¡Hola a todos!
Recientemente leyendo una página[1] que detalla cómo se procede desde el equipo de Chromium cuando se informa de bugs de seguridad (vulnerabilidades), me he encontrado con un dato que a mi parecer es muy interesante, y se trata del Global Permission Kill Switch (en español interruptor para apagar los permisos globalmente).
Según he podido leer,[2] el Global Permission Kill Switch se puede usar cuando se encuentra una vulnerabilidad crítica en las APIs que piden permiso, como por ejemplo las de geolocalización, cámara/micrófono, etc. Esto implica que al activar el interruptor para una API específica, esta deja de funcionar en todos los Chromes de todo el mundo hasta que se desactiva (cuando la vulnerabilidad ya está solucionada).
Las APIs para las que existe el interruptor son las siguientes:
- Geolocalización
- Notificaciones
- MIDI
- Almacenaje persistente
- Push Messaging
- Cámara/micrófono
- Identificador de multimedia protegido
Entonces, si se encuentra que alguna página web podría estar usando la API de micrófono sin pedir permiso, o por ejemplo sin que salga el indicador de que se está grabando, el equipo de Chromium puede activar el interruptor para la API de micrófono para mitigar este problema cuanto antes posible.
Aun así, hay dos cosas que hay que tener en cuenta: primero de todo, como activar el interruptor hace que las páginas web que usen la API desactivada dejen de funcionar, el ingeniero de Chromium debe obtener consentimiento antes de activarlo. Deberá obtenerlo de tres ingenieros: dos son Darin y Rahul (probablemente los jefes del equipo de Chromium), y el otro es variable. Y después de activarlo, este cambio no tiene efecto inmediato, sino que solo ocurrirá después de que los usuarios reinicien Chrome.
Esperemos que el equipo de Chromium no tenga que "pulsar este botón" nunca, pero si lo hace, sabéis que es por nuestra seguridad ;)
Saludos :-)
