Chrome menampilkan peringatan 'unduhan mencurigakan' saat mengunduh yt-dlp

Saya rasa peringatan seperti ini seharusnya diganti dengan sistem penandatanganan kode.
Seperti halnya saat mendengar suatu klaim kita harus memeriksa dasar dan sumbernya, pengguna pada dasarnya harus mencurigai semua aplikasi. Jika tidak dan akhirnya timbul kerugian, itu menjadi tanggung jawab mereka sendiri.

Komentar Hacker News

• Heuristik yang menjalankan fitur ini dan kebijakan whitelist Windows Defender sangat buruk
  Strukturnya membuat peringatan baru hilang setelah biner tertentu mencapai tingkat popularitas tertentu, sehingga menciptakan masalah ayam atau telur duluan: jika pengguna tidak mengabaikan peringatannya, status itu tidak akan pernah hilang
  Struktur seperti ini sangat merugikan pengembang indie atau proyek open source kecil

  • Menurut saya ini cuma keamanan palsu (bullshit security)
    Pada akhirnya ini adalah mekanisme untuk mengikat para pengembang ke infrastruktur milik penyedia OS. Apple juga melakukan hal yang sama
  • Situs web saya juga pernah diblokir oleh firewall perusahaan
    Dalam kasus seperti ini, kita harus membuat profil di perusahaan keamanan siber dan menunggu situs dimasukkan ke whitelist
  • Saya juga mengalami hal serupa di Linux
  • Melihat insiden peretasan axios di npm baru-baru ini, kebijakan seperti ini malah terdengar seperti langkah yang masuk akal
  • Microsoft mendorong orang untuk membeli sertifikat penandatanganan agar masalah ini teratasi
    Ada pembahasannya di diskusi Stack Overflow

• Saat mengunduh .exe terbaru dari GitHub, Firefox menampilkan peringatan “file ini tidak umum diunduh”
  Hasil pemindaian virus semuanya bersih, jadi tampaknya ini hanya false positive heuristik
  Ini bukan sesuatu yang layak dianggap berita soal penyalahgunaan monopoli oleh Chrome

  • Saya tidak tahu apakah jendela peringatan seperti ini benar-benar efektif
    Karena terlalu sering muncul, sekarang saya bahkan tidak lagi membaca peringatan apa pun
    Terutama UX browser yang memblokir akses saat memakai sertifikat self-signed itu sangat buruk. Rasanya seperti saya diperlakukan seolah melakukan sesuatu yang berbahaya
  • Bukankah Firefox memakai database Safe Browsing milik Google?
  • Di Chrome, peringatan yang sama juga muncul saat mengambil file .tar.gz—terutama untuk yt-dlp. File .tar.gz lain tidak kena

• Biner yt-dlp dibangun dengan PyInstaller, jadi bisa memicu false positive pada antivirus

  • Google sudah menunjukkan sikap bermusuhan bahkan sebelum yt-dlp di-fork
    Mereka juga mencoba menyingkirkan alat seperti ini lewat kebijakan extension store atau Android, meski penegakannya kadang longgar
    Google takut pengguna mengendalikan sendiri konten video mereka
  • Tapi saya tidak paham kenapa browser harus peduli dengan hal seperti ini

• Kalau melihat Bing mengarahkan pencarian “Google” ke halaman yang meniru Google.com, sulit untuk mempercayai perusahaan besar
  Kasus ini mungkin hanya kebetulan, tapi saya tidak yakin

  • Google pernah menandai ekstensi Ad Nauseam sebagai malware. Itu jelas penyalahgunaan kekuasaan
    Yang ini masih belum jelas
  • Ini mengingatkan saya pada ungkapan “jangan pernah menyia-nyiakan krisis yang baik”

• Saya juga berhasil mereproduksi hal yang sama di halaman unduhan yt-dlp
  Muncul pesan “Unduhan berbahaya diblokir — yt-dlp_win_x86.zip tidak umum diunduh dan mungkin berbahaya”

  • Tapi saya meragukan seberapa berguna penjelasan seperti ini
    Semua software baru—bahkan Chrome sendiri—awalnya pasti dalam status “tidak umum diunduh”

• Karena itu saya memasang yt-dlp lewat package manager distro Linux. Di Termux juga bisa

  • Tetapi yt-dlp perlu sering diperbarui, jadi versi distro terlalu lambat
    Saya membuat wrapper Telegram/MQTT/HomeAssistant agar ibu saya bisa mendengarkan audiobook di server Jellyfin
    Versi yt-dlp sering rusak, jadi saya menyiapkan skrip auto-update virtual environment agar selalu memakai HEAD terbaru
    Kode wrapper saya

• Lucu juga perusahaan sebesar ini tidak bisa membiarkan satu alat kecil seperti ini
  Google sekarang terasa seperti poros kejahatan. GCP mahal, dan statistik Android Play Store juga cuma diperbarui sekali sehari
  Mengecewakan untuk perusahaan data sebesar itu

  • Tapi yt-dlp bukan sekadar alat unduh biasa, melainkan alat dasar untuk membangun alat lain
    Jurnalis dan lembaga pemerintah juga memakainya untuk riset atau pengumpulan bukti
    Jika Google benar-benar ingin menghapusnya, mereka pasti sudah menghambatnya jauh lebih keras. Sepertinya bukan sampai berniat melenyapkannya sepenuhnya

• Browser milik Google yang menyebut alat untuk mengambil file dari server Google sebagai sesuatu yang mencurigakan itu ironis

  • Dengan logika yang sama, Chrome juga adalah “alat untuk mengambil file dari server Google”
    Perilaku seperti ini memang tidak mengejutkan, tapi itu bukan alasan untuk tidak mengkritik penyesatan tidak etis dan penyalahgunaan monopoli
    Menjadikan pengacara RIAA sebagai teladan etika justru memperkuat argumen saya

• Saya mengujinya di halaman rilis terbaru yt-dlp, dan peringatannya hanya muncul untuk exe Windows, sementara versi macOS dan Linux baik-baik saja
  Dari sini terlihat seperti kesalahan sistem otomatis, bukan niat anti-persaingan

• Tidak adanya regulasi antimonopoli memungkinkan konflik kepentingan seperti ini

  • Tapi Firefox juga menampilkan peringatan serupa