Chrome, yt-dlp indirilirken 'şüpheli indirme' uyarısı gösteriyor

 (news.ycombinator.com)
1 puan yazan GN⁺ 27 일 전 | 2 yorum | WhatsApp'ta paylaş
  • Chrome tarayıcısının yt-dlp çalıştırılabilir dosyası indirilirken engelleme veya uyarı mesajı gösterdiğine dair vakalar bildirildi
  • Uyarı metni “suspicious download” olarak görünüyor ve kullanıcıların dosyayı alabilmesi için uyarıyı yok sayıp manuel olarak izin vermesi gerekiyor
  • yt-dlp, YouTube başta olmak üzere çeşitli platformlardan video indirmeyi destekleyen açık kaynaklı bir araç olarak yaygın biçimde kullanılıyor
  • Uyarı, Chrome'un güvenlik tespit sisteminin çalıştırılabilir dosyayı potansiyel risk olarak sınıflandırması nedeniyle ortaya çıkıyor
  • Bazı kullanıcılar bunun Chrome'un güvenlik politikasının aşırı katı uygulanmasının bir sonucu olduğunu düşünüyor; bu tür otomatik güvenlik filtrelemesinin meşru açık kaynak araçların dağıtımı ve erişilebilirliği üzerinde etkisi olabileceği belirtiliyor

İlgili okumalar

2 yorum

 
ndrgrd 26 일 전

Bence bu tür uyarıların kod imzalama sistemine dönüşmesi gerekiyor.
Bir iddia duyduğumuzda dayanaklarını ve kaynaklarını sorgulamamız gerektiği gibi, kullanıcılar da varsayılan olarak tüm uygulamalardan şüphe duymalı. Bunu yapmadıkları için doğan zararın sorumluluğu da kendilerine aittir.
 
GN⁺ 27 일 전
Hacker News yorumları

  • Bu özelliği çalıştıran heuristic ve Windows Defender'ın whitelist politikası berbat.
    Yapı, belirli bir binary ancak belli ölçüde popülerlik kazandığında uyarının kalkmasına dayanıyor; bu da kullanıcılar uyarıyı görmezden gelmezse asla çözülemeyen bir tavuk mu yumurtadan çıkar, yumurta mı tavuktan problemi yaratıyor.
    Bu tür bir yapı özellikle bağımsız geliştiriciler ve küçük açık kaynak projeleri için dezavantajlı.

    • Bence bu düpedüz sahte güvenlik (bullshit security).
      Sonuçta geliştiricileri OS sağlayıcısının altyapısına bağlamaya yarayan bir mekanizma. Apple da aynı şeyi yapıyor.
    • Benim web sitem de bir zamanlar şirket güvenlik duvarı tarafından engellenmişti.
      Böyle durumlarda siber güvenlik şirketlerinde profil oluşturup whitelist'e alınmayı beklemek gerekiyor.
    • Ben de Linux'ta benzer bir durum yaşıyorum.
    • Son npm axios hack olayı düşünülünce, bu tür politikalar kulağa aslında akıllıca da gelebiliyor.
    • Microsoft, bu sorunu çözmek için seni bir kod imzalama sertifikası satın almaya yönlendiriyor.
      İlgili içerik Stack Overflow tartışmasında var.

  • GitHub'dan en güncel .exe dosyasını indirirken Firefox, “bu dosya yaygın olarak indirilmiyor” diye uyarıyor.
    Virüs taramaları temiz, yani bu basit bir heuristic false positive gibi görünüyor.
    Bunu Chrome'un tekel gücünü kötüye kullanması türünden bir haber olarak görmek doğru değil.

    • Bu uyarı pencerelerinin gerçekten işe yarayıp yaramadığını bilmiyorum.
      O kadar sık çıkıyorlar ki artık hiçbir uyarıyı okumuyorum.
      Özellikle self-signed certificate kullanırken tarayıcının erişimi engelleyen UX'i berbat. Sanki tehlikeli bir şey yapan biriymişim gibi davranıyor.
    • Firefox, Google'ın Safe Browsing veritabanını kullanmıyor mu?
    • Chrome'da .tar.gz dosyası alırken de (özellikle yt-dlp için) aynı uyarı çıkıyor. Diğer .tar.gz dosyalarında çıkmıyor.

  • yt-dlp binary'leri PyInstaller ile build edildiği için antivirüslerde false positive oluşabiliyor.

    • Google, yt-dlp fork edilmeden önce bile zaten düşmanca bir tavır sergiliyordu.
      Uzantı mağazası ve Android politikalarında da bu tür araçları dışlamaya çalışıyor, gerçi denetim bazen gevşek olabiliyor.
      Google, kullanıcıların kendi video içerikleri üzerinde doğrudan kontrol sahibi olmasından korkuyor.
    • Ama tarayıcının neden böyle bir şeyle ilgilenmesi gerektiğini anlamıyorum.

  • Bing'de “Google” aratınca Google.com'u taklit eden bir sayfaya yönlendirmesinden de görüldüğü gibi, büyük şirketlere güven olmuyor.
    Bu olay sadece bir tesadüf de olabilir ama emin değilim.

    • Google bir zamanlar Ad Nauseam uzantısını zararlı yazılım olarak işaretlemişti. Bu, açık bir güç suistimaliydi.
      Bu olay ise henüz net değil.
    • “İyi bir krizi asla boşa harcama” sözü aklıma geliyor.

  • Ben de yt-dlp indirme sayfasında aynı durumu yeniden ürettim.
    “Tehlikeli indirme engellendi — yt-dlp_win_x86.zip yaygın olarak indirilmiyor ve riskli olabilir” mesajı çıkıyor.

    • Ama bu açıklamanın ne kadar yararlı olduğu tartışılır.
      Her yeni yazılımın (hatta Chrome'un kendisinin bile) başlangıçta “yaygın olarak indirilmeyen” durumda olması kaçınılmaz.

  • Bu yüzden ben yt-dlp'yi Linux dağıtımının paket yöneticisi ile kuruyorum. Termux'ta da mümkün.

    • Ama yt-dlp'nin sık güncellenmesi gerekiyor, bu yüzden dağıtım sürümü fazla yavaş kalıyor.
      Annemin Jellyfin sunucusunda sesli kitap dinleyebilmesi için Telegram/MQTT/HomeAssistant wrapper'ı yaptım.
      yt-dlp sürümü sık sık bozulduğu için, her zaman en güncel HEAD'i kullanmak adına sanal ortam otomatik güncelleme script'i hazırladım.
      Benim wrapper kodum

  • Bu kadar büyük bir şirketin böyle küçük bir aracı bile rahat bırakmaması komik.
    Google artık bana şer ekseni gibi geliyor. GCP pahalı, Android Play Store istatistikleri de günde sadece bir kez güncelleniyor.
    Bir veri şirketi için bu seviye gerçekten hayal kırıklığı yaratıyor.

    • Ama yt-dlp yalnızca basit bir indirme aracı değil, başka araçlar inşa etmek için temel oluşturan bir araç.
      Gazeteciler ve devlet kurumları da bunu araştırma ya da delil toplama amacıyla kullanıyor.
      Google gerçekten kaldırmak isteseydi şimdiye kadar çok daha sert engeller koyardı. Tamamen yok etmeye çalışma niyeti varmış gibi görünmüyor.

  • Google'ın tarayıcısının, Google sunucularından dosya alan bir aracı “şüpheli” sayması ironik.

    • Aynı mantıkla Chrome da “Google sunucularından dosya alan bir araç”.
      Bu tür davranışlar şaşırtıcı değil ama bu, etik dışı yanıltma ve tekel gücünü kötüye kullanmayı eleştirmemek için bir gerekçe de değil.
      RIAA avukatlarını etik örnek diye göstermek, aslında benim argümanımı daha da güçlendiriyor.

  • yt-dlp son sürüm sayfasında test ettim; uyarı yalnızca Windows exe için çıkıyor, macOS ve Linux sürümleri normal.
    Bu da bunun otomatik bir sistem hatası gibi göründüğünü, rekabet karşıtı kasıt olmadığına işaret ettiğini düşündürüyor.

  • Antitröst düzenlemelerinin yokluğu bu tür çıkar çatışmalarını mümkün kılıyor.

    • Ama Firefox da benzer uyarılar gösteriyor.