Autoriser un site Web MIDI Accès de Chrome
Un site Web vidéo que j'utilise occasionnellement est allé muet. J'ai reçu cette invite pour donner ce site Web MIDI Accès:
Est-ce sécuritaire d'accorder? YouTube et d'autres sites Web jouent toujours du son sans aucune autorisation spéciale, mais je ne sais pas quels sont les risques que les risques soient si je le permettez.
C'est surtout sûr , à moins que un nouvel exploit ait été trouvé récemment.
Vous avez raison de vous inquiéter. Il y a eu des exploits utilisant MIDI, comme - celui-ci sous Windows et celui-ci en chrome , dont tous les deux étaient particulièrement méchants. Ils ont tous deux été corrects pendant un certain temps, mais vous ne savez jamais quand une nouvelle attaque sera découverte.
Personnellement, je ne l'autoriserais pas à moins que je voulais vraiment entendre la musique-- et étant donné que c'est MIDI et non WAV ou MP3, c'est probablement assez horrible.
Il est important de connaître l'audio ne traverse pas MIDI. =MIDI== Un transport pour les commandes pouvant activer l'audio. Un exemple littéral est que vous avez un clavier musical qui ne fait aucun son. Mais il est branché dans une boîte qui fait du son. Alors le clavier passe des commandes. Pour activer les sons et peut contrôler les notes, la tonalité, les octaves, etc. Ce transport peut envoyer (OUT), recevoir (IN) ou passer (à travers) ces commandes. Prenez note que ce sont des commandes spécifiques et pas vraiment du code réel.
Ce qu'il ne peut pas faire, c'est passer audio, en particulier l'audio associé à une vidéo. Donc, à moins que ce soit un site dans le domaine de l'envoi de ces commandes pour faire des sons comme un synthe en ligne ou peut-être même un site de guide de musique, je ne suis pas sûr de quoi leur intention d'utiliser cela.
Il est également possible qu'il s'agisse d'un site mal créé et a été mis en œuvre sur un accident. =Chrome demandera l'accès à MIDI Appareils indépendamment, car l'API est appelée.
Bien que je ne connaisse aucun exploitation actuel en utilisant cette fonctionnalité, il y a deux cves précédentes que je suis au courant. CVE-2015-6792 et CVE-2015-6765 Pourrait à la fois une attaque de service de déni, écraser le navigateur et éventuellement obtenir l'exécution de code arbitraire en dehors du sable du bac à sable. Cependant, les deux nécessitent les anciennes versions de Chrome tel que 46 ou 47.
Donc, vos risques intentionnels sont que vous pouvez avoir des commandes envoyées/lire aux interfaces connectées MIDI. Mais les commandes doivent être spécifiques et ne pas nuire à eux-mêmes. Mais vous autorisez toujours les commandes non plus.
Le risque intentionnel pourrait être un problème si vous avez la configuration de votre clavier de votre ordinateur en tant que MIDI et le site lit ces commandes. En conséquence, il peut agir comme un keylogger. Cependant, il a gagné ' t Envoyez des caractères et enverra des commandes telles que 11111111 ou 7F et ne correspondra pas non plus comme la lettre et le numéro que vous avez enfoncé. Mais théoriquement si l'attaquant savait comment ils ont été cartographiés sur votre clavier, ils peuvent être croisés et traduits à ce que vous avez saisi. Ce est un scénario hautement improbable cependant.
Votre risque involontaire est un exploit comme les cves mentionnées précédemment en tirant parti de gérer n'importe quel code. Il s'agit d'un risque que vous prenez avec n'importe quelle utilisation d'une fonctionnalité de navigateur accepte la saisie d'un site cependant.
Globalement, il n'y a pas assez d'informations pour que cela puisse dire s'il s'agit d'une utilisation légitime de cette API. Vous devrez utiliser votre meilleur jugement si cette fonctionnalité est requise pour votre but du site et de la manière dont vous faites confiance à ce site.