Google新提议禁止网站通过浏览器访问局域网内的设备 避免隐私泄露
摘要:
Google工程师最近在 GitHub 上发布天建议禁止网站通过浏览器例如 Chrome 访问局域网内的设备,当然也不是完全禁止,而是在用户授权的情况下允许公共网站访问局域网内的设备。其实以前公共网站确实可以直接通过浏览器访问局域网设备,不过 Chrome 也推出名为 PNA 私有网络访问的技术用来施加限制,PNA 技术会预检请求来控制访问权限。
此次Google的新提议是暂停 PNA 技术并转而使用新的权限控制来限制公共网站访问,区别在于新提议赋予用户更多的控制权,代价则是需要向用户解释这个新权限具体用途是什么。
Google认为新提议可以消除预检设计所实现的明确的设备选择加入机制并简化交付流程,同时还可以降低本地网络访问的实际风险,而技术层面的设计也让这个新技术更容易实现。
当然禁止公共网站访问本地网络权限也会造成一些麻烦,最直观的例子就是路由器,例如 TP-LINK 的路由器在初次设置时会引导用户访问一个公共域名,这个公共域名可以探测本地网络中的路由器并进行设置。
如果直接禁止公共网站访问本地网络则会导致 TP-LINK 的引导域名无法正常探测,所以用户需要对这个域名进行授权,允许该域名访问本地网络。
在实际访问时网站应当先向用户发出授权请求,在用户明确批准后网站才可以访问,这和 Chrome 当前的各种权限设计类似,都是弹出通知由用户授予,这样才能使用对应的权限。
这项提议目前似乎还未引起太多讨论,不知道其他浏览器开发商持何种态度,理论上说这应该有助于保护用户隐私,所以应该其他开发商会同意吧?
