Pagina Web che accede al sistema locale tramite l'API HTTP localhost

0

Ho visto questo modello che consente alle pagine web di interagire con le risorse del sistema locale attraverso un'interfaccia HTTP e ho un paio di domande a riguardo:

  1. Come si chiama questo modello?
  2. Quali raccomandazioni esistono per l'implementazione di questo modello?
  3. Quali sono le implicazioni sulla sicurezza?

In sostanza, il requisito è accedere a una risorsa locale sul computer degli utenti, ad esempio un dispositivo USB. Il modello è il seguente:

  1. All'utente viene richiesto di scaricare un eseguibile.
  2. L'eseguibile espone un servizio su link .
  3. La pagina Web di controllo gestisce l'UI / UX e comunica con il servizio tramite http.

Il servizio di aggiornamento di Bose è un esempio. Vai al link e ti viene richiesto di scaricare e installare l'aggiornamento di Bose.

Lapaginainiziaainterrogarelocalhostericeveunerroreditimeout.Dopol'installazione,laconnessionehaesitopositivoelapaginacambia:

EccounodegliURLelarisposta:

http://localhost:49312/updater/getUpdaterVersion?callback=BoseUpdater.remoteCallback&token=T187369b21bf6BoseUpdater.remoteCallback("T187369b21bf6",{"version" : "3.0.1.1891"},0);
    
posta mattgrogan 17.02.2018 - 20:35
fonte

1 risposta

-1

Il port forwarding è il nome:

TL;DR

Port forwarding enables you to view content from your development machine's web server on your Android device.

If your web server is using a custom domain, you can set up your Android device to access the content at that domain with custom domain mapping.

Nello scenario sopra, sei connesso a link sulla porta 80. Dopo aver stabilito una connessione con la porta localhost 49312, la risposta è rimandato al link sulla porta 80.

Per accedere a una risorsa, qualsiasi server HTTP può mappare un file o una directory in un URL. In questo caso, il programma di installazione di Bose conosce il percorso in base ai metadati del programma di installazione. Ad esempio, ecco come farlo in httpd:

There are frequently circumstances where it is necessary to allow web access to parts of the filesystem that are not strictly underneath the DocumentRoot. httpd offers several different ways to accomplish this. On Unix systems, symbolic links can bring other parts of the filesystem under the DocumentRoot. For security reasons, httpd will follow symbolic links only if the Options setting for the relevant directory includes FollowSymLinks or SymLinksIfOwnerMatch.

Alternatively, the Alias directive will map any part of the filesystem into the web space. For example, with

Alias "/docs" "/var/web"

l'URL link verrà pubblicato da /var/web/dir/file.html. La direttiva ScriptAlias funziona allo stesso modo, con l'ulteriore effetto che tutto il contenuto situato nel percorso di destinazione viene trattato come script CGI.

I rischi per la sicurezza dipendono dal sistema operativo e dalla sua configurazione:

The risk from these attacks resides in the systems in which your applications run, as opposed to the runtime itself. If an attacker manages to run malicious code on an unpatched OS, they may be able to access memory and or data that they should not have access to. We strongly recommend to update your system to use the latest fixes available for each OS.

XAMPP installers are not affected by these vulnerabilities. Only the new XAMPP VM for OS X that uses a Debian virtual machine.

Riferimenti

risposta data 21.08.2018 - 03:27
fonte