Đăng nhập bằng Google trong Google Chrome

Ý kiến trên Hacker News

• Tôi thấy việc mấy popup kiểu này hiện ra ngay cả trên các trang như web khiêu dâm thực sự quá xâm phạm, đặc biệt là popup đăng nhập Google gần như toàn màn hình xuất hiện gần như mỗi lần truy cập khiến tôi rất sốc, vào chế độ ẩn danh thì lại là phiên mới mỗi lần nên còn hiện thường xuyên hơn, tôi không hiểu nổi tại sao ngay cả Reddit cũng chấp nhận để trải nghiệm người dùng bị phá hỏng bởi kiểu popup bên thứ ba này, nếu Facebook, GitHub và các trang khác cũng làm theo thì có khi mỗi lần phải đóng 4 cái banner, chắc nhiều người không dùng tiện ích bảo vệ quyền riêng tư nên Reddit vẫn có thể tiếp tục theo dõi người dùng và lưu trạng thái đã đóng một lần, không biết có ai biết kiểu popup này thực sự có ảnh hưởng đến việc giảm người dùng quay lại hay không

  • Tôi thấy kiểu popup này ở bất kỳ trang nào cũng xâm phạm nghiêm trọng, nó liên tục nhắc tôi rằng các công ty như Google đang thu thập mọi dữ liệu cá nhân tôi cung cấp để dựng hồ sơ cá nhân về gần như mọi mặt trong cuộc sống của tôi

  • Nhờ Google One Tap mà số người đăng ký mới cho ứng dụng web SaaS của tôi tăng gấp 8 chỉ sau một đêm, chức năng tối thiểu của ứng dụng có thể dùng mà không cần tài khoản nhưng đăng ký thì có thêm lợi ích và cũng mở ra kênh liên lạc với người dùng qua email, nên tôi nghĩ nó có thể có lợi cho cả người dùng lẫn công ty

  • Cá nhân tôi khi vào các trang khiêu dâm thì chỉ giữ trạng thái đăng nhập với những trang tương tự như thế, không phải để bênh tính năng đó nhưng mong mọi người ít nhất hãy phê phán nó một cách hợp lý, lý do tôi ghét popup này nhất trên di động là nó bật lên ngay sau khi trang tải xong (0.5~2 giây) đúng dưới ngón tay nên rất dễ bấm nhầm, và thông tin sẽ được chia sẻ ngay lập tức, hoàn toàn không có cách lấy lại, trên desktop tôi cũng ghét nhưng trên di động nó còn che kín nội dung nên lại càng dễ bấm nhầm hơn, tôi nhớ là có thể tắt cái này trong tài khoản Google hoặc Google Workspace, còn nhiều lý do khác nữa, Apple, Firefox, Microsoft, Meta hay các nhà cung cấp danh tính lớn khác cũng có thể đề xuất kiểu này, nhưng nếu vậy thì sẽ thành cảnh 5 popup Sign in with Google, Apple, Facebook, Microsoft, Firefox cùng hiện một lúc, ở khía cạnh này nó giống bi kịch tài sản chung, dù vậy việc đăng ký và đăng nhập nhanh chóng dễ dàng vẫn rất hấp dẫn nên nếu có Web API tập trung vào quyền riêng tư thì tôi thấy cũng không tệ, nhưng popup kiểu đặc trưng của Google thì nên bị loại bỏ hoặc cấm đi

  • Popup trên web khiêu dâm à? Thành thật mà nói, điều đó chỉ cho thấy với những dịch vụ kiểu này thì miễn là nội dung đủ hấp dẫn, người dùng cuối cùng vẫn sẽ tiếp tục ghé thăm dù có popup, quảng cáo, clickjacking và đủ loại yếu tố gây phiền nhiễu khác

  • Vì vậy tôi xem Meta và Google là những tác nhân có vấn đề vì quyền lực quá lớn trên web, và đang nắm giữ cổ phiếu của họ theo hướng trung lập/giữ vị thế

• Trải nghiệm xuất hiện trong Chrome dựa trên một tiêu chuẩn mới tên là Federated Credential Management (FedCM), trong đó trình duyệt làm trung gian để nhà cung cấp danh tính và web app trao đổi thông tin cần thiết đồng thời ngăn việc theo dõi trên internet, tôi đang viết bài về chủ đề này, nếu quan tâm hơn thì có thể xem video hội nghị về xác thực gần đây (https://m.youtube.com/watch?v=FBAD4x7MWdI) (lưu ý là tôi là người trình bày), tiêu chuẩn này vẫn đang được phát triển rất tích cực và Firefox cũng dự kiến áp dụng, Edge đã hỗ trợ rồi, hiện đang chờ phản hồi từ các nhà cung cấp danh tính, thêm thông tin tại đây (https://github.com/w3c-fedid/FedCM), và còn có buổi họp vào mỗi thứ Ba hằng tuần

  • Mozilla chưa chính thức đồng ý, nhưng lập trường tiêu chuẩn chính thức của họ là trung lập (https://mozilla.github.io/standards-positions/#fedcm), trong issue tracker liên quan họ có thể hiện sự quan tâm nhưng cũng ghi rõ nhiều lo ngại (https://github.com/mozilla/standards-positions/issues/618), Apple thì 3 năm trước có nói khá mơ hồ là có quan tâm nhưng chưa có lập trường tiến triển hơn (https://github.com/WebKit/standards-positions/issues/309), nên tôi cũng tò mò không biết sau đó lập trường của họ có thay đổi gì không

  • Nếu đây là một tiêu chuẩn mới thì theo tôi nó phải có được sự ủng hộ rộng rãi trong toàn ngành, nhưng nhìn vào những người tham gia trên GitHub (https://github.com/w3c-fedid/FedCM/graphs/contributors) thì đa số đều thuộc Google

  • Về cơ bản sẽ rất tốt nếu có thể chặn việc chia sẻ địa chỉ email, vì cứ mỗi lần dùng đăng nhập Google là các trang/app lại gửi mail spam cho tôi mà không có sự đồng ý rõ ràng, chuyện này xảy ra quá thường xuyên nên tôi không dùng đăng nhập Google nữa, lý do là spam

  • Nó hơi gợi nhớ đến OpenID (giờ đã biến mất), chỉ khác là lần này được tích hợp native vào trình duyệt

  • Có thông báo kiểu "Để tiếp tục, Google.com sẽ chia sẻ tên, email và ảnh hồ sơ của bạn", nên tôi không hiểu điều đó tương thích thế nào với cái gọi là 'tiêu chuẩn hiện đại bảo vệ quyền riêng tư', nó chẳng hề trông thân thiện với quyền riêng tư chút nào

• Tôi đã bấm nhầm nhiều lần vì popup này, và PII (thông tin nhận dạng cá nhân) của tôi đã bị gửi cho bên thứ ba mà tôi không tin tưởng mà không có sự đồng ý của tôi, tôi nghĩ chuyện này gần như là phạm pháp

  • Nhân tiện, trong uBlock Origin có thể áp dụng bộ lọc dưới đây để xử lý vấn đề:

    ||accounts.google.com/gsi/iframe
    ##iframe[src^="http://accounts.google.com/gsi/iframe";]
    ##iframe[src^="https://accounts.google.com/gsi/iframe";]
    ##iframe[src^="//accounts.google.com/gsi/iframe"]
    ###credential_picker_container
    

    Nguồn: stackoverflow, quy tắc cuối là tôi thêm vào để chặn phần nội dung ngay cả khi popup không hiển thị

  • Cũng không cần lo quá nếu lỡ bấm nhầm, dù sao Google đã theo dõi thông tin truy cập ngay từ lúc trang web tải rồi, Google One Tap hoạt động bằng thẻ script từ máy chủ Google như trong hướng dẫn này

  • Tôi đã chặn popup này bằng uBlock suốt mấy năm nay

  • Tôi ước gì các PM đọc được thread này, tôi nghĩ họ đã đánh giá sai trade-off

  • Nếu xóa tài khoản Google thì vấn đề này sẽ biến mất hoàn toàn

• Có vẻ đang nói đến FedCM API (https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API), ngoài Google thì các bên khác cũng có thể hỗ trợ nhưng hiện chưa có triển khai thực tế, thư viện One Tap của Google dùng api mới này và trên các trình duyệt chưa hỗ trợ thì sẽ fallback về popup cũ, trên Chrome nó hiện "sign in with google.com" còn One Tap thường hiện "sign in with Google", đó là điểm khác biệt, Mozilla cũng đang phát triển nhưng vì hệ thống phức tạp nên có lẽ sẽ mất thời gian, nếu nó trở nên phổ biến thì tôi đoán Safari cũng sẽ thêm vào

  • Tôi có tham dự các buổi họp FedCM, phía Firefox có lập trình viên phụ trách tham gia đều đặn, tôi có thấy vài bài đăng từ đội Safari kiểu "nghe có vẻ là ý tưởng hay, chúng tôi sẽ xem xét" nhưng sau đó không thấy thêm hành động gì, Edge đã hỗ trợ rồi và cũng khá dễ đưa vào các trình duyệt khác thuộc họ Chromium

  • Tôi tò mò không biết giải pháp thay thế là gì, cookie bên thứ ba chắc đã bị chặn/loại bỏ rồi, vậy script gsi lấy thông tin phiên Google bằng cách nào

• Điều thực sự khó hiểu là popup này không phải một phần của cấu trúc DOM mà do trình duyệt tự vẽ chồng lên trên trang, nếu nó nằm ở đâu đó như thanh công cụ của trình duyệt thì tôi đã không bận tâm, nhưng việc che nội dung trang rõ ràng là chuyện đáng bị kiện chống độc quyền, vì popup này mà 6 tháng trước tôi đã rời Chrome sang Brave, dù đã tắt cả ở chrome://settings/content/federatedIdentityApi lẫn thiết lập tài khoản Google của tôi thì cuối cùng nó vẫn tiếp tục hiện

  • Về chuyện nói tới kiện độc quyền, xem các bình luận khác thì thực ra đây là một tiêu chuẩn mở và cấu trúc của nó mở cho không chỉ Google mà cả nhiều nhà cung cấp danh tính khác (giải thích liên quan)

• ||accounts.google.com/gsi/*$xhr,script,3p
  Dùng bộ lọc UBO này là có thể chặn toàn bộ, hoặc bật danh sách "annoyances" để ẩn cả banner cookie và những thứ phiền phức khác, cũng khuyên cài thêm NoScript

  • NoScript thực ra khá trùng lặp nếu đã dùng uBlock Origin, xem so sánh chi tiết ở đây

• Trái với số đông, có người như tôi lại thích cái này, vì quy trình đăng ký tài khoản thường quá phiền phức và làm kém, nên tôi thích trải nghiệm được bỏ qua nó

• Nhiều người không biết rằng khi dùng Safari hay Firefox thì banner này không hiện, có lẽ vì thế nên nhiều trang web nghĩ mọi thứ vẫn ổn, tòa án hay cơ quan quản lý chống độc quyền nên theo dõi những trường hợp như thế này, đây là ví dụ điển hình cho việc Google không chỉ tạo lợi thế cho trình duyệt của mình thông qua Chrome mà còn cho chính họ trên nền tảng SSO/thu thập dữ liệu

• Tôi tưởng việc hiển thị overlay đè lên vùng nội dung của website là điều cấm kỵ, vì ai cũng có thể dùng HTML/CSS để dựng hộp thoại giả trông rất thật rồi lạm dụng nó

• Tôi rất ghét prompt ‘Sign in with Google’, tôi lo mình có thể bấm nhầm hoặc theo phản xạ mà chia sẻ địa chỉ email và danh tính của mình cho một website ngẫu nhiên mà tôi không tin tưởng, ý tưởng trình duyệt quản lý danh tính nghe khá ổn, nhưng cách triển khai hiện tại khi gắn cả việc chia sẻ email và thông tin khác vào đó lại làm tăng nguy cơ người dùng thao tác nhầm, nên không thực sự thân thiện với người dùng