Brave團隊近日宣布,以隱私為中心的瀏覽器將引入新的限制控制,允許用戶指定站點訪問本地網絡資源的時間。
(資料圖)
本地托管的資源包括你設備上的網絡程序需要或使用的圖像或文件,其他本地資源包括對你網絡上的設備訪問,如NAS實例、本地托管服務器、共享網絡打印機文件、共享網絡設備/計算機數據等。
網站和本地網絡程序請求訪問本地資源,是為了便于收集用戶機器上運行的軟件信息,這個操作很常見。
Brave方面表示,雖然這十分令人驚訝,但大多數瀏覽器都允許網站訪問這些本地資源,就像它們訪問網絡上的其他資源一樣容易。而且至少從2020年起,這種做法就被已經被記錄在eBay、花旗銀行、Chick-fil-A等網站上,作為相關網站上使用的反欺詐腳本的一部分。
1688008426_649cf6ea8fc0e64423682.png!small
Ebay過去的端口掃描用戶(來源:StackExchange)
Brave方面稱,所有現代的瀏覽器,包括Chrome和Firefox,都允許網站請求訪問本地資源,并且不受限制地使用它們。
Safari倒是會阻止這些請求,即便這些請求是來自安全的公共網站。但這是其安全措施的一個副作用,而不是阻止這種危險做法的具體設計決定。
目前,Brave正在引入一個本地主機訪問權限來解決這個問題,同時仍然允許他們信任的網站在有限時間內訪問本地資源。
1688008947_649cf8f351bb244e6ed2c.png!small
新增本地主機資源權限提示(來源:Brave)
“Brave是唯一能夠阻止來自安全和不安全的公共網站對本地主機資源的請求的瀏覽器,同時仍然保持對用戶信任的網站的兼容路徑,"Brave團隊承諾說。
從1.54版本開始(目前是1.52版本),Brave的桌面版和安卓版將包括更強大的功能,比如控制哪些網站可以訪問本地網絡資源,以及訪問的時間。
默認情況下,沒有網站會被授予訪問本地主機資源的權限,因此用戶可以通過在桌面上的 "Brave://settings/content/localhostAccess "或在安卓上的 "Settings > Site settings > Localhost Access "手動給予權限。
除了這個新的許可機制,Brave將使用過濾列表規則來阻止濫用本地主機訪問的腳本和網站。同時,Brave還將維護和更新可信網站的允許列表,在用戶第一次訪問時,將提示用戶是否允許他們訪問本地網絡資源。
不過那些針對本地主機資源的請求仍將被允許通過,而不需要特殊的權限。
標簽:
