laten liggen en Firefox gebruiken (zij het dan met meer instellingen, zoals de extensie Privacy Settings bijvoorbeeld en meer onder de motorkap duiken via about:config).
04-02-2022, 18:49 door Anoniem
Door Anoniem:
Door johanw: Wat heeft een website uberhaupt met mijn accustatus te maken?
Oh helemaal niks maar wat ze bedoelen met krachtige features is fingerprint id. Combi van accu levenduur (cycles) schermresolutie, taal instelling en andere gegevens en je hebt een uniek profiel per bezoeker.

Daarom dat je ook als je beetje respect hebt voor je bezoekers dit onmogelijk maakt op site niveau.
Zoiet Iets als permission policy headers:

Header set Permissions-Policy "execution-while-not-rendered=(self), execution-while-out-of-viewport=(self), fullscreen=(self), legacy-image-formats=(self), oversized-images=(self), sync-xhr=(self), geolocation=(), midi=(), notifications=(), push=(), microphone=(), camera=(), magnetometer=(), gyroscope=(), speaker=(), vibrate=(), fullscreen=(self), payment=()"


Die Permissions-Policy is ook een draak: je moet per feature het expliciet uitzetten. In plaats van dat alles gewoon uitstaat en je het expliciet aan moet zetten als je als websiteeigenaar zou willen dat iets werkt. En er is nergens een complete lijst te vinden (complimenten aan anoniem voor deze best volledige lijst).
Het web is echt verkeerd om gebouwd: privacylekken zijn de standaard.
04-02-2022, 19:26 door Anoniem
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.

Misschien kan als je batterij bijna leeg is, Google Chrome je advertenties tonen voor een powerbank. Dat is nuttig, voor Google, want dan kan je langer online advertenties kijken in de toekomst.

Of je bent een belangrijk document aan het bewerken in Google Drive. Google Chrome kan je dan waarschuwen dat je batterij bijna leeg is. Of op een nette manier afsluiten als je batterij echt helemaal leeg is. Zodat er geen dataverlies optreedt.

Er zijn vast nog meer redenen voor Google om dit toegankelijk te maken, via https. Dingen die je niet wist dat je nodig had, maar waar Google al aan gedacht heeft.
04-02-2022, 19:53 door gradje71 - Bijgewerkt: 04-02-2022, 19:55
Door Anoniem:
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.

Misschien kan als je batterij bijna leeg is, Google Chrome je advertenties tonen voor een powerbank. Dat is nuttig, voor Google, want dan kan je langer online advertenties kijken in de toekomst.

Of je bent een belangrijk document aan het bewerken in Google Drive. Google Chrome kan je dan waarschuwen dat je batterij bijna leeg is. Of op een nette manier afsluiten als je batterij echt helemaal leeg is. Zodat er geen dataverlies optreedt.

Er zijn vast nog meer redenen voor Google om dit toegankelijk te maken, via https. Dingen die je niet wist dat je nodig had, maar waar Google al aan gedacht heeft.
En daarom zetten ze nu deze "feature" dus uit?

Nee. Wat vorige anoniem zei klopt volgens mij beter:
Het web is echt verkeerd om gebouwd: privacylekken zijn de standaard.
04-02-2022, 20:50 door Briolet
Door Anoniem: Aan de reacties te zien weet niet iedereen dat er een profiel van je is op te bouwen (door middel van fingerprinting en dus door online tracking) via je accu-status API. …

Hoe wil je dan een profiel opbouwen? De accustatus zal altijd een andere waarde geven die niet specifiek voor een laptop/telefoon is. Het enige wat je kunt doen is onderscheiden tussen wel/geen status beschikbaar. En dan ben je just beter trackbaar als je het uit zet, omdat je dan in de kleinere groep valt.

Zelfs in tor-browser staat dit default aan.
Waarschijnlijk om dezelfde reden die ik net aangeef.
04-02-2022, 21:36 door Anoniem
Door Briolet:
Door Anoniem: Aan de reacties te zien weet niet iedereen dat er een profiel van je is op te bouwen (door middel van fingerprinting en dus door online tracking) via je accu-status API. …

Hoe wil je dan een profiel opbouwen? De accustatus zal altijd een andere waarde geven die niet specifiek voor een laptop/telefoon is. Het enige wat je kunt doen is onderscheiden tussen wel/geen status beschikbaar. En dan ben je just beter trackbaar als je het uit zet, omdat je dan in de kleinere groep valt.

Een laptop of smartphone loopt leeg volgens een curve. Als een bezoeker van een website heel erg afwijkt van die curve, dan heeft deze website met een andere bezoeker van doen. Ik denk dat AI er prima mee overweg kan.

Stel dat een bezoeker van security.nl een acculading van 60% heeft. Een uur later komt er een bezoeker op security.nl die een lading van 70% heeft. Dan is die tweede bezoeker waarschijnlijk niet dezelfde als de eerste. Tenzij die net zijn device is aan het opladen. Maar dat kan je weer zien aan de locatie (thuis en op het werk is er waarschijnlijk een oplader, maar in de trein niet). Normaals, AI kan hier waarschijnlijk goed mee overweg om de juiste advertenties te tonen.
04-02-2022, 22:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door johanw: Wat heeft een website uberhaupt met mijn accustatus te maken?
Oh helemaal niks maar wat ze bedoelen met krachtige features is fingerprint id. Combi van accu levenduur (cycles) schermresolutie, taal instelling en andere gegevens en je hebt een uniek profiel per bezoeker.

Daarom dat je ook als je beetje respect hebt voor je bezoekers dit onmogelijk maakt op site niveau.
Zoiet Iets als permission policy headers:

Header set Permissions-Policy "execution-while-not-rendered=(self), execution-while-out-of-viewport=(self), fullscreen=(self), legacy-image-formats=(self), oversized-images=(self), sync-xhr=(self), geolocation=(), midi=(), notifications=(), push=(), microphone=(), camera=(), magnetometer=(), gyroscope=(), speaker=(), vibrate=(), fullscreen=(self), payment=()"


Die Permissions-Policy is ook een draak: je moet per feature het expliciet uitzetten. In plaats van dat alles gewoon uitstaat en je het expliciet aan moet zetten als je als websiteeigenaar zou willen dat iets werkt. En er is nergens een complete lijst te vinden (complimenten aan anoniem voor deze best volledige lijst).
Het web is echt verkeerd om gebouwd: privacylekken zijn de standaard.
Oh absoluut het is een regelrechte ramp om te implementeren ook omdat veel van de volledige lijst niet in alle browsers ondersteund wordt en je dan dus gezeik krijgt met beveiliging waarschuwingen over je beveiliging maatregelen.

Het kan echter nog erger ik krijg nu al de rillingen van het moment dat COEP COOP CORP CORS COR als standaard ge-eist wordt. Als er een gedrocht is dan is het dat wel zeker als je werkt met klanten die constant wijzigingen willen laten doorvoeren.

Het domste van het verhaal is nog dat we nu al drie herzieningen hebben gehad waarbij het eerst opt-out was toen opt-in en vervangen van disable, off als parameter met ()

Door Briolet:
Hoe wil je dan een profiel opbouwen? De accustatus zal altijd een andere waarde geven die niet specifiek voor een laptop/telefoon is. Het enige wat je kunt doen is onderscheiden tussen wel/geen status beschikbaar. En dan ben je just beter trackbaar als je het uit zet, omdat je dan in de kleinere groep valt.
Hier is de functie uitleg
https://www.w3.org/TR/battery-status/
Hier is een studie omtrent tracking mogelijkheden met de functie
https://eprint.iacr.org/2015/616.pdf

Heel kort uitgelegd elke baterij omdat is infeite uniek, Jouw 10000 mAh accu heeft bijvoorbeeld eigenliijk maar 9476 mAh als maximale capaciteit. Dat is al een identifier. De snelheid dat een accu leegloopt als deze consistent is kun je gebruiken als een identifier. Niet op zichzelf natuurlijk veel waard maar combineer het met andere eigenschappen en ineens heb je een hardware profiel. Er zijn betere fingerprint middelen maar het helpt absoluut.
Met goed genoeg script kun je bijvoorbeeld ook fingerprinten via gyroscoop in apparaten. Er zijn field studies gedaan waar de beweging hoe iemand een telefoon opneemt of weglegt gebruikt kan worden als identifier met hoge accuratie.

Meanwhile denkt de meerderheid nog steeds dat enkel een adblocker iets gaat helpen.
Wel bij deze alvast volgende ding om je zorgen te maken want dat batterij dingentje is niet zo heel bijzonder :)

We noemen het DrawnApart:
https://arxiv.org/pdf/2201.09956.pdf
05-02-2022, 10:05 door Anoniem
Blijkbaar gaan al die fingerprint pogingen via javascript. Met NoScript kan je javascript voor bepaalde domeinen aan of uit zetten. Maar hoe weet je nu wat eeen bepaalde site, die je hebt toegestaan, qua javascript op jouw browser loslaat?
Deze vraag wordt gesteld door iemand die geen idee heeft van hoe websites in elkaar zitten. Daarvoor alvast excuses.
05-02-2022, 10:36 door [Account Verwijderd]
Door Briolet:
Door Anoniem: Aan de reacties te zien weet niet iedereen dat er een profiel van je is op te bouwen (door middel van fingerprinting en dus door online tracking) via je accu-status API. …

Hoe wil je dan een profiel opbouwen? De accustatus zal altijd een andere waarde geven die niet specifiek voor een laptop/telefoon is. Het enige wat je kunt doen is onderscheiden tussen wel/geen status beschikbaar. En dan ben je just beter trackbaar als je het uit zet, omdat je dan in de kleinere groep valt.

Zelfs in tor-browser staat dit default aan.
Waarschijnlijk om dezelfde reden die ik net aangeef.

Elke batterij, zelfs twee van hetzelfde merk en type, hebben afzonderlijk een unieke ontladingscurve. Deze curve kan worden getrackt en daaruit volgt een unieke ID.
05-02-2022, 14:49 door Anoniem
Door Anoniem: Blijkbaar gaan al die fingerprint pogingen via javascript. Met NoScript kan je javascript voor bepaalde domeinen aan of uit zetten. Maar hoe weet je nu wat eeen bepaalde site, die je hebt toegestaan, qua javascript op jouw browser loslaat?
Deze vraag wordt gesteld door iemand die geen idee heeft van hoe websites in elkaar zitten. Daarvoor alvast excuses.
Er bestaan natuurlijk plugins die activatie van javascript en het gebruik kunnen detecteren en blokkeren maar tot mijn eigen verbazing ben ik er nog geen een tegengekomen die ook de exacte code uitvoer live toont. De enige die in de buurt komt lijkt firebug te zijn maar die toont enkel wel bugs aan in code zoals de naam het al zegt dus als een js perfect gaat zie je die ook niet.

Praktisch snap ik dat wel omdat je normaliter daarvoor je console opent en profiling start. In feite dus opname van je netwerk verkeer in combi met event triggers en die lees je dan achteraf per miliseconde uit. Het is vaak simpelweg te groot script om op het scherm te tonen en zelden staat er iets vermeldt als een naam wat het doet.

Maar interresante vraag dus en ik ben benieuwd of iemand anders misschien wel iets al heeft hiervoor ontwikkeld of kent om live uitvoer te volgen op de pagina.

Ook een mooi voorbeeld van hoe het kennis niveau van invloed is op het inzoomen op bepaalde eigenschappen en dat bedoel ik positief want soms naar de basis terug gaan is het beste dat je kan doen maar verdomd moeilijk is als je er al jaren mee werkt.
05-02-2022, 17:22 door Anoniem
Door Anoniem: Zelfs in tor-browser staat dit default aan.
Dat kan geen kwaad mits je het Security Level in Tor Browser op Safest zet. Dan kan fingerprinting via javascript niet lukken.
Gebruik Tor Browser sowieso nooit met javascript aan. Zet bij voorkeur javascript ook uit via about:config, enable.javascript=false.
05-02-2022, 23:12 door Anoniem
Vanaf 1 maart gaat Google de feature uitgeschakelen waarmee via de browser opgevraagd kan worden wanneer je voor het laatst je blote kont voor de webcam hebt laten zien.
06-02-2022, 08:58 door S.A.T.A.N. - Bijgewerkt: 06-02-2022, 08:59
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.

Als je net een ellenlang verhaal in een webformulier hebt ingetikt maar nog niet gesaved en eventjes koffie bent gaan zetten maar toen belde je moeder en liet je per ongeluk jouw koffie vallen, waarvan jouw vrouw jou de schuld gaf, zodat je het meteen zelf moest opruimen, dan zou het fijn zijn als er een noodkopie voor jou wordt gemaakt, voordat de stroom uitvalt. Dat is misschien ooit de redenatie erachter geweest.
06-02-2022, 10:49 door karma4
En de apps gaan vrolijk verder met deze google vendor lockin
06-02-2022, 19:09 door Anoniem
Er is wel een aardige site waar je je eigen browser kan testen hierop. Ik denk dat de meeste hier wel een unieke score gaan halen (helaas). Met andere woorden, cookies zijn echt niet nodig voor de meeste bedrijven. Ze zijn vooral handig om de overheid bezig te houden.
07-02-2022, 09:15 door Anoniem
Door Anoniem: Er is wel een aardige site waar je je eigen browser kan testen hierop. Ik denk dat de meeste hier wel een unieke score gaan halen (helaas). Met andere woorden, cookies zijn echt niet nodig voor de meeste bedrijven. Ze zijn vooral handig om de overheid bezig te houden.
Cookies hebben hun nut maar worden misbruikt voor tracking. Denk niet dat menig regulier site bezoeker vrolijk wordt als hun preferenties wegzijn of hun inlog afgebroken is omdat ze per ongeluk hun tab sluiten.

Maar voor analytics en tracking zijn idd cookies echt wel verleden tijd maar goed dat is al jaren zo echter site massa loopt altijd op oude technieken. Beetje het if it aint broke dont fix it principe.

Wel benieuwd naar welke site je refereert maar goed zal mijn eigen in gedachte hier even neerzetten als voorzetje.
Deviceinfo.me
07-02-2022, 11:35 door Anoniem
Door Anoniem: Wat is hiervan dan het doel? ik kan geen nuttige toepassing hiermee bedenken.

Een random getal tussen 1 en 100, is best handig.... ;-)
07-02-2022, 13:31 door Anoniem
https://www.theguardian.com/technology/2016/nov/01/firefox-disable-battery-status-api-tracking

Firefox heeft dit al een jaar of 5 geleden aangepast. In dit artikel staat ook dat de feature oorspronkelijk ontwikkeld is, zodat sites je een energiebesparende versie kunnen voorschotelen. Toentertijd was daar misschien nog behoefte aan.
07-02-2022, 16:14 door Anoniem
Zag 'm nog niet voorbij komen, dus hierbij maar even - een leuke site om je eigen browser-fingerprint te checken is deze: https://amiunique.org/
Best creepy hoe snel je uniek bent en er dus, ondanks dat je denkt dat je alles blockt, een uniek profiel van je opgebouwd kan worden. De oplossing die ik nu aan het proberen ben is voor elke big-tech company een eigen browser:
- Chrome voor alle Google-related diensten
- Chromium voor Meta / FB / WA / Insta etc.
- Edge voor Microsoft / Github / LinkedIn etc.
- Firefox voor de rest
Of dit werkt.... Het zou moeten helpen volgens Rob Braxman (https://brax.me/ - aanrader!), zolang je er maar heel goed op let dat je nooit met je big-tech accounts in de verkeerde browser inlogt.
07-02-2022, 19:43 door Anoniem
Door Anoniem:
Door Anoniem: Er is wel een aardige site waar je je eigen browser kan testen hierop. Ik denk dat de meeste hier wel een unieke score gaan halen (helaas). Met andere woorden, cookies zijn echt niet nodig voor de meeste bedrijven. Ze zijn vooral handig om de overheid bezig te houden.
Cookies hebben hun nut maar worden misbruikt voor tracking. Denk niet dat menig regulier site bezoeker vrolijk wordt als hun preferenties wegzijn of hun inlog afgebroken is omdat ze per ongeluk hun tab sluiten.

Maar voor analytics en tracking zijn idd cookies echt wel verleden tijd maar goed dat is al jaren zo echter site massa loopt altijd op oude technieken. Beetje het if it aint broke dont fix it principe.

Wel benieuwd naar welke site je refereert maar goed zal mijn eigen in gedachte hier even neerzetten als voorzetje.
Deviceinfo.me

https://amiunique.org/fp kan je hiervoor gebruiken en daar vindt je ook enkele plug-ins om dit te beperken
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.