Google
ความจำเป็นในการเพิ่ม API ใหม่อธิบายได้โดยการให้ความสามารถในการโต้ตอบกับอุปกรณ์เครือข่ายที่ใช้โปรโตคอลดั้งเดิมที่ทำงานบน TCP และ UDP และไม่รองรับการสื่อสารผ่าน HTTPS หรือ WebSockets มีข้อสังเกตว่า Raw Sockets API จะเสริมอินเทอร์เฟซการเขียนโปรแกรมระดับต่ำ WebUSB, WebMIDI และ WebBluetooth ที่มีอยู่ในเบราว์เซอร์อยู่แล้ว ซึ่งอนุญาตให้โต้ตอบกับอุปกรณ์ในเครื่องได้
เพื่อหลีกเลี่ยงผลกระทบด้านลบต่อความปลอดภัย Raw Sockets API จะอนุญาตเฉพาะการโทรผ่านเครือข่ายที่เริ่มต้นโดยได้รับความยินยอมจากผู้ใช้ และจำกัดไว้เฉพาะรายการโฮสต์ที่อนุญาตโดยผู้ใช้ ผู้ใช้จะต้องยืนยันความพยายามในการเชื่อมต่อครั้งแรกสำหรับโฮสต์ใหม่อย่างชัดเจน เมื่อใช้แฟล็กพิเศษ ผู้ใช้สามารถปิดใช้งานการแสดงคำขอยืนยันการดำเนินการซ้ำสำหรับการเชื่อมต่อซ้ำไปยังโฮสต์เดียวกันได้ เพื่อป้องกันการโจมตี DDoS ความเข้มของคำขอผ่าน Raw Sockets จะถูกจำกัด และการส่งคำขอจะทำได้หลังจากที่ผู้ใช้โต้ตอบกับเพจเท่านั้น แพ็กเก็ต UDP ที่ได้รับจากโฮสต์ที่ไม่ได้รับการอนุมัติจากผู้ใช้จะถูกละเว้นและจะไม่เข้าถึงเว็บแอปพลิเคชัน
การใช้งานครั้งแรกไม่ได้มีไว้สำหรับการสร้างซ็อกเก็ตการฟัง แต่ในอนาคตเป็นไปได้ที่จะจัดให้มีการเรียกเพื่อรับการเชื่อมต่อขาเข้าจาก localhost หรือรายการโฮสต์ที่รู้จัก ที่กล่าวมาก็คือความจำเป็นในการป้องกันการโจมตี”
ความเสี่ยงที่อาจเกิดขึ้นเมื่อใช้ API ใหม่คือการที่ผู้ผลิตเบราว์เซอร์อื่นปฏิเสธซึ่งอาจนำไปสู่ปัญหาความเข้ากันได้ นักพัฒนาของเอนจิ้น Mozilla Gecko และ WebKit ยังคงอยู่
นักพัฒนาเว็บ
ที่มา: opennet.ru