Brave、ウェブサイトのローカルホストリソースアクセスをコントロール可能にする計画

headless 曰く、

Brave が今後リリースするバージョン 1.5.4 以降のデスクトップ版 / Android 版 Brave ブラウザーで、ユーザーがウェブサイトによるローカルホストリソースへのアクセスをコントロール可能にする計画を示している。メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる
(Brave のブログ記事、
Ars Technica の記事、
Ghacks の記事、
BleepingComputer の記事)。

ウェブサイトによるローカルホストリソースアクセスが可能になっているのは、プライバシーが重視されていなかった時代の名残だという。ウェブインターフェイスを通じたハードウェアの設定など、ユーザーに利益をもたらす形での利用もみられるが、ポートスキャンによるユーザーのフィンガープリンティングや攻撃の入り口となる脆弱性検出など、悪意ある利用も多い。

そのため、既に Brave では悪意を持ってローカルホストリソースをスキャンすることが知られているスクリプトをブロックするフィルターや、ローカル以外でホストされたウェブサイトによるローカルホストリソースへのアクセスをブロックするフィルターを使用しているそうだ。

さらに今後は「ローカルホスト」アクセス権限を追加するほか、ユーザーに利益をもたらすローカルホストリソース利用が知られている「信頼済み」サイトのリストを同梱し、ローカルでホストされたページからのローカルホストリソースアクセスを自動で許可する機能の追加も行う計画とのこと。

当面「ローカルホスト」アクセス権限を要求するプロンプトは「信頼済み」サイトが初めてローカルホストリソースへアクセスするときにのみ表示され、その他のサイトによる要求は許可しない。これは一般ユーザーに理解できるようローカルホストリソースを説明するのが難しいためで、うまく説明できるようになったらその他のサイトにもアクセス権限の要求を許可する計画とのことだ。