Brave

Brave チームは、プライバシーを重視したブラウザに、ユーザーがサイトがローカル ネットワーク リソースにアクセスできる期間を指定できる新しい制限制御を間もなく導入すると発表しました。

ローカルでホストされているリソースには、デバイス上の Web プログラムで必要または使用される画像やファイルが含まれる場合があります。他のローカル リソースには、NAS インスタンス、ローカルでホストされているサーバー、共有ネットワーク プリンター ファイル、共有ネットワーク デバイス/コンピューター データなど、ネットワーク上のデバイスへのアクセスが含まれる場合があります。

Web サイトやローカル Web アプリでは、ユーザーのフィンガープリントを行うためにローカル リソースへのアクセスを要求したり、ユーザーのマシンで実行されているソフトウェアに関する情報を収集したりするのが一般的です。

「驚くべきことかもしれませんが、ほとんどのブラウザでは、Web サイトが Web 上の他のリソースにアクセスするのと同じくらい簡単に、これらのローカル リソースにアクセスできるようになります」とBrave 氏は説明します

この行為は、 少なくとも 2020 年以降、 eBay、Citibank、Chick-fil-A などの Web サイトで、関連サイトで使用される詐欺対策スクリプトの一部として文書化されています。

過去に eBay ポートスキャンを行ったユーザー
過去に eBay ポートスキャンを行ったユーザー
出典: StackExchange

Brave 氏によると、Chrome や Firefox を含むすべての主要な最新ブラウザでは、Web サイトがローカル リソースへのアクセスをリクエストし、それらを制限なく使用できます。

Safari は、この危険な行為を阻止するための特定の設計上の決定ではなく、セキュリティ対策の副作用として、安全な公開 Web サイトからのリクエストであっても、これらのリクエストをブロックします。

Brave は、この問題に対処するために、ローカルホストのアクセス許可を導入していますが、信頼できるサイトが限られた時間内でローカル リソースにアクセスすることを引き続き許可しています。

新しいローカルホストリソースの許可プロンプト
新しいローカルホストリソースの許可プロンプト
出典: ブレイブ

「Brave は、ユーザーが信頼するサイトへの互換性パスを維持しながら、安全なパブリック サイトと安全でないパブリック サイトの両方からの localhost リソースへのリクエストをブロックする唯一のブラウザです」と Brave チームは約束します。

「バージョン 1.54 (現在は v1.52) 以降、デスクトップおよび Android 用 Brave には、どのサイトがどのくらいの期間ローカル ネットワーク リソースにアクセスできるかを制御するための、より強力な機能が含まれます。」

デフォルトでは、localhost リソースへのアクセス許可はどのサイトにも付与されないため、ユーザーはデスクトップの「brave://settings/content/localhostAccess」または Android の「設定 > サイト設定 > Localhost Access」に移動して手動で許可を与えることができます。

この新しい許可メカニズムに加えて、Brave はフィルター リスト ルールを使用して、ローカルホスト アクセスを悪用するスクリプトとサイトをブロックします。

同時に、Brave は、ユーザーが最初にアクセスしたときにローカル ネットワーク リソースへのアクセスを許可するよう求めることができる信頼できるサイトの許可リストを維持および更新します。

localhost コンテキストから localhost リソースへのリクエストは、特別なアクセス許可を必要とせずに引き続き通過できます。