Разработчики Brave объявили, что их браузер скоро обзаведется новой функциональностью, которая позволит пользователям самостоятельно решать, как долго сайты могут иметь доступ к локальным ресурсам. Фактически Brave поможет бороться с сайтами, которые следят за посетителями, сканируя их открытые порты или злоупотребляя доступом к сетевым ресурсам, что может приводить к раскрытию личной информации.
Начиная с версии 1.54, Brave будет автоматически блокировать сканирование портов, которым занимаются многие сайты.
Дело в том, что в последние годы эта сомнительная практика использовалась на множестве ресурсов. Согласно этому списку, составленному в 2021 году исследователем под ником G666g1e, 744 сайта сканировали порты посетителей, причем большинство делало это без предварительного уведомления или получения разрешения. Среди сайтов-нарушителей числились eBay, Chick-fil-A, Best Buy, Kroger и Macy's.
Кроме того, сайты часто используют аналогичную тактику, пытаясь составить профиль посетителей, чтобы повторно идентифицировать их каждый раз, когда они возвращаются (даже если файлы cookie при этом были удалены). Запуская скрипты, которые обращаются к локальным ресурсам на устройствах людей, сайты могут обнаруживать уникальные паттерны в браузерах пользователей.
Так, среди локально размещенных ресурсов могут быть изображения и файлы, действительно необходимые веб-программами для работы на этом устройстве. Но среди других локальных ресурсов могут оказаться прочие устройства, включая NAS, локально размещенные серверы, файлы общих сетевых принтеров, общие данные сетевых устройств/компьютеров и так далее.
Порой у сайтов есть веские причины для обращения к локальным ресурсам, но чаще дело в обычном злоупотреблении этой возможностью. Так, сайты и локальные веб-приложения часто запрашивают доступ к локальным ресурсам ради фингерпринтинга пользователей и сбора информации о том, какое ПО работает на компьютере посетителя. Разработчики Brave отмечают, что в целом злоупотребления доступом к ресурсам localhost встречаются гораздо чаще, чем случаи, приносящие пользу пользователям.
«Как ни удивительно, большинство браузеров позволяют сайтам получать доступ к этим локальным ресурсам с такой же легкостью, как и к другим ресурсам в интернете», — пишут разработчики Brave.
Создатели Brave объясняют, что почти все основные современные браузеры, включая Chrome и Firefox, позволяют сайтам запрашивать доступ к локальным ресурсам и использовать их без ограничений. Safari блокирует такие запросы, но это является побочным эффектом работы его защитных механизмов, а не умышленными решением разработчиков, направленным на пресечение этой опасной практики.
Для борьбы с этой проблемой в Brave появятся разрешения на доступ к локальному хосту.
«Brave — единственный браузер, который будет блокировать запросы на доступ к ресурсам локального хоста как с безопасных, так и с небезопасных общедоступных сайтов, сохраняя совместимость для сайтов, которым доверяют пользователи, — обещает команда Brave. — Начиная с версии 1.54 (текущая версия 1.52), Brave для десктопов и Android будет оснащен более мощными функциями для контроля за тем, какие сайты могут получить доступ к ресурсам локальной сети и на какое время».
Помимо нового механизма разрешений, Brave будет использовать список фильтров для блокировки скриптов и сайтов, злоупотребляющих доступом localhost. Также браузер будет поддерживать и обновлять список разрешенных доверенных сайтов, которым будет позволено предлагать пользователям разрешить им доступ к ресурсам локальной сети при первом посещении.
Запросы к ресурсам localhost в контексте локального хоста по-прежнему будут осуществляться без специальных разрешений.
