Brave团队近日宣布，以隐私为中心的浏览器将引入新的限制控制，允许用户指定站点访问本地网络资源的时间。 本地托管的资源包括你设备上的网络程序需要或使用的图像或文件，其他本地资源包括对你网络上的设备访问，如NAS实例、本地托管服务器、共享网络打印机文件、共享网络设备/计算机数据等。 网站和本地网络程序请求访问本地资源，是为了便于收集用户机器上运行的软件信息，这个操作很常见。 Brave方面表示，虽然这十分令人惊讶，但大多数浏览器都允许网站访问这些本地资源，就像它们访问网络上的其他资源一样容易。而且至少从2020年起，这种做法就被已经被记录在eBay、花旗银行、Chick-fil-A等网站上，作为相关网站上使用的反欺诈脚本的一部分。 Ebay过去的端口扫描用户（来源：StackExchange） Brave方面称，所有现代的浏览器，包括Chrome和Firefox，都允许网站请求访问本地资源，并且不受限制地使用它们。 Safari倒是会阻止这些请求，即便这些请求是来自安全的公共网站。但这是其安全措施的一个副作用，而不是阻止这种危险做法的具体设计决定。 目前，Brave正在引入一个本地主机访问权限来解决这个问题，同时仍然允许他们信任的网站在有限时间内访问本地资源。 新增本地主机资源权限提示（来源：Brave） “Brave是唯一能够阻止来自安全和不安全的公共网站对本地主机资源的请求的浏览器，同时仍然保持对用户信任的网站的兼容路径，”Brave团队承诺说。 从1.54版本开始（目前是1.52版本），Brave的桌面版和安卓版将包括更强大的功能，比如控制哪些网站可以访问本地网络资源，以及访问的时间。 默认情况下，没有网站会被授予访问本地主机资源的权限，因此用户可以通过在桌面上的 “Brave://settings/content/localhostAccess “或在安卓上的 “Settings > Site settings > Localhost Access “手动给予权限。 除了这个新的许可机制，Brave将使用过滤列表规则来阻止滥用本地主机访问的脚本和网站。同时，Brave还将维护和更新可信网站的允许列表，在用户第一次访问时，将提示用户是否允许他们访问本地网络资源。 不过那些针对本地主机资源的请求仍将被允许通过，而不需要特殊的权限。   转自 Freebuf，原文链接：https://www.freebuf.com/news/370638.html 封面来源于网络，如有侵权请联系删除

近日，德国计划强制要求在政府网络中使用安全、现代的网络浏览器，并公布了最低标准提案的意见征求稿。 德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案，希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能，可阻止或减轻各种常见的基于Web的攻击。 提议的标准涵盖桌面和移动浏览器，而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。 意见征询后，BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器，例如现已弃用的Internet Explorer。 BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS（HTTP严格传输安全）。 浏览器还需要支持自动更新机制，只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP)，以便文档和脚本无法访问其他网站的资源，例如文本和图形。 事实上，所有现代浏览器都已经非常安全（忽略隐私），它们中的大多数共享完全相同的引擎（编者：例如开源的Chromium），因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出：“总的来说，浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。” 他补充说，此举的目的更多是为了提高政府IT的安全性，而不是改变浏览器的设计方式。但是，他警告说，某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/45880 封面来源于网络，如有侵权请联系删除