Brave、ウェブサイトのローカルホストリソースアクセスをコントロール可能にする計画 31
初 部門より
Brave が今後リリースするバージョン 1.5.4 以降のデスクトップ版 / Android 版 Brave ブラウザーで、ユーザーがウェブサイトによるローカルホストリソースへのアクセスをコントロール可能にする計画を示している。メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる (Brave のブログ記事、 Ars Technica の記事、 Ghacks の記事、 BleepingComputer の記事)。
ウェブサイトによるローカルホストリソースアクセスが可能になっているのは、プライバシーが重視されていなかった時代の名残だという。ウェブインターフェイスを通じたハードウェアの設定など、ユーザーに利益をもたらす形での利用もみられるが、ポートスキャンによるユーザーのフィンガープリンティングや攻撃の入り口となる脆弱性検出など、悪意ある利用も多い。
そのため、既に Brave では悪意を持ってローカルホストリソースをスキャンすることが知られているスクリプトをブロックするフィルターや、ローカル以外でホストされたウェブサイトによるローカルホストリソースへのアクセスをブロックするフィルターを使用しているそうだ。
さらに今後は「ローカルホスト」アクセス権限を追加するほか、ユーザーに利益をもたらすローカルホストリソース利用が知られている「信頼済み」サイトのリストを同梱し、ローカルでホストされたページからのローカルホストリソースアクセスを自動で許可する機能の追加も行う計画とのこと。
当面「ローカルホスト」アクセス権限を要求するプロンプトは「信頼済み」サイトが初めてローカルホストリソースへアクセスするときにのみ表示され、その他のサイトによる要求は許可しない。これは一般ユーザーに理解できるようローカルホストリソースを説明するのが難しいためで、うまく説明できるようになったらその他のサイトにもアクセス権限の要求を許可する計画とのことだ。
メジャー? (スコア:2)
メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる
いまどきだと Chrome, Edge, Firefox, Safari だと思っていたけど…
(IE は今どうだろう?)
# 昔なら Android標準ブラウザとかも、かな
サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
CSSファイルとか全部そこに置けるようにして、localhost指定のファイルは必ずそこを見に行くようにする。
ローカルホストにアクセス可能なサイトを管理するより、ローカルホストとしてアクセス可能なエリアを管理する方がユーザーとしてはやるやすいのでは?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
そのエリアに何を置けばいいかわからない、そんなこと管理したくないユーザーが圧倒的大多数で空っぽでないことの方が珍しい
という盲腸みたいな存在になるのは目に見えてるな。
うじゃうじゃ
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
それでいいんじゃない?
なにをどうしたってセキュリティ意識の高い一部のユーザーしか使わない機能でしょ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
セキュリティ意識の高い一部のユーザーも、わざわざファイルを置くメリットが大してないから空っぽのままだと思うよ。
うじゃうじゃ
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
そりゃあ。localhost指定でアクセスさせたいファイルがないなら空のまま運用することになるけど、それが何か問題?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
別に問題だとは言ってないですよ。元のコメントに書いたように「盲腸みたいな存在になる」ってだけの話。
うじゃうじゃ
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
Re:サンドボックス化したブラウザ用のローカルアクセス専用エリアを作るとかどうだろう (スコア:1)
盲腸みたいな存在になるってのは具体的にどういうニュアンスなんだろう?
もしかして、なんらかの印象操作しようとしてる?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
Local StrageとかService Workerとかを使うとだいたいできそう。全く無関係な余所のサイトとデータの共有みたいなのはできないけど。
Firefoxで特定のhosts列に反応しない (スコア:0)
hostsに
0.0.0.0 youtube.com
0.0.0.0 www.youtube.com
を入れておいてもYoutube見れちゃうんだけど、なぜこの現象が起きるのか知ってる人いない?
SafariもそうなのでmacOS特有の現象なのか
Re:Firefoxで特定のhosts列に反応しない (スコア:1)
https://qiita.com/amuyikam/items/0063df223aed40193ba9 [qiita.com]
Re: (スコア:0)
面白いやんけ!
Re: (スコア:0)
ipv6書き忘れてるとか?
Re: (スコア:0)
それだろうね。
別途
:: youtube.com
のような感じで書かないと。
Re: (スコア:0)
これで行けるはず
#IPv4
0.0.0.0 www.youtube.com
0.0.0.0 youtube.com
#IPv6
:: www.youtube.com
:: youtube.com
Re: (スコア:0)
https://chiebukuro.yahoo.co.jp/ [yahoo.co.jp]
Re: (スコア:0)
DoHが有効になっているとか?
日本語記事 (スコア:0)
みつけた。
https://brave.com/ja/privacy-updates/27-localhost-permission/ [brave.com]
Re: (スコア:0)
これ読んでもわからんな。
ローカルホストリソースって具体的に何?
ローカルファイル?それともプロセス?
カメラやマイクにアクセスできるwebサイトなら知ってるが(配信サイト系)
Re: (スコア:0)
リソース管理がOSの第一義の機能である以上、それが具体的に何かは それは君の手元にあるOSとその実装者が考えることじゃないの?
もしかしたらコーヒーメーカーを制御する機能とかあるかもしれないねw
Re: (スコア:0)
webサイト(http(s):)からローカルファイル(file:)へのアクセスはすでに主要ブラウザーがブロックしているので、ローカルホスト(localhost,127.*.*.*,::1)へのHTTP(S)接続だと思われる
Re: (スコア:0)
Aドライブのfile:URLをimgタグで埋め込んでフロッピーディスクドライブに読み込みを試みさせる奴とか
昔はなぜあんなにいい加減だったんだろう? (スコア:0)
ブラウザ黎明期のセキュリティ感覚って今から考えると信じられないよね。
マイクロソフトなんて大企業までセキュリティガン無視で、しかもエンタープライズ向けの商品でも使われるソフトで、なんであんなんだったんだろうという。
TLSが認証画面以外に使われるようになったのも割と最近だし。
将来は「通信先にIPアドレスが丸見えだったとか信じられない」「E2E暗号化使ってないとか野蛮人かよ」「パスワード認証とか漏れるだろ常識的に」みたくなるのかな。
何れも別に現在の技術で何とかならないもんでもないし、実際なぜ現状こうなのかと言えばほぼ惰性としか言えない。
Re: (スコア:0)
ゾーン管理が実装済みだったからだよ
個人でも組織でも肌理細やかな設定ができる
信頼済みゾーンでググるよろし
# マイコンピュータゾーンが隠し要素になって久しい
Re: (スコア:0)
今だってメールオーダーの通販では注文用紙にクレカ番号と期限日と後ろの番号書かされるが、漏れたことないし。ハガキのもある。
SSLなしでクレカ番号送ったところで何の問題もない。
Re: (スコア:0)
> ブラウザ黎明期のセキュリティ感覚って今から考えると信じられないよね。
20年後にもおんなじこと言われてそう。
Re: (スコア:0)
ブラウザ黎明期に公明党がブラウザを作って配布していたなんて歴史があったのは誰も覚えていないかもね。
# 政府のデジタル化がどうのと批判されているけど先見性はあったのかもね
Re: (スコア:0)
ギークのおもちゃと思われてたから。子供銀行券みたいなもん。
皆が価値を見出したら、子供銀行券でも皆ちゃんと保管するようになる。
// 例えが上手くないのは自覚しています
Re: (スコア:0)
その逆だってあるし。置き配とかマイナカードとか。
ソフトバンク系回線ユーザーは微妙に困るのかも (スコア:0)
ソフトバンク系の回線のルーター類の設定画面って、特定のインターネットアドレスから、ローカルにアクセスさせるインターフェースだし。