A equipe Brave anunciou que o navegador focado em privacidade em breve introduzirá novos controles de restrição, permitindo que os usuários especifiquem por quanto tempo os sites podem acessar os recursos da rede local.
Recursos hospedados localmente podem incluir imagens ou arquivos necessários ou usados por programas da web no seu dispositivo. Outros recursos locais podem incluir acesso a dispositivos em sua rede, como instâncias NAS, servidores hospedados localmente, arquivos de impressora de rede compartilhada, dados de dispositivo/computador de rede compartilhada, etc.
É comum que sites e aplicativos locais solicitem acesso a recursos locais para usuários com impressão digital ou coletem informações sobre qual software é executado na máquina de um usuário.
“Por mais surpreendente que seja, a maioria dos navegadores permite que os sites acessem esses recursos locais tão facilmente quanto podem acessar outros recursos na web”, explica Brave.
Essa prática foi documentada desde pelo menos 2020 em sites como eBay, Citibank, Chick-fil-A e muitos mais como parte de um script antifraude usado nos sites associados.
Fonte: StackExchange
Brave diz que todos os principais navegadores modernos, incluindo Chrome e Firefox, permitem que sites solicitem acesso a recursos locais e os usem sem restrições.
O Safari bloqueia essas solicitações, mesmo quando vêm de sites públicos seguros, como um efeito colateral de suas medidas de segurança, em vez de uma decisão de design específica para interromper essa prática perigosa.
A Brave (empresa) está introduzindo uma permissão de acesso localhost para resolver esse problema, enquanto ainda permite que os sites em que confiam acessem recursos locais por um tempo limitado.
Fonte: Brave
“O Brave (navegador) é o único navegador que bloqueará solicitações para recursos do localhost de sites públicos seguros e inseguros, enquanto ainda mantém um caminho de compatibilidade para sites em que os usuários confiam”, promete a equipe Brave.
“A partir da versão 1.54 (atual é v1.52), o Brave para desktop e Android incluirá recursos mais poderosos para controlar quais sites podem acessar recursos da rede local e por quanto tempo.”
Por padrão, nenhum site terá permissão para acessar recursos do localhost, para que os usuários possam dar manualmente acessando “brave://settings/content/localhostAccess” na área de trabalho ou “Configurações > Configurações do site > Acesso local do localhost” no Android.
Além desse novo mecanismo de permissão, o Brave usará regras de lista de filtros para bloquear scripts e sites que abusam do acesso localhost.
Ao mesmo tempo, a Brave manterá e atualizará uma lista de permissões de sites confiáveis que poderão solicitar aos usuários que permitam que eles acessem recursos da rede local em sua primeira visita.
Solicitações para recursos localhost de um contexto localhost ainda poderão passar sem exigir permissões especiais.
Fonte: BleepingComputer
