it-swarm-es.com

Permitir un sitio web MIDI acceso desde Chrome

Un sitio web de video que ocasionalmente uso se ha silenciado. Recibí este mensaje para darle a este sitio web MIDI acceso:

MIDI Access

¿Es seguro conceder esto? Youtube y otros sitios web todavía reproducen sonido sin ningún permiso especial, pero no estoy seguro de cuáles serían los riesgos si lo permitiera.

2
Jedi

Es mayormente seguro , a menos que se haya encontrado un nuevo exploit recientemente.

Tienes razón en preocuparte. Ha habido exploits usando MIDI, como este en Windows , y este en Chrome , los cuales fueron particularmente desagradables. Ambos han sido reparados por algún tiempo, pero nunca se sabe cuándo se descubrirá un nuevo ataque.

Personalmente, no lo permitiría a menos que realmente quisiera escuchar la música, y dado que es MIDI y no WAV o MP3, probablemente sea bastante horrible.

3
John Wu

Es importante saber que el audio no pasa por MIDI. MIDI es un transporte para comandos que pueden activar el audio. Un ejemplo literal es que tienes un teclado musical que no produce sonido. Pero está enchufado en una caja que produce sonido. Entonces el teclado pasa comandos para activar los sonidos y poder controlar las notas, el tono, las octavas, etc. Este transporte puede enviar (salir), recibir (entrar) o pasar (a través) de estos comandos. Tenga en cuenta que estos son comandos específicos y no un código real.

Lo que no puede hacer es pasar el audio, especialmente el audio asociado con un video. Entonces, a menos que este sea un sitio en el ámbito del envío de estos comandos para emitir sonidos como un sintetizador en línea o tal vez incluso un sitio de guía de música, no estoy seguro de cuáles son sus intenciones para usar esto.

También es posible que este sea un sitio mal creado y se haya implementado por accidente. Chrome solicitará acceso a MIDI independientemente de si se llama a la API.

Si bien no conozco ningún exploits actual que use esta función, hay dos CVE anteriores que conozco. CVE-2015-6792 y CVE-2015-6765 podrían hacer un ataque de servicio de denegación, bloquear el navegador y posiblemente lograr la ejecución de código arbitrario fuera del sandbox. Sin embargo, ambos requieren versiones anteriores de Chrome como 46 o 47.

Entonces, su riesgo intencional es que puede enviar/leer comandos a las interfaces conectadas MIDI. Pero los comandos deben ser específicos y no dañinos en sí mismos. Sin embargo, todavía está permitiendo comandos.

El riesgo intencional podría ser un problema si tiene el teclado de su computadora configurado como un controlador MIDI y el sitio lee estos comandos. Como resultado, puede actuar como un keylogger. Sin embargo, ganó ' t envíe caracteres y enviará comandos como 1111111 o 7F y ninguno corresponderá como la letra y el número que presionó. Pero, en teoría, si el atacante sabía cómo se mapearon en su teclado, se pueden cruzar referencias y traducir a lo que escribió. Sin embargo, es un escenario altamente improbable.

Su riesgo involuntario es un exploit como los CVE mencionados anteriormente que aprovechan para ejecutar cualquier código. Sin embargo, este es un riesgo que corre con el uso de una función de navegador que acepta la entrada de un sitio.

En general, no hay suficiente información para saber si este es un uso legítimo de esta API. Tendrá que usar su mejor criterio si esta funcionalidad es necesaria para su propósito del sitio y qué tan bien confía en este sitio también.

2
Bacon Brad