Chrome permetterà alle applicazioni web di leggere e scrivere sul file system

Il team di sviluppo di Google Chrome ha recentemente annunciato l’imminente integrazione della nuova Native File System API nelle prossime versioni del browser.
Si tratta di una funzionalità che permetterà alle applicazioni web di accedere ai file memorizzati in locale sul dispositivo dell’utente.

Pete LePage (Google) ha illustrato nel dettaglio il funzionamento della nuova API spiegando che l’interazione con i file salvati in locale sarà accordata solamente alle pagine web “sicure” e soltanto previa esplicita autorizzazione da parte degli utenti.
Il debutto è fissato con il rilascio di Chrome 77 mentre una disponibilità più ampia è programmata con il lancio della successiva versione del browser.

Nonostante le rassicurazioni, diversi esperti in tema di sicurezza informatici si dichiarano scettici: il browser era infatti diventato uno strumento sufficientemente sicuro, capace di isolare il funzionamento di tutte le applicazioni web dal sistema sottostante grazie all’utilizzo di un solido meccanismo di sandboxing. La Native File System API sembra aprire un portone sul muro perimetrale che era stato costruito attorno al browser web e ai contenuti da questo caricati.

La nuova API introdurrebbe infatti rischi in termini di privacy (le pagine web potrebbero accedere a risorse private) e solleverebbe interrogativi sul piano della sicurezza (potenziale caricamento di eseguibili, aggiunta di componenti malevoli sul sistema e così via).

LePage ha comunque sottolineato che “una qualsiasi applicazione web non potrà modificare alcun file su disco senza un’esplicita autorizzazione da parte dell’utente“. Inoltre solo le pagine caricate all’interno di un contesto sicuro, che utilizzeranno un canale autenticato e crittografato potranno eventualmente adoperare la nuova API.

Dopo aver accordato l’autorizzazione, una speciale icona comparirà nella parte finale della barra degli indirizzi di Chrome: facendovi clic gli utenti potranno ad esempio revocare il permesso precedentemente accordato.

Vero è che Chrome potrebbe bloccare l’accesso ai percorsi di sistema, in Windows così come su macOS e Linux ma la decisione di creare un canale di comunicazione diretto tra browser e sistema operativo non può non sollevare qualche dubbio.