Google pracuje nad ciekawą funkcją – pełnym dostępem do urządzeń USB dla stron internetowych w przeglądarce Chrome. Wymaga to oczywiście specjalnych zabezpieczeń.
Strony internetowe mogą uzyskać dostęp do urządzeń USB za pomocą interfejsu programistycznego WebUSB. To API dla aplikacji w JavaScripcie, które pośredniczy w dostępie do urządzeń podłączonych do komputera przez USB.
Specyfikacja WebUSB przewiduje, że pewne klasy urządzeń są chronione przed stronami internetowymi z powodów bezpieczeństwa, by nie zostały wykorzystane przez szkodliwe skrypty i by nie było możliwe wykradanie z nich danych. Chronione klasy to między innymi urządzenia HID (klawiatura, mysz, kontrolery itp.), dźwiękowe, wideo, dyski zewnętrzne i karty pamięci. Dodatkowo są pewne urządzenia, do których dostęp jest na stałe zablokowany: sprzętowe klucze zabezpieczające (YubiKey, Google Titan, Feitian itp.), używane w autoryzacji wieloskładnikowej.
Zobacz: Nowości w przeglądarce Google. Takie rozwiązania doceni każdy
Te ograniczenia mają sens, jeśli można dostać się do wymienionych wyżej urządzeń w inny sposób. Jednak łatwo wyobrazić sobie scenariusze, w których dobrze by było mieć dostęp np. do karty pamięci bezpośrednio z przeglądarki – na przykład na Chromebooku.
Google zamierza umożliwić szerszy dostęp do urządzeń podłączanych przez USB z aplikacji webowych. Funkcja będzie nazywać się Unrestricted WebUSB i pozwoli zdjąć zabezpieczenia narzucone przez interfejs WebUSB.
Będzie to jednak wymagało działań zabezpieczających na innym poziomie. Mianowicie strony internetowe z szerszym dostępem do USB będą działać w izolacji. Nie będą więc działać „na żywej stronie”, ale zostaną spakowane, podpisane kryptograficznie przez dewelopera i wysyłane do przeglądarki użytkownika, gdzie zostaną zweryfikowane przed uruchomieniem. To pozwala ochronić je między innymi przed atakami typu XSS (cross-site scripting). Zmiana pozwoli na szersze zastosowanie aplikacji przeglądarkowych w zaufanym otoczeniu – na przykład w firmach lub przy używaniu aplikacji Google.
Nową funkcję będziemy mogli przetestować w Gogole Chrome 128, którego wydanie jest planowane na sierpień 2024 roku.
Źródło zdjęć: daniiD / Shutterstock, PixieMe / Shutterstock
Źródło tekstu: Chrome Platform Status, WICG, BleepingComputer, własne