È corretto. HTML5 espone l'API getUserMedia
per accedere alle risorse multimediali sull'host.
Vedi qui per un'implementazione di riferimento. Questo è il codice in azione: link
In termini di ciò che le specifiche dicono sulla sicurezza, citando da questo sito web :
Security
Some browsers throw up an infobar upon calling getUserMedia(), which gives users the option to grant or deny access to their camera/mic. The spec unfortunately is very quiet when it comes to security.
Permission dialog in Chrome:
If your app is running from SSL (https://), this permission will be persistent. That is, users won't have to grant/deny access every time.
Questo è il problema per implementare il supporto delle autorizzazioni nelle specifiche stesse: link
Tuttavia, in pratica, tutti i browser standard richiedono l'autorizzazione tramite una casella popup (o una barra informazioni) prima di accedere alle risorse multimediali. Quindi, per quanto si usa un browser moderno, dovrebbe chiedere il permesso.
Se si utilizza un browser non standard, versione modificata della shell chromium o app electronjs / nwjs basate su desktop, è possibile che il browser non richieda il permesso, ma anche in questo caso tutte le altre garanzie di sicurezza fornite dai browser moderni (ad esempio, l'auditor XSS, CORS, la stessa politica di origine, ecc.) sono valide.