Google
La nécessité d'ajouter une nouvelle API s'explique par la possibilité d'interagir avec des périphériques réseau qui utilisent des protocoles natifs fonctionnant sur TCP et UDP et ne prenant pas en charge la communication via HTTPS ou WebSockets. Il est à noter que l'API Raw Sockets viendra compléter les interfaces de programmation de bas niveau WebUSB, WebMIDI et WebBluetooth déjà disponibles dans le navigateur, qui permettent une interaction avec les appareils locaux.
Pour éviter tout impact négatif sur la sécurité, l'API Raw Sockets autorisera uniquement les appels réseau initiés avec le consentement de l'utilisateur et limités à la liste des hôtes autorisés par l'utilisateur. L'utilisateur devra confirmer explicitement la première tentative de connexion pour le nouvel hôte. À l'aide d'un indicateur spécial, l'utilisateur peut désactiver la sortie de demandes de confirmation d'opération répétées pour des connexions répétées au même hôte. Pour prévenir les attaques DDoS, l'intensité des requêtes via Raw Sockets sera limitée et l'envoi de requêtes ne sera possible qu'après que l'utilisateur ait interagi avec la page. Les paquets UDP reçus d'hôtes non approuvés par l'utilisateur seront ignorés et n'atteindront pas l'application Web.
L'implémentation initiale ne prévoit pas la création de sockets d'écoute, mais à l'avenir, il sera possible de proposer des appels pour accepter les connexions entrantes provenant de localhost ou d'une liste d'hôtes connus. La nécessité de se protéger contre les attaques est également évoquée. »
Parmi les risques qui peuvent survenir lors de la mise en œuvre d'une nouvelle API, il y a son éventuel rejet par les fabricants d'autres navigateurs, ce qui pourrait entraîner des problèmes de compatibilité. Les développeurs des moteurs Mozilla Gecko et WebKit sont toujours
développeurs web
Source: opennet.ru