Chrome muestra una advertencia de 'descarga sospechosa' al descargar yt-dlp

Creo que este tipo de advertencias debería cambiarse por un sistema de firma de código.
Así como cuando uno escucha una afirmación hay que revisar la evidencia y la fuente, los usuarios deberían desconfiar de todas las apps por defecto. Si no lo hacen y eso causa daños, es su propia responsabilidad.

Comentarios de Hacker News

• Las heurísticas que impulsan esta función y la política de listas blancas de Windows Defender son pésimas
  Está estructurado de forma que la advertencia solo desaparece cuando cierto binario alcanza cierto nivel de popularidad, así que si los usuarios no ignoran la advertencia, se crea un problema de qué fue primero, el huevo o la gallina que nunca se resuelve
  Este tipo de estructura perjudica especialmente a los desarrolladores indie y a los proyectos pequeños de código abierto

  • Yo creo que esto es simplemente seguridad de mentira (bullshit security)
    Al final, es un mecanismo para atar a los desarrolladores a la infraestructura del proveedor del SO. Apple hace exactamente lo mismo
  • A mi sitio web también lo bloquearon alguna vez en el firewall de una empresa
    En esos casos hay que crear perfiles en las compañías de ciberseguridad y esperar a que te pongan en la lista blanca
  • Yo también estoy viendo algo parecido en Linux
  • Viendo el reciente hackeo de axios en npm, estas políticas incluso pueden sonar como una medida sensata
  • Microsoft te empuja a comprar un certificado de firma para resolver este problema
    Hay más sobre eso en esta discusión de Stack Overflow

• Al descargar el .exe más reciente desde GitHub, Firefox advierte: “este archivo no se descarga con frecuencia”
  Todos los escaneos antivirus salen limpios, así que parece un simple falso positivo heurístico
  No da para verlo como una noticia sobre abuso monopólico de Chrome

  • No sé si estas ventanas de advertencia realmente sean efectivas
    Salen tan seguido que ya no leo ninguna advertencia
    Sobre todo, la UX en la que el navegador bloquea el acceso cuando usas un certificado autofirmado es terrible. Te trata como si estuvieras haciendo algo peligroso
  • ¿Firefox no usa la base de datos de Safe Browsing de Google?
  • En Chrome también sale la misma advertencia al bajar archivos .tar.gz (especialmente los de yt-dlp). Con otros .tar.gz no pasa

• El binario de yt-dlp está compilado con PyInstaller, así que puede generar falsos positivos en los antivirus

  • Google ya mostraba una actitud hostil desde antes de que yt-dlp fuera bifurcado
    También intenta excluir herramientas así en la tienda de extensiones y en las políticas de Android, aunque a veces la aplicación es más laxa
    Google teme que los usuarios controlen directamente su propio contenido de video
  • Aun así, no entiendo por qué el navegador tendría que meterse en esto

• Si ves que al buscar “Google” en Bing te lleva a una página que imita Google.com, queda claro que no se puede confiar en las grandes empresas
  Esto podría ser solo una coincidencia, pero no estoy convencido

  • Google ya marcó antes a la extensión Ad Nauseam como malware. Eso sí fue un abuso de poder evidente
    En este caso todavía no está claro
  • Me viene a la mente eso de “nunca desperdicies una buena crisis”

• Yo también pude reproducirlo en la página de descarga de yt-dlp
  Sale el mensaje: “Descarga peligrosa bloqueada — yt-dlp_win_x86.zip no se descarga con frecuencia y podría ser peligroso”

  • Pero me pregunto qué tan útil es realmente esa explicación
    Todo software nuevo (incluso el propio Chrome) empieza siendo algo que “no se descarga con frecuencia”

• Por eso yo instalo yt-dlp con el gestor de paquetes de mi distribución Linux. También se puede en Termux

  • Pero yt-dlp necesita actualizarse seguido, así que la versión de la distro va demasiado lenta
    Hice un wrapper para Telegram/MQTT/HomeAssistant para que mi mamá pudiera escuchar audiolibros en un servidor Jellyfin
    Como la versión de yt-dlp se rompe seguido, dejé hecho un script de autoactualización del entorno virtual para usar siempre el HEAD más reciente
    Mi código del wrapper

• Da risa que una empresa tan grande no pueda dejar en paz ni una herramienta tan pequeña
  Google ya se siente como un eje del mal. GCP es caro, y las estadísticas de Android Play Store solo se actualizan una vez al día
  Decepciona bastante para ser una empresa de datos

  • Pero yt-dlp no es solo una herramienta de descarga, sino una herramienta base para crear otras herramientas
    Periodistas y organismos gubernamentales también la usan para investigación o recopilación de pruebas
    Si Google de verdad quisiera eliminarla, ya la habría bloqueado de manera mucho más agresiva. No parece que quiera borrarla por completo

• Es irónico que el navegador de Google marque como “sospechosa” una herramienta que descarga archivos desde servidores de Google

  • Con la misma lógica, Chrome también es una “herramienta para descargar archivos desde servidores de Google”
    Este tipo de comportamiento no sorprende, pero eso no significa que no haya que criticar el engaño poco ético y el abuso monopólico
    Poner a abogados de la RIAA como ejemplo de ética más bien refuerza mi argumento

• Hice la prueba en la página de la última versión de yt-dlp, y la advertencia solo aparece con el exe de Windows; las versiones de macOS y Linux descargan normal
  Viendo eso, parece más bien un error de un sistema automatizado, no una intención anticompetitiva

• La falta de regulación antimonopolio es lo que permite este tipo de conflictos de interés

  • Pero Firefox también muestra advertencias parecidas