Brave Browser tomará medidas contra los sitios web que espían a los visitantes mediante el escaneo de puertos de Internet abiertos o el acceso a otros recursos de la red que podrían revelar información personal.

A partir de la versión 1.54, Brave bloqueará automáticamente la verificación de puertos del sitio web, una práctica en la que se descubrió que una gran cantidad de sitios web estaban involucrados hace unos años. de acuerdo a Esta lista Compilado en 2021 por el investigador de controladores G666g1e, 744 sitios filtraron puertos de visitantes, la mayoría o todos sin previo aviso o solicitud de permiso. eBay, Chick-fil-A, Best Buy, Kroger y Macy’s estaban entre los sitios infractores.

Algunos sitios usan tácticas similares para tratar de tomar las huellas dactilares de los visitantes para que puedan volver a identificarse cada vez que regresan, incluso si eliminan las cookies de su navegador. Al ejecutar secuencias de comandos que acceden a los recursos locales en las máquinas visitantes, los sitios pueden detectar patrones únicos en el navegador de un visitante. A veces, existen razones benignas para que un sitio acceda a los recursos locales, como detectar inseguridades o permitir que los desarrolladores prueben sus sitios web. Sin embargo, a menudo hay motivos ofensivos o maliciosos involucrados.

La nueva versión de Brave limitará esta práctica. De forma predeterminada, ningún sitio web podrá acceder a los recursos locales. Los usuarios más avanzados que deseen dicho acceso a un sitio específico pueden agregarlo a la lista de permitidos. La interfaz se verá como la captura de pantalla que se muestra a continuación.

Brave continuará usando las reglas de la lista de filtros para bloquear scripts y sitios que se sabe que abusan de los recursos del host local. Además, el navegador incluirá un lista de permitidos Da luz verde a los sitios que se sabe que acceden a los recursos del host local por razones que benefician al usuario.

«Brave eligió implementar la autorización de host local de esta manera de varios pasos por varias razones», dijeron los desarrolladores del navegador. libros. «Es importante destacar que esperamos que el uso indebido de los recursos del host local sea mucho más común que los casos en los que benefician al usuario, y queremos evitar presentar diálogos de permiso a los usuarios con solicitudes que esperamos que solo provoquen daños».

Los puertos y otras actividades que acceden a los recursos locales generalmente se escanean utilizando JavaScript alojado en el sitio web y se ejecutan dentro del navegador del visitante. El principio básico de seguridad web se conoce como Política del mismo origen Impide que JavaScript alojado por un dominio de Internet acceda a datos o recursos de un dominio diferente. Esto evita que el Sitio A malicioso obtenga credenciales u otros datos personales asociados con el Sitio B.

Pero no existe tal restricción para evitar que el dominio visitado acceda a la dirección IP del host local de los visitantes de 127.0.0.1. Esta forma de acceso de origen cruzado ha existido desde que existe la web. Si bien Brave dijo que el navegador Safari de Apple bloqueó algunas formas de acceso localhost, no las bloquea todas. Muchas extensiones de navegador también bloquean dicho acceso.

«Hasta donde podemos decir, Brave es el único navegador que bloquea las solicitudes a los recursos de host local de sitios públicos seguros e inseguros, al mismo tiempo que mantiene una ruta de cumplimiento para los sitios en los que los usuarios confían (en la forma del permiso de host local discutido)» Otro valiente dijo.

El desarrollador del navegador agregó:

Gracias a este «accidente» histórico, se ha creado una pequeña pero significativa cantidad de software al que los sitios web pueden acceder libremente, a menudo de formas que no son visibles para los usuarios. Muchos de estos usos son benignos. Los ejemplos incluyen algunas billeteras de criptomonedas, Programas de seguridad proporcionados por los bancos O empresas de seguridad y dispositivos que utilizan interfaces web específicas para su configuración.

En algunos casos, los navegadores también permiten que los sitios web públicos accedan a los recursos del host local para ayudar a los desarrolladores a probar su software.

Desafortunadamente, existe una amplia gama de software malicioso y dañino para el usuario en la web. El acceso a los recursos del host local se utiliza por motivos maliciosos. Por ejemplo, los scripts de huellas dactilares intentan detectar patrones únicos en otro software que está ejecutando en su dispositivo para volver a identificarlo, y otros scripts intentan identificar e intentar explotar software inseguro y vulnerable en el dispositivo.