Chrome แสดงคำเตือน 'การดาวน์โหลดที่น่าสงสัย' เมื่อดาวน์โหลด yt-dlp

 (news.ycombinator.com)
1 คะแนน โดย GN⁺ 27 일 전 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีรายงานกรณีที่เบราว์เซอร์ Chrome บล็อกหรือแสดงข้อความเตือนเมื่อดาวน์โหลดไฟล์ปฏิบัติการของ yt-dlp
  • ข้อความเตือนแสดงเป็น “suspicious download” และผู้ใช้ต้องเพิกเฉยต่อคำเตือนแล้วอนุญาตด้วยตนเองจึงจะดาวน์โหลดไฟล์ได้
  • yt-dlp เป็น เครื่องมือโอเพนซอร์สที่ใช้กันอย่างแพร่หลายและรองรับการดาวน์โหลดวิดีโอจากแพลตฟอร์มต่าง ๆ เช่น YouTube
  • คำเตือนนี้เกิดขึ้นเนื่องจาก ระบบตรวจจับความปลอดภัยของ Chrome จัดประเภทไฟล์ปฏิบัติการดังกล่าวว่าอาจมีความเสี่ยง
  • ผู้ใช้บางส่วนมองว่าเป็น ผลจากการบังคับใช้นโยบายความปลอดภัยของ Chrome ที่เข้มงวดเกินไป และ การกรองความปลอดภัยอัตโนมัติลักษณะนี้อาจส่งผลต่อการเผยแพร่และการเข้าถึงเครื่องมือโอเพนซอร์สที่ถูกกฎหมาย

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
ndrgrd 26 일 전

ผมคิดว่าคำเตือนแบบนี้ควรถูกเปลี่ยนไปใช้ระบบการลงนามโค้ด
เหมือนกับเวลาที่ได้ยินข้ออ้างใด ๆ เราก็ควรตรวจสอบหลักฐานและแหล่งที่มา ผู้ใช้เองก็ควรตั้งต้นด้วยการสงสัยทุกแอปเป็นพื้นฐาน หากไม่ทำแล้วเกิดความเสียหายขึ้น ก็เป็นความรับผิดชอบของตัวเองครับ
 
GN⁺ 27 일 전
ความคิดเห็นจาก Hacker News

  • heuristic ที่ขับเคลื่อนฟีเจอร์นี้และนโยบาย whitelist ของ Windows Defender แย่มาก
    โครงสร้างมันเป็นแบบที่ต้องให้ไบนารีตัวหนึ่งมี ความนิยม ถึงระดับหนึ่งก่อนคำเตือนจะหายไป เลยกลายเป็นปัญหาแบบ ไก่กับไข่อะไรเกิดก่อนกัน เพราะถ้าผู้ใช้ไม่กดข้ามคำเตือน มันก็ไม่มีวันหลุดจากรายการเตือน
    โครงสร้างแบบนี้เสียเปรียบมากสำหรับนักพัฒนาอินดี้หรือโปรเจกต์โอเพนซอร์สขนาดเล็ก

    • ผมมองว่านี่เป็นแค่ ความปลอดภัยจอมปลอม (bullshit security)
      ท้ายที่สุดมันคือกลไกที่เอาไว้ผูกมัดนักพัฒนาให้อยู่กับโครงสร้างพื้นฐานของผู้ให้บริการ OS เท่านั้น Apple ก็ทำแบบเดียวกัน
    • เว็บไซต์ของผมก็เคยโดนบล็อกโดยไฟร์วอลล์ของบริษัท
      กรณีแบบนี้ต้องไปสร้างโปรไฟล์กับบริษัทไซเบอร์ซีเคียวริตี้แล้วรอให้เขาเอาเราเข้า whitelist
    • ผมก็เจออาการคล้ายกันบน Linux เหมือนกัน
    • แต่พอมองจากกรณี เหตุการณ์ npm axios ถูกแฮ็ก ล่าสุด นโยบายแบบนี้ก็ดูเหมือนเป็นมาตรการที่พอเข้าใจได้เหมือนกัน
    • Microsoft เหมือนกำลังชี้นำให้ซื้อ ใบรับรองสำหรับเซ็นโค้ด เพื่อแก้ปัญหานี้
      มีพูดถึงไว้ใน การสนทนาบน Stack Overflow

  • เวลาดาวน์โหลด .exe ตัวล่าสุดจาก GitHub, Firefox ก็เตือนว่า “ไฟล์นี้ไม่ได้ถูกดาวน์โหลดบ่อย”
    การสแกนไวรัสผ่านหมด เลยดูเป็นแค่ false positive จาก heuristic
    ไม่น่าถึงขั้นเป็นข่าวแนว Chrome ใช้อำนาจผูกขาดในทางที่ผิด

    • ไม่แน่ใจว่าหน้าต่างเตือนพวกนี้ได้ผลจริงแค่ไหน
      มันเด้งบ่อยเกินจนตอนนี้ผมไม่อ่านคำเตือนอะไรแล้ว
      โดยเฉพาะ UX ที่เบราว์เซอร์บล็อกการเข้าถึงเมื่อใช้ ใบรับรองแบบ self-signed นี่แย่มาก เหมือนปฏิบัติกับผมราวกับกำลังทำเรื่องอันตราย
    • Firefox ใช้ ฐานข้อมูล Safe Browsing ของ Google ไม่ใช่เหรอ?
    • บน Chrome ก็ขึ้นคำเตือนแบบเดียวกันเวลาโหลดไฟล์ .tar.gz (โดยเฉพาะของ yt-dlp) แต่ไฟล์ .tar.gz อื่นไม่เป็น

  • ไบนารีของ yt-dlp ถูก build ด้วย PyInstaller เลยอาจทำให้แอนติไวรัสตรวจพลาดเป็น false positive ได้

    • Google แสดง ท่าทีเป็นปฏิปักษ์ กับ yt-dlp มาตั้งแต่ก่อนมันถูก fork แล้ว
      ทั้งใน extension store และนโยบาย Android ก็พยายามกันเครื่องมือแบบนี้ออกไป แม้บางช่วงการบังคับใช้จะไม่เข้มมาก
      Google กลัวที่ผู้ใช้จะ ควบคุมคอนเทนต์วิดีโอของตัวเองได้โดยตรง
    • แต่ผมก็ไม่เข้าใจว่าทำไมเบราว์เซอร์ต้องมาสนเรื่องนี้ด้วย

  • แค่เห็นว่าใน Bing ค้นคำว่า “Google” แล้วพาไปหน้าที่เลียนแบบ Google.com ก็พอจะรู้แล้วว่าบริษัทใหญ่ไว้ใจไม่ได้
    เรื่องนี้อาจเป็นแค่ความบังเอิญก็ได้ แต่ผมยังไม่มั่นใจ

    • Google เคยตีตรา ส่วนขยาย Ad Nauseam ว่าเป็นมัลแวร์มาก่อน นั่นเป็นการใช้อำนาจในทางที่ผิดอย่างชัดเจน
      ส่วนกรณีนี้ยังไม่ชัด
    • ทำให้นึกถึงคำว่า “อย่าปล่อยให้วิกฤตดี ๆ ต้องสูญเปล่า”

  • ผมเองก็ลองทำซ้ำอาการเดียวกันได้จาก หน้าโหลด yt-dlp
    มีข้อความขึ้นว่า “บล็อกการดาวน์โหลดที่เป็นอันตราย — yt-dlp_win_x86.zip ไม่ได้ถูกดาวน์โหลดบ่อยและอาจเป็นอันตราย”

    • แต่ก็สงสัยว่าคำอธิบายแบบนี้ มีประโยชน์ แค่ไหน
      ซอฟต์แวร์ใหม่ทุกตัว (รวมถึง Chrome เองด้วย) ตอนแรกก็ล้วนอยู่ในสถานะ “ไม่ได้ถูกดาวน์โหลดบ่อย” ทั้งนั้น

  • เพราะงั้นผมเลยติดตั้ง yt-dlp ผ่าน package manager ของดิสโทร Linux และทำแบบนั้นใน Termux ได้ด้วย

    • แต่ yt-dlp ต้องอัปเดตบ่อย ทำให้เวอร์ชันในดิสโทร ช้าเกินไป
      ผมเลยทำ wrapper สำหรับ Telegram/MQTT/HomeAssistant เพื่อให้แม่ฟังหนังสือเสียงผ่านเซิร์ฟเวอร์ Jellyfin ได้
      เพราะเวอร์ชันของ yt-dlp พังบ่อย ผมเลยทำ สคริปต์อัปเดต virtual environment อัตโนมัติ เพื่อให้ใช้ HEAD ล่าสุดตลอด
      โค้ด wrapper ของผม

  • ตลกดีที่บริษัทใหญ่ขนาดนี้ยังปล่อยผ่านเครื่องมือเล็ก ๆ ตัวเดียวไม่ได้
    ตอนนี้ Google ให้ความรู้สึกเหมือน แกนแห่งความชั่วร้าย ไปแล้ว GCP ก็คิดราคาแพง ส่วนสถิติใน Android Play Store ก็อัปเดตแค่วันละครั้ง
    เป็นบริษัทข้อมูลแท้ ๆ แต่กลับทำได้แค่นี้ก็น่าผิดหวัง

    • แต่ yt-dlp ไม่ใช่แค่เครื่องมือดาวน์โหลดธรรมดา มันเป็น เครื่องมือพื้นฐานที่ใช้สร้างเครื่องมืออื่นต่อได้
      นักข่าวหรือหน่วยงานรัฐก็ใช้เพื่อการวิจัยหรือเก็บหลักฐานด้วย
      ถ้า Google อยากกำจัดมันจริง คงบล็อกแรงกว่านี้ไปนานแล้ว เลยดูเหมือนยังไม่ถึงขั้นตั้งใจจะลบมันออกไปทั้งหมด

  • การที่เบราว์เซอร์ของ Google บอกว่าเครื่องมือสำหรับรับไฟล์จากเซิร์ฟเวอร์ Google “น่าสงสัย” มัน ช่างย้อนแย้ง

    • ถ้าใช้ตรรกะเดียวกัน Chrome เองก็เป็น “เครื่องมือสำหรับรับไฟล์จากเซิร์ฟเวอร์ Google” เหมือนกัน
      พฤติกรรมแบบนี้ไม่ใช่เรื่องน่าแปลกใจ แต่ก็ไม่ใช่เหตุผลที่จะไม่วิจารณ์เรื่อง การชี้นำอย่างไร้จริยธรรมและการใช้อำนาจผูกขาดในทางที่ผิด
      การยกทนายของ RIAA มาเป็นแบบอย่างทางจริยธรรมยิ่งทำให้ข้อโต้แย้งของผมหนักแน่นขึ้น

  • ผมลองทดสอบจาก หน้ารุ่นล่าสุดของ yt-dlp แล้ว คำเตือนขึ้นเฉพาะไฟล์ exe สำหรับ Windows ส่วนเวอร์ชัน macOS กับ Linux ปกติ
    แบบนี้ดูเหมือนเป็น ความผิดพลาดของระบบอัตโนมัติ มากกว่า ไม่ได้น่าจะมีเจตนาต่อต้านการแข่งขัน

  • การขาด การกำกับดูแลด้านการผูกขาด ทำให้เกิดความขัดแย้งทางผลประโยชน์แบบนี้ได้

    • แต่ Firefox ก็ขึ้นคำเตือนคล้ายกัน