Google
De Besoin fir eng nei API ze addéieren gëtt erkläert andeems d'Fäegkeet ubitt mat Netzwierkapparater ze interagéieren déi gebierteg Protokoller benotzen déi uewen op TCP an UDP lafen an d'Kommunikatioun iwwer HTTPS oder WebSockets net ënnerstëtzen. Et gëtt bemierkt datt de Raw Sockets API d'niddereg Programméierungsinterfaces WebUSB, WebMIDI a WebBluetooth ergänzt, déi schonn am Browser verfügbar sinn, déi Interaktioun mat lokalen Apparater erlaben.
Fir negativ Auswierkungen op d'Sécherheet ze vermeiden, erlaabt d'Raw Sockets API nëmmen Netzwierkerruff, déi mat der Zoustëmmung vum Benotzer initiéiert ginn a limitéiert op d'Lëscht vun den Hosten, déi vum Benotzer erlaabt sinn. De Benotzer muss den éischte Verbindungsversuch fir den neie Host explizit bestätegen. Mat engem spezielle Fändel kann de Benotzer d'Display vu widderholl Operatioun Bestätegungsufroe fir widderholl Verbindunge mam selwechte Host auszeschalten. Fir DDoS-Attacke ze vermeiden, gëtt d'Intensitéit vun Ufroen iwwer Raw Sockets limitéiert, an Ufroe schécken wäert nëmme méiglech sinn nodeems de Benotzer mat der Säit interagéiert. UDP Pakete vun Hosten, déi net vum Benotzer guttgeheescht ginn, ginn ignoréiert a wäerten d'Webapplikatioun net erreechen.
Déi initial Ëmsetzung suergt net fir d'Schafung vun Nolauschterer Sockets, awer an der Zukunft ass et méiglech Uriff ze bidden fir erakommende Verbindunge vum localhost oder eng Lëscht vu bekannte Hosten ze akzeptéieren. Och erwähnt ass de Besoin fir géint Attacken ze schützen "
Zu de Risiken, déi bei der Ëmsetzung vun enger neier API entstoe kënnen, ass seng méiglech Oflehnung vun Hiersteller vun anere Browser, wat zu Kompatibilitéitsproblemer féieren kann. D'Entwéckler vun de Mozilla Gecko a WebKit Motore sinn nach ëmmer
Web Entwéckler
Source: opennet.ru