Почему сервис-воркеры работают только через HTTPS?

В соответствии с первоначальным предложением относительно предпочесть безопасный Истоки мощных новых функций

«Особенно мощный» будет означать такие вещи, как: функции, которые обрабатывают личную информацию, функции, которые обрабатывают ценную информацию, такую ​​как учетные данные или платежные инструменты, функции, которые предоставляют источнику контроль над заслуживающим доверия/родным пользовательским интерфейсом пользователя, доступ к датчикам на устройство пользователя или, как правило, любую функцию, для которой мы бы предоставили устанавливаемое пользователем разрешение или привилегию. Пожалуйста, обсудите!

«Особенно мощный» не будет означать такие вещи, как: новые функции рендеринга и макета, селекторы CSS, безобидные API-интерфейсы JavaScript, такие как showModalDialog, и тому подобное. Я ожидаю, что большая часть новой работы в HTML5 подходит под эту категорию. Пожалуйста, обсудите!

Но по какой-то причине работники сферы обслуживания были отнесены к первой категории. Есть ли какая-то каноническая причина, почему это произошло?


html service-worker
person David Mulder    schedule 23.05.2015    source источник
comment
@close избиратель, я спрашиваю об официальных причинах, по которым это было классифицировано как таковое (может быть, обсуждение в публичном списке рассылки w3.org или что-то в этом роде), а не о том, что случайные люди думают< /я>.   -  person David Mulder    schedule 26.05.2015

Ответы (2)


arrow_upward
6
arrow_downward

Джейк Арчибальд из Google в официальном черновике спецификации Service Workers песочнице, позже цитируется Мэттом Гонтом из HTML5rocks, говорится, что

С помощью сервис-воркера вы можете перехватывать соединения, создавать и фильтровать ответы. Мощная штука. В то время как вы могли бы использовать эти силы во благо, человек посередине мог бы этого не делать. Чтобы избежать этого, вы можете регистрироваться для сервис-воркеров только на страницах, обслуживаемых через HTTPS, поэтому мы знаем, что сервис-воркер, который получает браузер, не был подделан во время его путешествия по сети.

person Karol Klepacki    schedule 26.05.2015

arrow_upward
0
arrow_downward

Для меня это относится к ServiceWorker:

функции, которые обрабатывают личную информацию, функции, которые обрабатывают ценную информацию, такую ​​как учетные данные или платежные инструменты

Будучи в основном прокси-сервером между страницей и сервером, ServiceWorker может легко перехватывать, читать и потенциально сохранять каждую информацию, содержащуюся в каждом запросе и ответе, отправленном из источника, включая личную информацию и пароли.

person Sandro Paganotti    schedule 24.05.2015
comment
Это точно то же самое, что мог бы сделать источник самой страницы... Не похоже, чтобы ServiceWorkers могли сидеть между другими сайтами. Кроме того, этот ответ в первую очередь основан на мнении. - person David Mulder; 26.05.2015