官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Brave团队近日宣布,以隐私为中心的浏览器将引入新的限制控制,允许用户指定站点访问本地网络资源的时间。
本地托管的资源包括你设备上的网络程序需要或使用的图像或文件,其他本地资源包括对你网络上的设备访问,如NAS实例、本地托管服务器、共享网络打印机文件、共享网络设备/计算机数据等。
网站和本地网络程序请求访问本地资源,是为了便于收集用户机器上运行的软件信息,这个操作很常见。
Brave方面表示,虽然这十分令人惊讶,但大多数浏览器都允许网站访问这些本地资源,就像它们访问网络上的其他资源一样容易。而且至少从2020年起,这种做法就被已经被记录在eBay、花旗银行、Chick-fil-A等网站上,作为相关网站上使用的反欺诈脚本的一部分。
Ebay过去的端口扫描用户(来源:StackExchange)
Brave方面称,所有现代的浏览器,包括Chrome和Firefox,都允许网站请求访问本地资源,并且不受限制地使用它们。
Safari倒是会阻止这些请求,即便这些请求是来自安全的公共网站。但这是其安全措施的一个副作用,而不是阻止这种危险做法的具体设计决定。
目前,Brave正在引入一个本地主机访问权限来解决这个问题,同时仍然允许他们信任的网站在有限时间内访问本地资源。
新增本地主机资源权限提示(来源:Brave)
“Brave是唯一能够阻止来自安全和不安全的公共网站对本地主机资源的请求的浏览器,同时仍然保持对用户信任的网站的兼容路径,"Brave团队承诺说。
从1.54版本开始(目前是1.52版本),Brave的桌面版和安卓版将包括更强大的功能,比如控制哪些网站可以访问本地网络资源,以及访问的时间。
默认情况下,没有网站会被授予访问本地主机资源的权限,因此用户可以通过在桌面上的 "Brave://settings/content/localhostAccess "或在安卓上的 "Settings > Site settings > Localhost Access "手动给予权限。
除了这个新的许可机制,Brave将使用过滤列表规则来阻止滥用本地主机访问的脚本和网站。同时,Brave还将维护和更新可信网站的允许列表,在用户第一次访问时,将提示用户是否允许他们访问本地网络资源。
不过那些针对本地主机资源的请求仍将被允许通过,而不需要特殊的权限。