L’équipe Brave a annoncé que le navigateur centré sur la confidentialité introduira bientôt de nouveaux contrôles de restriction permettant aux utilisateurs de spécifier la durée pendant laquelle les sites peuvent accéder aux ressources du réseau local.

Les ressources hébergées localement peuvent inclure des images ou des fichiers nécessaires ou utilisés par les programmes Web sur votre appareil. D’autres ressources locales peuvent inclure l’accès aux périphériques de votre réseau, tels que les instances NAS, les serveurs hébergés localement, les fichiers d’imprimante réseau partagés, les données de périphériques/ordinateurs réseau partagés, etc.

Il est courant que les sites Web et les applications Web locales demandent l’accès aux ressources locales aux utilisateurs d’empreintes digitales ou collectent des informations sur les logiciels exécutés sur la machine d’un utilisateur.

« Aussi surprenant que cela puisse paraître, la plupart des navigateurs permettent aux sites Web d’accéder à ces ressources locales aussi facilement qu’ils peuvent accéder à d’autres ressources sur le Web », explique Brave.

Cette pratique est documentée depuis au moins 2020 sur des sites Web tels qu’eBay, Citibank, Chick-fil-A et bien d’autres dans le cadre d’un script anti-fraude utilisé sur les sites associés.

Utilisateurs d’analyse de ports Ebay dans le passé

Brave affirme que tous les principaux navigateurs modernes, y compris Chrome et Firefox, permettent aux sites Web de demander l’accès aux ressources locales et de les utiliser sans restriction.

Safari bloque ces demandes même lorsqu’elles proviennent de sites Web publics sécurisés en tant qu’effet secondaire de ses mesures de sécurité plutôt qu’en tant que décision de conception spécifique visant à mettre fin à cette pratique dangereuse.

Brave introduit une autorisation d’accès localhost pour résoudre ce problème tout en permettant aux sites auxquels ils font confiance d’accéder aux ressources locales pendant une durée limitée.

Nouvelle invite d’autorisation de ressources localhost

« Brave est le seul navigateur qui bloquera les requêtes aux ressources localhost provenant de sites publics sécurisés et non sécurisés, tout en maintenant un chemin de compatibilité pour les sites auxquels les utilisateurs font confiance », promet l’équipe Brave.

« À partir de la version 1.54 (la version actuelle est la v1.52), Brave pour ordinateur de bureau et Android inclura des fonctionnalités plus puissantes pour contrôler quels sites peuvent accéder aux ressources du réseau local et pendant combien de temps. »

Par défaut, aucun site ne sera autorisé à accéder aux ressources de l’hôte local. Les utilisateurs peuvent donc l’accorder manuellement en accédant à « brave://settings/content/localhostAccess » sur le bureau ou à « Paramètres > Paramètres du site > Accès localhost » sur Android.

Outre ce nouveau mécanisme d’autorisation, Brave utilisera des règles de liste de filtres pour bloquer les scripts et les sites qui abusent de l’accès localhost.

Dans le même temps, Brave maintiendra et mettra à jour une liste autorisée de sites de confiance qui seront autorisés à inviter les utilisateurs à leur permettre d’accéder aux ressources du réseau local lors de leur première visite.

Les requêtes aux ressources localhost à partir d’un contexte localhost seront toujours autorisées à passer sans nécessiter d’autorisations spéciales.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *