Chrome hiển thị cảnh báo 'tải xuống đáng ngờ' khi tải yt-dlp

Tôi nghĩ những cảnh báo kiểu này nên được thay bằng một hệ thống ký mã.
Giống như khi nghe một tuyên bố nào đó thì phải xem xét căn cứ và nguồn gốc của nó, người dùng về cơ bản cũng nên mặc định nghi ngờ mọi ứng dụng. Nếu không làm vậy mà xảy ra thiệt hại thì đó là trách nhiệm của chính họ.

Ý kiến trên Hacker News

• Heuristic vận hành tính năng này và chính sách whitelist của Windows Defender đều rất tệ
  Cơ chế này đòi hỏi một binary phải đạt được mức độ phổ biến nhất định thì cảnh báo mới biến mất, nên nếu người dùng không phớt lờ cảnh báo thì sẽ không bao giờ được gỡ, tạo ra đúng kiểu bài toán con gà có trước hay quả trứng có trước
  Cấu trúc như vậy đặc biệt bất lợi cho các nhà phát triển indie hoặc những dự án mã nguồn mở nhỏ

  • Tôi nghĩ đây đơn giản là bảo mật rởm (bullshit security)
    Rốt cuộc nó chỉ là một cơ chế để trói các nhà phát triển vào hạ tầng của nhà cung cấp OS. Apple cũng làm y hệt như vậy
  • Website của tôi cũng từng bị chặn bởi tường lửa công ty
    Trong những trường hợp như vậy, bạn phải tạo hồ sơ với các công ty an ninh mạng rồi chờ họ đưa mình vào whitelist
  • Tôi cũng đang gặp hiện tượng tương tự trên Linux
  • Nhìn vào vụ npm axios bị hack gần đây, những chính sách kiểu này đôi khi lại nghe như một biện pháp khá hợp lý
  • Microsoft dẫn dắt bạn tới việc mua chứng chỉ ký mã nếu muốn giải quyết vấn đề này
    Có nội dung liên quan trong thảo luận trên Stack Overflow

• Khi tải .exe mới nhất từ GitHub, Firefox hiện cảnh báo “tệp này không thường được tải xuống”
  Quét virus đều sạch nên có vẻ chỉ là một false positive do heuristic
  Không đến mức là một câu chuyện đáng lên báo kiểu Chrome lạm dụng độc quyền

  • Tôi không biết những hộp thoại cảnh báo này có thực sự hiệu quả hay không
    Chúng xuất hiện quá thường xuyên đến mức giờ tôi chẳng còn đọc bất kỳ cảnh báo nào nữa
    Đặc biệt UX khi trình duyệt chặn truy cập vì dùng chứng chỉ tự ký là tệ nhất. Cảm giác như tôi bị đối xử như thể đang làm điều gì nguy hiểm vậy
  • Firefox chẳng phải cũng dùng cơ sở dữ liệu Safe Browsing của Google sao?
  • Trên Chrome, khi tải tệp .tar.gz (đặc biệt là cho yt-dlp) thì cũng hiện cùng cảnh báo. Những tệp .tar.gz khác thì không

• Binary của yt-dlp được build bằng PyInstaller, nên có thể gây ra false positive với phần mềm diệt virus

  • Google đã thể hiện thái độ thù địch với yt-dlp từ trước cả khi nó bị fork
    Họ cũng tìm cách loại các công cụ như vậy khỏi extension store hoặc chính sách Android, dù đôi lúc việc thực thi khá lỏng lẻo
    Google sợ việc người dùng tự kiểm soát nội dung video của chính họ
  • Nhưng tôi không hiểu vì sao trình duyệt lại phải bận tâm tới chuyện này

• Nhìn việc tìm “Google” trên Bing lại dẫn tới một trang bắt chước Google.com thì có thể thấy các tập đoàn lớn không đáng tin
  Vụ này có thể chỉ là trùng hợp đơn thuần, nhưng tôi không chắc

  • Trước đây Google từng đánh dấu extension Ad Nauseam là malware. Đó rõ ràng là một sự lạm quyền
    Còn vụ này thì hiện vẫn chưa rõ
  • Nó làm tôi nhớ tới câu “đừng bao giờ lãng phí một cuộc khủng hoảng tốt”

• Tôi cũng đã tái hiện được hiện tượng tương tự tại trang tải xuống yt-dlp
  Hiện thông báo: “Tải xuống nguy hiểm đã bị chặn — yt-dlp_win_x86.zip không thường được tải xuống và có thể nguy hiểm”

  • Nhưng tôi nghi ngờ những lời giải thích kiểu này hữu ích đến mức nào
    Mọi phần mềm mới (kể cả chính Chrome) ban đầu đều ở trạng thái “không thường được tải xuống”

• Vì vậy tôi cài yt-dlp bằng trình quản lý gói của bản phân phối Linux. Trên Termux cũng làm được

  • Nhưng yt-dlp cần được cập nhật thường xuyên, nên phiên bản từ distro quá chậm
    Tôi đã tạo wrapper Telegram/MQTT/HomeAssistant để mẹ tôi có thể nghe audiobook từ máy chủ Jellyfin
    Phiên bản yt-dlp thường xuyên hỏng, nên tôi làm một script tự động cập nhật môi trường ảo để luôn dùng HEAD mới nhất
    Mã wrapper của tôi

• Thật buồn cười khi một công ty lớn như vậy cũng không thể để yên cho một công cụ nhỏ như thế này
  Giờ Google cho cảm giác như trục ma quỷ. GCP thì giá đắt, còn thống kê trên Android Play Store cũng chỉ cập nhật mỗi ngày một lần
  Với tư cách là một công ty dữ liệu, mức này thật đáng thất vọng

  • Nhưng yt-dlp không chỉ là một công cụ tải xuống đơn thuần mà còn là công cụ nền tảng để tạo ra công cụ khác
    Nhà báo hay cơ quan chính phủ cũng dùng nó để nghiên cứu hoặc thu thập bằng chứng
    Nếu Google thực sự muốn loại bỏ nó thì hẳn đã chặn mạnh tay hơn rất nhiều rồi. Có lẽ chưa tới mức muốn xóa sổ hoàn toàn

• Việc trình duyệt của Google gọi một công cụ tải tệp từ máy chủ Google là “đáng ngờ” thật mỉa mai

  • Theo logic đó thì Chrome cũng là “một công cụ tải tệp từ máy chủ Google”
    Kiểu hành xử này không có gì đáng ngạc nhiên, nhưng điều đó cũng không phải lý do để không chỉ trích sự dẫn dắt phi đạo đức và lạm dụng độc quyền
    Việc lấy luật sư của RIAA làm hình mẫu đạo đức chỉ càng củng cố lập luận của tôi

• Tôi đã thử ở trang phát hành mới nhất của yt-dlp, và cảnh báo chỉ xuất hiện với file exe cho Windows, còn bản macOS hay Linux thì bình thường
  Nhìn vào đó thì có vẻ là lỗi của một hệ thống tự động, chứ không phải có chủ đích phản cạnh tranh

• Việc thiếu vắng quy định chống độc quyền cho phép kiểu xung đột lợi ích này xảy ra

  • Nhưng Firefox cũng hiện cảnh báo tương tự