Chrome z wbudowanym dławikiem koparek? To może zadławić wszystko
Moda na finansowaniedziałania serwisów internetowych poprzez uruchamianie na nichkoparek kryptowalut może skończyć się równie szybko, jak sięzaczęła. Inżynierowie Google rozważają wbudowanie w przeglądarkęChrome mechanizmu służącego dławieniu zadań, które zbytagresywnie wykorzystują zasoby komputera.
20.10.2017 11:36
W trackerze błędów projektu Chromium pojawiło się zgłoszeniedotyczące zachowania przeglądarki w momencie otworzenia strony znielimitowaną koparką Coin Hive, tj. taką, której pozwolonowykorzystać całą dostępną moc obliczeniową. Gwałtowny wzrostobciążenia procesora (do 100%) przekłada się na zamrożenieinterfejsu użytkownika – Chrome przestaje odpowiadać. Na pewnonie jest to w żadnym wypadku oczekiwany przebieg wydarzeń. Zwykliużytkownicy, nie mający pojęcia o JavaScripcie, kryptowalutach iblokowaniu zasobów po prostu myślą, że komputer im się zawiesił,a to jednak nie tak powinno wyglądać.
Rosnąca popularność tego, co zyskało nazwę „cryptojacking”– wstrzykiwania skryptów koparek w kod stron internetowych –sprawiła, że deweloperzy, początkowo nieprzekonani co dokonieczności zmian w platformie webowej, wreszcie zdecydowali siędziałać. Ojan Vafai zaproponował wprowadzenie dodatkowegopozwolenia o raczej nietypowych warunkach aktywacji.
Jeśli okazałoby się, że procesy skryptów uruchomionych naaktywnej stronie zużywają więcej, niż zdefiniowaną ilość mocyobliczeniowej w ciągu dłuższego niż zdefiniowany czasu, wówczasstrona zostawałaby przełączona w tryb „oszczędzania baterii”– gdzie procesy zostają agresywnie zdławione, a użytkownikotrzymuje powiadomienie, pozwalające mu wyjść z trybuoszczędzania. W wypadku, gdyby strona w trybie oszczędzania bateriiznajdowała się w tle, wówczas wszystkie jej procesy zostałybyzatrzymane.
Pozostaje kwestia zdefiniowania tych wartości, Vafai proponujejednak wyjść od hojnych 100% i 60 sekund. Pozwoliłoby towyeliminować tylko strony robiące złe rzeczy, tj. uruchamiająceagresywnie sprofilowane koparki.
Jak odróżnić koparkę od niekoparki?
Niestety jednak to bardzo optymistyczne założenie. Istnieje dziśspora klasa aplikacji webowych, które powinny wręcz maksymalnieobciążać procesor. Technologia Web Workers, pozwalająca wydzielićzadania poza główny wątek, jest dziś powszechnie wykorzystywana wgrach przeglądarkowych, grafikę liczy się jednym workerem,symulację fizyki innym, kolejny składa kolejkę poleceń dla GPUprzez WebGL. Do tego dochodzą narzędzia do konwersji, obliczenianaukowe, pakiety biurowe przetwarzające skomplikowane dokumenty –to wszystko mocno ucierpi wskutek wbudowania w przeglądarkę takiegoautomatycznego dławienia.
Wyskakujące powiadomienia o zdławieniu też nie są tutaj dobrymrozwiązaniem – użytkownicy albo ich nie widzą (co doprowadzi ichdo przekonania, że mają powolne komputery), albo klikają jakpopadnie (co sprawi, że cała blokada koparek nie ma sensu).
Gdy twórcy przeglądarek zastanawiają się, co zrobić, podrugiej strony barykady widać postęp. Niedawno pojawił siękolejny, ulepszony skrypt do wyliczania kryptowaluty Monero,Crypto-loot. Twórcy reklamujągo jako rozwiązanie niezauważalne, odporne na ataki DDoS,przebijające się przez zapory sieciowe, dobrze udokumentowane idziałające na wszystkich urządzeniach.
To nie jedyna zresztą droga rozpowszechniania koparek. Ostatniocoraz popularniejsze robi się rozpowszechnianie reklamowanych naYouTube cracków i trainerów do gier, które oprócz obiecywanejfunkcji zawierają wbudowaną koparkę kryptowaluty – i to wnajlepszym wypadku. Często to jedynie trojan, który po prostuinstaluje taką koparkę w systemie. A że komputery graczy sąznacznie lepszymi celami, niż jakieś zwykłe laptopy zwykłychużytkowników, to zakładamy, że i popularność tej metodytworzenia górniczych botnetów będzie tylko rosła.