铬开发人员希望浏览器能够直接与设备、计算机进行对话

谷歌的Chromium团队提出了一种方法，允许网络应用程序建立直接的TCP和UDP网络连接，这一强大的功能可能会使网络安全变得复杂。

Raw Sockets API最终可能更名为Direct Sockets API，它代表着一种尝试，即赋予浏览器应用程序联网功能，而这些功能是通过HTTP、WebSockets和WebRTC等数据传输选项无法实现的。它基本上允许浏览器通过网络与设备和其他计算机直接对话。

铬工程师埃里克·威利格斯(Eric Willigers)周三宣布了制作API原型的计划。假设测试进展顺利，我们的目的是在Chrome操作系统正式发布之前推出Chrome OS技术。

威利格斯解释说，许多网络设备在TCP或UDP上使用自己的协议，而不是使用HTTPS或与WebSockets兼容的服务器。与WebUSB、WebMIDI和WebBluetooth一样，此API允许Web应用程序与本地设备和信息系统通信。

浏览器插件技术，如ActiveX、Java applet和Microsoft Silverlight在过去就提供了这种连接。但这些已经失宠，很大程度上是由于安全问题。

原始/直接套接字API将允许Web应用程序通过SSH、RDP和IRC等协议与打印机和工业设备以及各种传统系统进行通信。它有可能实现更好的基于分布式哈希表的分散对等路由的Web邮件客户端和应用程序。

它还可能扩大浏览器攻击面。正如Willigers在他的Raw/Direct Sockets文章中指出的那样，2008年曾提出过类似的建议，但由于存在滥用的可能性，该计划从未实现。

解说员试图从一开始就解决可能存在的问题，列举各种风险并提出潜在的缓解措施。风险包括：

将套接字API调用插入网页或劫持明文连接的MITM攻击。

API还可能被用来侵犯Chromium浏览器用户的隐私，在网站定期加载数十个跟踪器的环境中，这种情况甚至已经存在。

谷歌的软件工程师让人觉得风险似乎是可以管理的。隐私研究员兼顾问卢卡斯·奥莱伊尼克(Lukasz Olejnik)在Twitter上发帖指出，在浏览器中构建高级网络功能可能存在问题，谷歌高级员工软件工程师亚历克斯·罗素(Alex Russell)在Twitter上回应称，请注意，Chrome应用程序和扩展已经提供了这一功能，在任何情况下，我们都不会像糖果一样分发给任何提出良好要求的网站；(API)将有更高的使用门槛。

Mozilla员工安全工程师阿普丽尔·金对拟议中的弹出式界面提出了类似的怀疑，浏览器将呈现该界面，以防御秘密连接。浏览器将提示用户指定主机名或IP地址，并带有一个复选框以授权将来连接到主机。

谷歌Chrome工程总监贾斯汀·舒尔(Justin Scheh)提出输入机制是为了防止滥用，当他被要求进一步解释时，金回答说，浏览器曾经有过要求用户输入文本的许可对话框吗？老实说，在所有的计算领域里，我想不出有多少。

不管许可提示最终是如何实现的，网络开发人员中至少有一些人支持这个想法。

舒赫说，IT管理员依赖于超级狡猾、维护不善的本地软件，这些软件以更高的权限运行，而且经常充满漏洞。如果我们能让这类用例在网络上安全地工作，那将是对现状的巨大改善。

对此，金打趣地说，我担心的不是那些超级狡猾、维护不善的本地软件。现在离恶意套接字连接只有一步之遥的是超级狡猾、维护不善的服务器软件。

Scheh，没有被吓倒，建议在APIs GitHub回购中发布任何关注的问题帖子。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分