Chrome exibe alerta de 'download suspeito' ao baixar yt-dlp

 (news.ycombinator.com)
1 pontos por GN⁺ 27 일 전 | 2 comentários | Compartilhar no WhatsApp
  • Houve relatos de casos em que o navegador Chrome bloqueia ou exibe uma mensagem de aviso ao baixar o executável do yt-dlp
  • O texto do aviso aparece como “suspicious download”, e o usuário só consegue receber o arquivo se ignorar o alerta e permitir manualmente
  • O yt-dlp é uma ferramenta open source amplamente usada que oferece suporte ao download de vídeos de várias plataformas, incluindo o YouTube
  • O alerta ocorre quando o sistema de detecção de segurança do Chrome classifica o executável como um risco potencial
  • Alguns usuários consideram que isso é resultado de uma aplicação excessivamente rigorosa das políticas de segurança do Chrome, e que esse filtro de segurança automático pode afetar a distribuição e a acessibilidade de ferramentas open source legítimas

Leituras relacionadas

2 comentários

 
ndrgrd 26 일 전

Acho que esse tipo de aviso deveria ser substituído por um sistema de assinatura de código.
Assim como, ao ouvir uma alegação, é preciso verificar as evidências e as fontes, os usuários deveriam desconfiar de todos os apps por padrão. Se não fizerem isso e sofrerem prejuízos, a responsabilidade é deles.
 
GN⁺ 27 일 전
Comentários do Hacker News

  • As heurísticas que acionam esse recurso e a política de lista de permissões do Windows Defender são péssimas
    A estrutura é tal que um binário específico precisa atingir certo nível de popularidade para que o aviso desapareça, criando um problema de ovo ou galinha em que, se os usuários não ignorarem o alerta, ele nunca será removido
    Esse tipo de estrutura prejudica especialmente desenvolvedores independentes e pequenos projetos open source

    • Acho que isso é simplesmente falsa segurança (bullshit security)
      No fim, é um mecanismo para prender desenvolvedores à infraestrutura dos fornecedores de SO. A Apple faz a mesma coisa
    • Meu site também já foi bloqueado por um firewall corporativo
      Nesses casos, você precisa criar perfis nas empresas de cibersegurança e esperar que coloquem o site na lista de permissões
    • Também estou passando por algo parecido no Linux
    • Vendo o recente incidente de hack do npm axios, esse tipo de política às vezes até parece uma medida sensata
    • A Microsoft acaba induzindo você a comprar um certificado de assinatura para resolver isso
      Há uma discussão no Stack Overflow sobre o assunto

  • Ao baixar o .exe mais recente no GitHub, o Firefox mostra o aviso “este arquivo não é baixado com frequência”
    Todas as verificações antivírus estão normais, então parece ser apenas um falso positivo heurístico
    Não é algo para tratar como notícia sobre abuso de monopólio do Chrome

    • Não sei se essas janelas de aviso realmente funcionam
      Elas aparecem com tanta frequência que agora já não leio aviso nenhum
      Principalmente quando se usa certificado autoassinado, a UX de o navegador bloquear o acesso é péssima. É como se tratassem você como alguém fazendo algo perigoso
    • O Firefox não usa o banco de dados Safe Browsing do Google?
    • No Chrome, o mesmo aviso também aparece ao baixar arquivos .tar.gz (especialmente os do yt-dlp). Em outros .tar.gz, não aparece

  • O binário do yt-dlp é compilado com PyInstaller, então pode gerar falsos positivos em antivírus

    • O Google já vinha mostrando uma postura hostil em relação ao yt-dlp desde antes do fork
      Eles tentam excluir ferramentas assim da loja de extensões e das políticas do Android, embora às vezes a fiscalização seja frouxa
      O Google teme que usuários tenham controle direto sobre seu próprio conteúdo de vídeo
    • Mas não vejo por que um navegador deveria se preocupar com isso

  • Vendo que, ao pesquisar “Google” no Bing, às vezes você cai numa página imitando o Google.com, fica difícil confiar em grandes empresas
    Desta vez pode até ser só coincidência, mas não tenho certeza

    • O Google já marcou a extensão Ad Nauseam como malware no passado. Aquilo foi um abuso de poder claro
      Neste caso ainda não está claro
    • Isso me faz lembrar da frase “nunca desperdice uma boa crise”

  • Também consegui reproduzir isso na página de download do yt-dlp
    Aparece a mensagem: “Download perigoso bloqueado — yt-dlp_win_x86.zip não é baixado com frequência e pode ser perigoso”

    • Mas é questionável o quão útil essa explicação realmente é
      Todo software novo (até o próprio Chrome) começa como algo “não baixado com frequência”

  • Por isso eu instalo o yt-dlp pelo gerenciador de pacotes da distribuição Linux. No Termux também dá

    • Mas o yt-dlp precisa ser atualizado com frequência, então a versão da distro é lenta demais
      Eu criei um wrapper de Telegram/MQTT/HomeAssistant para que minha mãe possa ouvir audiolivros em um servidor Jellyfin
      Como a versão do yt-dlp quebra com frequência, deixei pronto um script de atualização automática do ambiente virtual para sempre usar o HEAD mais recente
      Código do meu wrapper

  • É engraçado que uma empresa desse tamanho não consiga simplesmente deixar em paz uma ferramenta tão pequena
    O Google agora parece o império do mal. O GCP é caro, e as estatísticas da Android Play Store só são atualizadas uma vez por dia
    Para uma empresa de dados, isso é decepcionante

    • Mas o yt-dlp não é só uma ferramenta de download, e sim uma ferramenta-base para criar outras ferramentas
      Jornalistas e órgãos governamentais também a usam para pesquisa ou coleta de evidências
      Se o Google realmente quisesse removê-la, já teria bloqueado de forma muito mais agressiva. Parece que a intenção não é eliminá-la por completo

  • É irônico que o navegador do Google diga que uma ferramenta para baixar arquivos de servidores do Google é “suspeita”

    • Pela mesma lógica, o Chrome também é uma “ferramenta para baixar arquivos de servidores do Google”
      Esse tipo de conduta não surpreende, mas isso não é motivo para deixar de criticar a desinformação antiética e o abuso de monopólio
      Citar advogados da RIAA como exemplo de ética só reforça ainda mais meu argumento

  • Testei na página da release mais recente do yt-dlp, e o aviso só aparece no exe para Windows; as versões de macOS e Linux estão normais
    Isso faz parecer que foi um erro de um sistema automatizado, não uma intenção anticompetitiva

  • A ausência de regulação antitruste permite esse tipo de conflito de interesses

    • Mas o Firefox também mostra avisos parecidos