Google Chrome'da Google ile oturum açma

Hacker News görüşleri

• Porno siteleri gibi yerlerde de bu tür açılır pencerelerin görünmesi açıkçası aşırı müdahaleci hissettiriyor; özellikle neredeyse tam ekran kaplayan Google oturum açma penceresinin her ziyarette çıkması gerçekten şaşırtıcıydı. Gizli modda her seferinde yeni oturum olduğu için daha da sık görünüyor. Reddit'te bile bu tür üçüncü taraf açılır pencerelerin kullanıcı deneyimini bozmasını anlamıyorum. Eğer Facebook, GitHub gibi diğer siteler de bunu yaparsa bir anda 4 banner kapatmak zorunda kalırız. Sanırım çoğu kişi gizlilik eklentileri kullanmadığı için Reddit kullanıcı takibini ve tek seferlik kapatma bilgisini kaydetmeyi sürdürebiliyor. Bunun gerçekten geri gelen kullanıcı sayısını düşürüp düşürmediğini bilen var mı merak ediyorum.

  • Bu tür açılır pencereler hangi sitede olursa olsun ciddi biçimde müdahaleci geliyor. Google gibi bir şirketin benim verdiğim tüm kişisel verileri toplayıp hayatımın neredeyse her yönü hakkında kişisel bir profil oluşturduğunu sürekli hatırlatıyor.

  • Google One Tap sayesinde SaaS web uygulamamın yeni kayıtları bir gecede 8 kat arttı. Uygulamanın asgari işlevleri hesapsız kullanılabiliyor ama kayıt olunca avantaj kazanılıyor ve e-posta üzerinden kullanıcıyla iletişim kurma yolu da açılıyor. O yüzden hem kullanıcı hem şirket için faydalı olabileceğini düşünüyorum.

  • Ben şahsen porno sitelerine girerken yalnızca benzer sitelerde oturumumu açık tutuyorum. Bu özelliği savunmuyorum ama en azından sağduyulu ve eleştirel yaklaşılmasını isterim. Mobilde bu açılır pencereden en çok nefret etme sebebim, site yüklendikten hemen sonra (0,5~2 saniye) doğrudan parmağımın altında belirmesi; yanlışlıkla dokunuyorum ve bilgi hemen paylaşıldığı için geri almanın hiçbir yolu olmuyor. Masaüstünde de sevmiyorum ama mobilde içeriği tamamen kapattığı için yanlışlıkla dokunmak daha da kolay. Bunun Google hesabında ya da Google Workspace'te kapatılabildiğini hatırlıyorum. Başka sebepler de var. Apple, Firefox, Microsoft, Meta gibi büyük kimlik sağlayıcıları da bunu önerebilir ama o zaman aynı anda Sign in with Google, Apple, Facebook, Microsoft, Firefox gibi 5 açılır pencere çıkması söz konusu olur. Bu açıdan ortak alanların trajedisi gibi duruyor. Yine de hızlı ve kolay kayıt, giriş çekici; gizliliğe odaklanan bir Web API'si olsaydı kötü olmazdı. Ama Google'ın kendine özgü açılır penceresinin kaldırılmasını ya da yasaklanmasını isterdim.

  • Porno siteleri gibi yerlerdeki açılır pencereler mi? Açıkçası bu, açılır pencereler, reklamlar, clickjacking ve her türlü engel olsa bile içerik yeterince çekiciyse kullanıcıların yine de gelmeye devam edeceğini gösteriyor.

  • Bu yüzden Meta ve Google'ın web üzerinde aşırı güçlü, sorunlu oyuncular olduğunu düşünüyorum ve hisselerde nötr/elde tut pozisyonundayım.

• Chrome'da görünen deneyim, Federated Credential Management (FedCM) adlı yeni bir standarda dayanıyor. Tarayıcı aracı oluyor; kimlik sağlayıcısı ile web uygulaması gerekli bilgileri paylaşırken internette takibi önlemeye çalışıyor. Bu konuda yazı yazıyorum; daha fazla ilgileniyorsanız yakın tarihli kimlik doğrulama konferansı videosuna bakın (https://m.youtube.com/watch?v=FBAD4x7MWdI) (bu arada sunumu ben yaptım). Standart aktif olarak geliştiriliyor, Firefox da eklemeyi planlıyor, Edge zaten destekliyor. Kimlik sağlayıcılarından geri bildirim bekleniyor. Daha fazla bilgi: https://github.com/w3c-fedid/FedCM. Her salı toplantı da yapılıyor.

  • Mozilla resmen onay vermiş değil, ama resmi standart pozisyonu nötr (https://mozilla.github.io/standards-positions/#fedcm). İlgili issue tracker'da ilgi gösteriyorlar ama çeşitli kaygılar da yazılı (https://github.com/mozilla/standards-positions/issues/618). Apple 3 yıl önce belirsiz biçimde ilgilendiğini söylemişti ama daha ileri bir pozisyon yok (https://github.com/WebKit/standards-positions/issues/309). O zamandan beri tutum değişti mi merak ediyorum.

  • Bu yeni bir standartsa sektör genelinde destek görmesi gerekir diye düşünüyorum. Ama GitHub katılımcılarına bakınca (https://github.com/w3c-fedid/FedCM/graphs/contributors) çoğunun Google çalışanı olduğu görülüyor.

  • Temelde e-posta adresi paylaşımını engelleyebilmek iyi olurdu. Google ile giriş yaptığımda, iznim olmadan site/uygulamanın spam posta göndermesi çok sık yaşanıyor. Bu yüzden ben Google ile girişi hiç kullanmıyorum; sebebi spam.

  • Biraz OpenID'yi (artık yok) hatırlatıyor, ama bu kez farkı tarayıcıya yerel olarak entegre edilmiş olması.

  • "Devam etmek için Google.com adınızı, e-postanızı ve profil fotoğrafınızı paylaşacak" diye bir mesaj var. Bunun "gizliliği koruyan modern standart" ile nasıl bağdaşabildiğini merak ediyorum. Hiç gizlilik dostu görünmüyor.

• Bu açılır pencere yüzünden birkaç kez yanlışlıkla tıkladım ve güvenmediğim üçüncü taraflara benim rızam olmadan PII'min (kişisel olarak tanımlanabilir bilgiler) gönderilmesine neden oldu. Bence bu neredeyse suç sayılacak bir şey.

  • Bu arada, uBlock Origin'de aşağıdaki filtreleri uygularsanız sorun çözülüyor:

    ||accounts.google.com/gsi/iframe
    ##iframe[src^="http://accounts.google.com/gsi/iframe";]
    ##iframe[src^="https://accounts.google.com/gsi/iframe";]
    ##iframe[src^="//accounts.google.com/gsi/iframe"]
    ###credential_picker_container
    

    Kaynak: stackoverflow. Son kuralı, açılır pencere görünmese bile içeriği engellemek için ben ekledim.

  • Yanlışlıkla tıklama konusunda çok endişelenmeye gerek yok; Google zaten web sayfası yüklenirken ziyaret bilgisini takip ediyor. Google One Tap, buradaki rehberde açıklandığı gibi Google sunucularından gelen bir script etiketiyle çalışıyor.

  • Bu açılır pencereyi yıllardır uBlock ile engelliyorum.

  • Keşke PM'ler bu başlığı okusa; ödünleşim değerlendirmesini yanlış yaptıklarını düşünüyorum.

  • Google hesabını silerseniz bu sorun hiç yaşanmaz.

• Sanırım bu FedCM API'siyle ilgili (https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API). Google dışında başka şirketler de destekleyebilir ama henüz fiilî bir uygulama yok. Google's One Tap library yeni API'yi kullanıyor, desteklenmeyen tarayıcılarda ise eski açılır pencereye geri düşüyor. Chrome'da "sign in with google.com" görünüyor, normal One Tap'te ise genelde "sign in with Google" çıkıyor; aradaki fark bu. Mozilla da geliştirme üzerinde çalışıyor ama sistem karmaşık olduğu için zaman alacak gibi. Yaygınlaşırsa Safari'nin de ekleyeceğini tahmin ediyorum.

  • Ben FedCM toplantılarına katılıyorum. Firefox tarafındaki geliştirici düzenli olarak geliyor. Safari ekibinden "fena fikir değil, inceleyeceğiz" diyen birkaç paylaşım gördüm ama sonrasında somut bir adım göremedim. Edge zaten destekliyor ve diğer Chromium tabanlı tarayıcılara eklemek de nispeten kolay.

  • Alternatif çözümün ne olduğunu merak ediyorum. Üçüncü taraf çerezler zaten engellenmiş ya da kaldırılıyor olmalı; peki gsi script'i Google oturum bilgisini nasıl alıyor?

• Beni gerçekten şaşırtan şey, bu açılır pencerenin DOM yapısının bir parçası olmaması ve tarayıcının bunu sayfanın üstüne doğrudan çizmesi. Tarayıcı araç çubuğu gibi bir yerde olsaydı umursamazdım ama sayfa içeriğini kapatması açıkça antitröst davası konusu olmalı. Bu açılır pencere yüzünden 6 ay önce Chrome'u bırakıp Brave'e geçtim. chrome://settings/content/federatedIdentityApi üzerinden ve Google hesap ayarlarımdan kapatsam bile yine de çıkmaya devam ediyor.

  • Antitröst davası denmesine karşılık, diğer yorumlarda belirtildiği gibi bu aslında açık bir standart ve yalnızca Google'a değil, farklı kimlik sağlayıcılarına da açık bir yapı (ilgili açıklama).

• ||accounts.google.com/gsi/*$xhr,script,3p
  Bu UBO filtresiyle hepsini engelleyebilirsiniz. Ya da "annoyances" listesini etkinleştirirseniz çerez banner'ları gibi can sıkıcı şeyleri de gizler. NoScript de ayrıca önerilir.

  • NoScript, uBlock Origin kullanıyorsanız aslında büyük ölçüde gereksiz. Ayrıntılı karşılaştırma için buraya bakabilirsiniz.

• Çoğunluktan farklı olarak benim gibi bunu sevenler de var. Kayıt süreçleri çoğu zaman çok can sıkıcı ve kötü tasarlanmış oluyor; bunu atlayabilme deneyimi hoşuma gitti.

• Safari ya da Firefox kullandığınızda bu banner'ın çıkmadığını çoğu kişi bilmiyor. Bu yüzden birçok site bunun sorun olmadığını düşünüyor olabilir. Mahkemeler ya da antitröst düzenleyicileri bu örnekleri izlemeli. Google'ın Chrome üzerinden sadece kendi tarayıcısını değil, SSO/veri toplama platformlarını da kendisi lehine kaydırmasının tipik bir örneği bu.

• Bildiğim kadarıyla web sitesi içerik alanının üstüne overlay koymak tabu sayılıyordu; çünkü herkes HTML/CSS ile inandırıcı sahte diyaloglar oluşturup bunu kötüye kullanabilir.

• ‘Sign in with Google’ isteminden gerçekten nefret ediyorum. Yanlışlıkla ya da düşünmeden tıklayıp e-posta adresimi ve kimliğimi güvenmediğim rastgele bir web sitesiyle paylaşmaktan endişe ediyorum. Kimlik yönetimini tarayıcının yapması fikri aslında oldukça iyi, ama e-posta paylaşımı gibi başka bilgileri de işin içine katan mevcut uygulama kullanıcı hatasını teşvik ediyor ve gerçekten kullanıcı dostu değil.