Chrome zeigt beim Download von yt-dlp die Warnung „Verdächtiger Download“ an

 (news.ycombinator.com)
1 Punkte von GN⁺ 27 일 전 | 2 Kommentare | Auf WhatsApp teilen
  • Es wurden Fälle gemeldet, in denen der Chrome-Browser beim Herunterladen der yt-dlp-Programmdatei eine Blockierung oder Warnmeldung anzeigt
  • Der Warnhinweis erscheint als „suspicious download“, und Nutzer können die Datei nur erhalten, wenn sie die Warnung ignorieren und den Download manuell zulassen
  • yt-dlp ist ein weit verbreitetes Open-Source-Tool, das das Herunterladen von Videos von YouTube und verschiedenen anderen Plattformen unterstützt
  • Die Warnung tritt auf, weil das Sicherheitserkennungssystem von Chrome die ausführbare Datei als potenzielles Risiko einstuft
  • Einige Nutzer sehen darin eine übermäßig strenge Anwendung der Sicherheitsrichtlinien von Chrome; dadurch könnte diese automatische Sicherheitsfilterung die Verbreitung und Zugänglichkeit legitimer Open-Source-Tools beeinträchtigen

Verwandte Beiträge

2 Kommentare

 
ndrgrd 26 일 전

Ich denke, solche Warnungen sollten durch ein System zur Code-Signierung ersetzt werden.
So wie man bei jeder Behauptung die Belege und Quellen prüfen sollte, müssen Nutzer grundsätzlich allen Apps misstrauen. Entsteht Schaden, weil sie das nicht tun, liegt die Verantwortung bei ihnen selbst.
 
GN⁺ 27 일 전
Hacker-News-Kommentare

  • Die Heuristik, die diese Funktion antreibt, und die Whitelist-Richtlinien von Windows Defender sind miserabel.
    Das System ist so aufgebaut, dass die Warnung erst verschwindet, wenn eine bestimmte Binärdatei genug Popularität erreicht hat. Dadurch entsteht ein Henne-Ei-Problem: Wenn Nutzer die Warnung nicht ignorieren, wird sie niemals aufgehoben.
    So eine Struktur benachteiligt insbesondere Indie-Entwickler und kleine Open-Source-Projekte.

    • Ich halte so etwas einfach für Bullshit-Sicherheit.
      Letztlich ist das ein Mechanismus, um Entwickler an die Infrastruktur der OS-Anbieter zu binden. Apple macht genau denselben Mist.
    • Meine Website wurde auch schon von einer Unternehmens-Firewall blockiert.
      In solchen Fällen muss man bei Cybersecurity-Firmen ein Profil anlegen und dann warten, bis man auf die Whitelist gesetzt wird.
    • Ich erlebe unter Linux etwas Ähnliches.
    • Wenn man sich den jüngsten npm-axios-Hack ansieht, klingt so eine Richtlinie andererseits fast nach einer vernünftigen Maßnahme.
    • Microsoft lenkt einen in Richtung Kauf eines Signaturzertifikats, wenn man das Problem lösen will.
      Dazu gibt es eine Stack-Overflow-Diskussion

  • Wenn ich die neueste .exe von GitHub herunterlade, warnt Firefox mit „Diese Datei wird nicht häufig heruntergeladen“.
    Die Virenscans sind alle unauffällig, daher wirkt das wie ein bloßer heuristischer False Positive.
    Das ist keine Schlagzeile über monopolistischen Missbrauch durch Chrome.

    • Ich weiß nicht, ob solche Warnfenster überhaupt wirksam sind.
      Sie erscheinen so oft, dass ich inzwischen gar keine Warnung mehr lese.
      Besonders die UX, bei der Browser den Zugriff blockieren, wenn man selbstsignierte Zertifikate nutzt, ist katastrophal. Man wird behandelt, als würde man etwas Gefährliches tun.
    • Nutzt Firefox nicht die Safe-Browsing-Datenbank von Google?
    • In Chrome erscheint dieselbe Warnung auch bei .tar.gz-Dateien, besonders für yt-dlp. Bei anderen .tar.gz-Dateien erscheint sie nicht.

  • Die Binärdateien von yt-dlp werden mit PyInstaller gebaut, wodurch False Positives bei Virenscannern auftreten können.

    • Google zeigt schon seit vor dem Fork eine feindselige Haltung gegenüber yt-dlp.
      Auch im Extension Store und in den Android-Richtlinien wird versucht, solche Tools auszuschließen, wenn auch die Durchsetzung manchmal locker ist.
      Google fürchtet, dass Nutzer ihre eigenen Videoinhalte selbst kontrollieren.
    • Ich verstehe allerdings nicht, warum ein Browser sich darum kümmern sollte.

  • Wenn man auf Bing nach „Google“ sucht und auf einer Google.com imitierenden Seite landet, sieht man, dass man Großkonzernen nicht trauen kann.
    Diesmal könnte es bloß ein Zufall sein, aber sicher bin ich mir nicht.

    • Google hat früher schon die Ad-Nauseam-Erweiterung als Malware markiert. Das war ein klarer Machtmissbrauch.
      Diesmal ist es noch unklar.
    • Mir fällt der Spruch ein: „Verschwende niemals eine gute Krise.“

  • Ich konnte dasselbe auf der yt-dlp-Downloadseite reproduzieren.
    Es erscheint die Meldung: „Gefährlicher Download blockiert — yt-dlp_win_x86.zip wird nicht häufig heruntergeladen und könnte gefährlich sein“.

    • Ich frage mich allerdings, wie nützlich diese Erklärung eigentlich ist.
      Jede neue Software — sogar Chrome selbst — ist anfangs „nicht häufig heruntergeladen“.

  • Deshalb installiere ich yt-dlp über den Paketmanager meiner Linux-Distribution. Das geht auch in Termux.

    • Allerdings muss yt-dlp häufig aktualisiert werden, und die Distributionsversionen sind viel zu langsam.
      Ich habe einen Telegram/MQTT/HomeAssistant-Wrapper gebaut, damit meine Mutter Hörbücher auf einem Jellyfin-Server hören kann.
      Da yt-dlp-Versionen oft kaputtgehen, habe ich ein Auto-Update-Skript für virtuelle Umgebungen gebaut, damit immer das neueste HEAD verwendet wird.
      Mein Wrapper-Code

  • Es ist lächerlich, dass so ein großer Konzern nicht einmal so ein kleines Tool in Ruhe lassen kann.
    Google wirkt inzwischen wie ein Reich des Bösen. GCP ist teuer, und die Android-Play-Store-Statistiken werden nur einmal täglich aktualisiert.
    Dafür, dass es ein Datenunternehmen sein soll, ist das enttäuschend.

    • Allerdings ist yt-dlp nicht nur ein simples Download-Tool, sondern ein Grundlagenwerkzeug für andere Tools.
      Auch Journalisten und Behörden nutzen es für Recherche oder Beweissicherung.
      Wenn Google es wirklich entfernen wollte, hätten sie längst viel härter durchgegriffen. Es scheint nicht darum zu gehen, es vollständig zu beseitigen.

  • Dass Googles Browser ein Tool, das Dateien von Google-Servern holt, als verdächtig einstuft, ist ironisch.

    • Nach derselben Logik ist Chrome auch ein „Tool, das Dateien von Google-Servern holt“.
      Dieses Verhalten überrascht nicht, aber das ist kein Grund, unethische Irreführung und monopolistischen Missbrauch nicht zu kritisieren.
      RIAA-Anwälte als ethisches Vorbild anzuführen, stärkt meinen Punkt eher noch.

  • Ich habe es auf der Seite der neuesten yt-dlp-Version getestet; die Warnung erscheint nur bei der Windows-exe, während die macOS- und Linux-Versionen normal sind.
    Das sieht eher nach einem Fehler eines automatisierten Systems aus als nach antikompetitiver Absicht.

  • Das Fehlen kartellrechtlicher Regulierung ermöglicht solche Interessenkonflikte.

    • Allerdings zeigt auch Firefox ähnliche Warnungen.