Google werkt aan een API die webapps in staat stelt om rechtstreeks verbindingen aan te gaan via TCP en UDP. Dat moet browser-apps veelzijdiger maken, maar brengt ook beveiligingsproblemen met zich mee.
Het Google Chromium-team wil browsers een stuk krachtiger maken. De ontwikkelaars werken aan wat momenteel de Raw Sockets API heet. Die API moet browsertoepassingen in staat stellen om rechtstreeks met randapparatuur in een netwerk te praten, ook wanneer die geen HTTP of WebSockets ondersteunt.
Via de API kan de browser toestellen aanspreken over SSH, RDP, IRC en andere protocollen. Zo kunnen toepassingen rechtstreeks praten met toestellen in een netwerk zoals printers maar ook custom hardware zoals industriële machines en andere legacy-hardware. Het doel van de API is lovenswaardig: met de juiste implementatie worden webapps veel krachtiger en gebruiksvriendelijker, en integreren ze veel beter met hardware in een bedrijfsomgeving.
De ontwikkelaars willen de Raw Sockets API deze week als prototype lanceren en mikken op een integratie in Chrome OS wanneer alles goed loopt. Logisch, aangezien de webgebaseerde interface van Chromebooks het meeste baat heeft bij verdere hardwarecompatibiliteit voor webapps.
Beveiligingsproblemen
Ondanks de goede intenties komt er heel wat kritiek op het plan. De API zou niet alleen meer mogelijkheden geven aan ontwikkelaars en gebruikers, maar ook aan cybercriminelen. Het portfolio aan mogelijk aanvallen wordt via de API drastisch groter. Het systeem maakt bijvoorbeeld man in the middle-aanvallen mogelijk of stelt hackers in staat webapps in te zetten voor DDoS-aanvallen zonder medeweten van de gebruiker.
De ontwikkelaars van Google houden rekening met mogelijke beveiligingsproblemen en denken al aan oplossingen. Een dialoogvenster waarbij een gebruiker bij een eerste verbinding met een toestel de nodige gegevens moet doorgeven, ligt op tafel. Zo’n venster waarbij een browser van een doorsnee gebruiker een IP- en poortadres verwacht klinkt langs de andere kant als een oplossing die nog niet voorbij het UX-departement is gepasseerd.
Of de Raw Sockets API zijn intrede zal maken in Chrome OS en later Chromium, valt af te wachten. Er zijn risico’s om mee rekening te houden maar in een tijdperk waarin steeds minder toepassingen lokaal verankerd staan, mogen we mogelijke voordelen niet uit het oog verliezen.