人還在東京,不過看到這次 Arc Browser 安全問題的處理方式覺得值得先寫一下...
這次的問題是「gaining access to anyones browser without them even visiting a website」這個,另外在 Hacker News 上「Gaining access to anyones Arc browser without them even visiting a website (kibty.town)」的討論也值得看一看,因為 The Browser Company 的 CTO (Arc 背後的公司) 有出來回應,ha470 帳號的回應可以參考。
主要的疑慮在於對 security advisory 的態度,另外可以看看的是 CTO 出來回應的文字 (畢竟 C-level 出來回應都算是相當具有「權威性」的回應)。
整體看起來比較大的問題在於 CTO 回太快了,內部有些想做的是還沒做完 CTO 就先回了?像是 security advisory 的公告。另外一點是 security advisory 在首頁不算好找,而且用字偏... marketing?也因此技術社群的人不太愛這份說明。
算是個觀察,先看看就好... (雖然我沒在用 Arc,但周邊不少朋友跑去用了以後都蠻喜歡的?)