Med utvidet tilgang til fil­systemet kan web­apper snart erstatte Notepad

[Harald Brombach (digi.no)]

Med utvidet tilgang til fil­systemet kan web­apper snart erstatte Notepad

[sedsberg]

Gi internett tilgang til filsystemet? Ser ikke hva som kan gå galt her.

[HK76]

Det er javascript. Det kjører lokalt på din egen maskin, selv om det er levert gjennom en nettleser.

[John-B]

13 minutes ago, HK76 said:

Det er javascript. Det kjører lokalt på din egen maskin, selv om det er levert gjennom en nettleser.

Dette har jo alltid vært mulig, det nye her er vel at den skal kunne åpne og lese filer direkte fra hardisken din. Som jo høres ut som en oppskrift på katastrofe.

[tommyb]

Det er jo bra at man aldri ser feil med sandbokser, da.

Dette høres ut som en usedvanlig farlig idé.

Uansett hvor fristende dette er og alltid har vært, har de som lager og pusher nettlesere siden sånn omtrent 1993 aktivt valgt å styre unna å gi websider tilgang til harddisken din. De syntes ikke det var verd risikoen. Risikoen nå er bare blitt større, siden funksjonaliteten i nettleser/sandboks bare blir mer og mer kompleks - gjerne mens de tilstøtende APIene og DLLene i populære operativsystemer bare blir eldre og eldre.

 

Endret 3. juni 2020 av tommyb

[GeirGrusom]

Har de tenkte dette igjennom? Er det en risiko her for at helt eksempelvis brukernavnet til innlogget bruker kan bli plukket opp av API-et ved å helt eksempelvis be brukeren om å velge sin egen home mappe?

Kan dette føre til at drive-by script som reklame får muligheten til å dumpe eksekverbare kode på disk eller kryptere data til legtigime websider?

Hele hensikten med dette API-et er å gå ut av sandkassa til nettleseren og det høres ut som et vanvittig sikkerhetsproblem.