Firefox прекращает поддержку API датчиков


Mozilla решила удалить два стандарта W3C в Firefox. Вы можете согласиться с его оценкой рисков, но это тревожное время, когда производители браузеров могут выбирать, какие стандарты безопасны для использования.

Как программист, вы можете согласиться с тем, что песочница браузера и расстояние, которое она устанавливает между вами и оборудованием, раздражают. Идея о том, что браузер — это операционная система, для которой вы пишете, является привлекательной, и если бы браузер был таким же мощным, как и операционная система, не было бы различия между собственными приложениями и веб-приложениями.

Еще в те дни, когда Mozilla пыталась сделать Firefox ОС, добавлялось множество новых аппаратных API, чтобы обеспечить доступ к оборудованию, необходимому для написания приложений для телефона. Это было интересное время, потому что большинство этих новых API не входили ни в один стандарт.

Теперь Mozilla решила отказаться от API-интерфейсов Ambient Light и Proximity Sensor. В настоящий момент эти API отключены по умолчанию в текущей ранней бета-версии / DevEdition и будут отключены в Firefox 62.

Причина отключения этих API-интерфейсов заключается в том, что оба они были обвинены в проблемах с безопасностью. Доводы против API датчика приближения кажутся довольно слабыми — просто основная идея, что если данные можно использовать для профилирования пользователя, так оно и будет. Аргументы против API датчика внешней освещенности более веские. С его помощью злоумышленник может определить цвет текущего экрана, что может привести к утечке информации о том, какую веб-страницу просматривал пользователь. Более реалистично вы могли бы написать программу, которая показывала URL-адреса по одному, используя разные стили для посещенного и непосещенного состояний, а затем просто проверяла цвет, чтобы определить, посещал ли пользователь URL-адрес. Менее практичной является идея, что изображение или QR-код можно обнаружить, отображая каждый пиксель по очереди размером с экран и проверяя цвет.

Решение в обоих случаях — снизить точность измерения и ограничить скорость доступа. Вместо этого Mozilla добавила флаги, которые по умолчанию отключают оба API, и в будущем API ориентации устройств также будет устаревшим. Будут ли в будущем удалены API-интерфейсы, неясно, и, вероятно, это зависит от того, что W3C сделает для внесения поправок в стандарты.

По крайней мере две из этих кнопок не будут работать в ближайшем будущем, а некоторые другие могут последовать за ними.

Ваше мнение о подходе Mozilla, вероятно, зависит от того, как вы оцениваете серьезность угрозы и насколько она повлияет на любые приложения, над которыми вы работаете. Интересно, что Mozilla очень заинтересовалась новым API Proximity, когда он разрабатывался.

Это указывает на то, что производители браузеров становятся все более категоричными в отношении того, как браузеры должны работать; Microsoft, Google и Apple, в основном, чтобы защитить свои бизнес-интересы, и Mozilla, пытаясь быть откровенно хорошим парнем. Было бы неплохо сказать, что работа разработчика браузеров заключалась в создании чего-то, что было бы настолько стандартным, насколько это возможно, но при этом игнорировалась бы несовершенная работа разработчиков стандартов. Это также подчеркивает, насколько сложно создать безопасную и надежную систему, потому что изобретательность мужчины или женщины не знает границ.


Добавить комментарий