Firefox 的一些 Youtube 下载插件实际上会分别下载视频轨道和音轨(作为 2 个单独的文件),然后在完成后将 2 个文件合并为 1 个文件。
那么看起来现代浏览器可以读取、修改和创建本地文件了?这是真的吗?这不会带来很大的安全隐患吗?
答案1
我认为你把两件截然不同的事情等同起来了:
1) 能够在特定的受控位置使用非来自网页的软件读取和写入本地硬盘上的文件。
2)能够根据某人浏览的网页的指示,读取和写入本地硬盘上任何位置的任意文件。
您看到的是 1。您应该关注的是 2。
每个浏览器都必须读取和写入本地文件。每个浏览器都接受来自网页的指令。每个浏览器都有网页无法修改的逻辑,用于控制网页可以做什么和不可以做什么。
答案2
I. 那么看起来现代浏览器可以读取、修改和创建本地文件?
浏览器在特定位置(缓存、临时文件……)下保存和修改文件,并允许用户将文件保存在其他位置、要求特定位置或保存在默认(或设置)路径中。
注意:用户将保存和修改文件的位置的控制权转移到浏览器。操作系统仍然可以避免这种情况。
II. 这是真的吗?那会不会有很大的安全隐患?
除非没有漏洞通常情况下安全,只要浏览器安全没有受到损害(恶意软件、病毒、错误、恶意代码……)。浏览器代码通常会经过严格检查。有些浏览器是开源的,这允许您采取自己的观点。
但当你安装这种插入, 你是转移控制权关于你向浏览器发出的 I/O 文件操作(读取、写入、修改、删除...)到插件 本身。
因此,你添加的危险与安装者的信任成反比插入。
如果插件是安全的就没危险,如果不安全就增加风险了……