2015-05-23 2 views
2

Per первоначального предложения, в отношении "Prefer Secure Origins For Powerful New Features"Почему рабочие службы работают только по HTTPS?

«Особенно мощный» будет означать такие вещи, как: особенности, которые обрабатывают персональную информацию, особенность, которые обрабатывают информацию высокой стоимости, как учетные данные или платежные инструменты, функции, которые обеспечивают происхождение с контролем над надежным/собственным пользовательским интерфейсом UA, доступом к датчикам на устройстве пользователя или, как правило, любой функцией, которую мы предоставим пользователю или разрешающим пользователю разрешению или привилегии. Пожалуйста, обсудите!

«Особенно мощный» не означал бы таких вещей, как: новые функции рендеринга и макета, селектор CSS, безобидные JavaScript-API, такие как showModalDialog и т. П. Я ожидаю, что большая часть новой работы в HTML5 подходит для этой категории. Пожалуйста, обсудите!

Однако по какой-либо причине работники службы были брошены в первую категорию. Есть ли каноническая причина, почему это произошло?

+0

@close voter, я спрашиваю об официальных причинах, почему это было классифицировано как таковое (возможно, обсуждение публичного списка рассылки w3.org или что-то еще), * не * о том, что случайные люди думают *. –

ответ

4

Джейк Арчибальд из Google в официальном обслуживания работников проекта спецификации sandbox, позже cited Мэтт Гонт из HTML5ROCKS утверждает, что

Использование работником службы вы можете перехватывать соединения, изготовлять и ответы фильтра. Мощный материал. Пока вы будете использовать эти силы навсегда, человек-в-середине не может. Чтобы этого избежать, вы можете зарегистрироваться только для сервисных работников на страницах, обслуживаемых HTTPS, поэтому мы знаем, что работник службы, который получает браузер, не был взломан во время своего путешествия по сети.

0

Для меня это относится к ServiceWorker:

функций, которые обрабатывают персональную информацию, функции, которые обрабатывают информацию высокой стоимости, как учетные данные или платежные инструменты

Будучи в основном прокси между страницей и сервер ServiceWorker может легко перехватывать, читать и потенциально хранить каждую информацию, содержащуюся в каждом запросе и ответе, отправляющемся из источника, включая личную информацию и пароли.

+0

Это то же самое, что и сам источник самой страницы ... Не похоже, что ServiceWorkers могут сидеть между другими сайтами. Кроме того, этот ответ в основном основан на мнениях. –