image

Chrome kan webapps toegang tot lokale file system geven

zondag 22 september 2019, 17:54 door Redactie, 13 reacties

Google werkt aan een nieuwe functionaliteit voor Chrome waardoor webapps straks na toestemming van de gebruiker toegang tot het lokale file system kunnen krijgen om bestanden te lezen en schrijven. Het gaat om de Native File System API waar bijvoorbeeld video- en teksteditors gebruik van kunnen maken.

Gebruikers moeten webapps wel eerst toestemming geven om van de API gebruik te mogen maken. Wanneer deze toestemming is gegeven kan de webapp direct bestanden op het lokale bestandssysteem lezen en schrijven. De API maakt hierbij gebruik van de standaard open en opslaan dialoogvensters van het besturingssysteem. Volgens Google is erbij de ontwikkeling van de API veel aandacht aan het ontwerp besteed zodat mensen eenvoudig hun bestanden kunnen beheren.

Google stelt verder dat het verschillende maatregelen heeft genomen om gebruikers en hun data te beschermen. Zo is het niet mogelijk om in bepaalde mappen bestanden op te slaan, zoals de mappen van het besturingssysteem. Het aanpassen van al bestaande bestanden kan verder alleen met "expliciete toestemming" van de gebruiker. De verleende toestemming is daarnaast eenmalig geldig en moet elke keer bij het starten van de webapp worden gegeven.

Toegang tot sms-berichten

Een andere nieuwe Chrome-functie is de SMS Receiver API. Hiermee kunnen websites toegang tot sms-berichten krijgen die naar de telefoon van de gebruiker zijn gestuurd. Het gaat dan om sms-berichten waarmee websites het telefoonnummer van de gebruiker willen verifiëren. In plaats van dat de gebruiker de via sms verkregen code handmatig moet invoeren of kopiëren en plakken, kan de website die via de SMS Receiver API meteen uitlezen.

De nieuwe functies zijn beschikbaar in de "Origin trials" van de bètaversie van Chrome 78. Via Origin trials kunnen gebruikers nieuwe browserfuncties proberen.

Image

Reacties (13)
22-09-2019, 18:28 door Anoniem
Lijkt mij dus geen goed idee!
22-09-2019, 19:03 door Anoniem
Door Anoniem: Lijkt mij dus geen goed idee!

Goeie onderbouwing ook.

Je browser heeft al toegang tot het file systeem en je moet toestemming verlenen.
22-09-2019, 19:19 door johanw
Zo, dat wordt een nieuwe uitdaging om gaten in te vinden voor de hackbrigade. En niet alleen die trouwens, dit iseen prachtig middel om privacy maatregelen te omzeilen en nog meer gepersonaliseerde reclamezooi te sturen.

Ik voorspel dat deze API binnenkort in het rijtje standaardlekken terecht komt, samen met Flash en lockscreen bypasses op telefoons.
22-09-2019, 21:17 door Anoniem
Wie tegen die API is - geef ik gelijk. Het is een gigantisch slecht idee - malware schrijven wordt dan echt kinderspel.
23-09-2019, 07:07 door SecOps
Het gaat om wt er in dit bericht is verstopt: gezichtsherkenning om verwarde (en ook gezochte volgens de TV versie gisteren bij RTL4) personen. Men gaat met deze wagens ook mensen scannen en tegen databases aan houden. Dit klinkt nu nog onschuldig maar dit is een behoorlijk hellend vlak. Geen Chinese toestanden hier svp!
23-09-2019, 07:59 door spatieman
oh? , ligt google opeens in bed met de china overheid ?
23-09-2019, 08:45 door [Account Verwijderd]
Als ik het zn. app lees denk ik moeiteloos aan een ander zn. Namelijk zeef. Google verbetert daar niets aan.
p.s. Om reacties voor te zijn zoals: "Oh, en hoe zit het dan met je smartphone?"....
Ik heb geen smartphone (en ben toch gelukkig) Raar hè, maar niet heus.
23-09-2019, 09:23 door Reinder
Nou nou niet zo negatief. Het lijkt een hele fraaie feature die het gebruik van veel online tools beter kan maken. Je moet ook niet alle vooruitgang ten goede willen stoppen omdat er ook een risico is dat het misbruikt kan worden. Het risico op misbruik en lekken is er bij zo'n beetje elke feature.
23-09-2019, 09:45 door Anoniem
Laatst bleek het SMS protocol toch ook al jaren "holed".
Google bouwt mee aan mainland China's surveillance grid.
En jij vindt alles maar geweldig. 1 crafted message and you are birdfood. Greets,
#sockpuppet
24-09-2019, 01:25 door Anoniem
Elke browser heeft jaarlijks meerdere beveiligingslekken.
Dat betekent dus ook dat op meerdere momenten een hacker een malafide Word-document in de Documenten-map van een gebruiker kan gaan plaaten, bijv: "aanmaning.docx" of "stout buurmeisje.jpg.exe".
Uiteraard klikt Jan met de pet daar op uit nieuwschierigheid, het staat immers op zijn eigen veilige computer toch?
De nadelen lijken mij groter dan de voordelen. Hopelijk stapt de massa over op Edge met Chromium zodra deze af is (of naar Firefox).
24-09-2019, 11:13 door Anoniem
It's not a bug, it's a FEATURE!

Nou ja, chrome gebruikte ik toch al niet...
24-09-2019, 12:31 door Anoniem
Door johanw: Zo, dat wordt een nieuwe uitdaging om gaten in te vinden voor de hackbrigade. En niet alleen die trouwens, dit iseen prachtig middel om privacy maatregelen te omzeilen en nog meer gepersonaliseerde reclamezooi te sturen.

Ik voorspel dat deze API binnenkort in het rijtje standaardlekken terecht komt, samen met Flash en lockscreen bypasses op telefoons.

Dit is meer een feature die goed is voor social engineering.
25-09-2019, 09:00 door Krakatau - Bijgewerkt: 25-09-2019, 09:00
Door Reinder: Nou nou niet zo negatief. Het lijkt een hele fraaie feature die het gebruik van veel online tools beter kan maken. Je moet ook niet alle vooruitgang ten goede willen stoppen omdat er ook een risico is dat het misbruikt kan worden. Het risico op misbruik en lekken is er bij zo'n beetje elke feature.

Dat vind ik ook. En ze moeten niet stoppen bij het filesysteem maar ook in toegang tot andere hardware gaan voorzien. Dan zouden fabrikanten in de toekomst voor het updaten van firmware van bv. usb-apparaten niet meer een versie per besturingssysteem moeten maken, maar nog slechts één versie in de vorm van een webapp.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.