Malwarebytesは7月3日(米国時間)、「Brave browser will prevent websites from port scanning visitors」において、新たなセキュリティ機能がBraveブラウザに追加されると報じた。Webサイトによるローカルホストのリソースアクセスやポートスキャンをブロックする機能が、Braveバージョン1.54から導入されることが明らかにされている。
-
Brave browser will prevent websites from port scanning visitors
ここでいうポートスキャンとは、コンピュータネットワークをスキャンしてオープンポートを探し出し、それを悪用することで不正アクセスを行ったり、潜在的なシステムの脆弱性に関する情報を収集したりすることを指す。スキャン自体はデフォルトでは悪意のある行為ではないとされ、例えば、組織のITチームがすべてが期待通りに機能していることを確認し、見落とされているかもしれない潜在的なギャップを埋めるためにスキャンを行う場合もあるという。
Braveが取り組んでいるこの問題は、一般的なブラウザの動作に関連するものとされている。ブラウザに表示されるコンテンツの多くはWebから取得されているが、一部はクライアント側のソフトウェアによって提供されているものもある。ブラウザはクライアントのリソースにアクセスできるよう許可されており、逆にWebサイトにアクセスできるように作られたソフトウェアも存在する。多くのソフトウェアは無害とされているが、一部の不正なソフトウェアがローカルホストのリソースへのアクセスを利用して悪さをする可能性があると指摘している。
Braveバージョン1.54以降で追加予定のセキュリティ機能は次のとおり。
- localhostコンテキストからlocalhostリソースへのリクエストは、引き続き自動的に許可される
- 引き続きフィルタリストルールを使用し、ローカルホストのリソースを悪用するスクリプトやサイトをブロックする
- 「localhost」という新たなパーミッションを追加する。このパーミッションを持つサイトのみが、ローカルホストのリソースに対してサブリソースのリクエストを行える。デフォルトではどのWebサイトもこのパーミッションを持っておらず、ほとんどのWebサイトはこのパーミッションをユーザーに促す方法を持っていない。ただし、上級ユーザーであればブラウザの設定を通じてWebサイトにこのパーミッションを与えることができる
- 信頼済みのWebサイト、つまりローカルホストのリソースにアクセスすることが許可されているWebサイトのリストも含まれる。このリストにあるWebサイトが初めてローカルホストのリソースにリクエストする際、「localhost」のパーミッションのプロンプトが表示される。リストは一般公開され、Braveによって管理される
他のWebブラウザがBraveのようにローカルホストのリソースをブロッキングする機能を追加するかどうかはまだ不明だが、導入されることが期待されている。
