Google-Entwickler schlagen Web-API für Zugriff auf USB-Geräte vor

Ein Arbeitsdokument beschreibt eine Programmierschnittstelle für die sichere Verbindung zwischen einer Webseite und USB-Geräten. WebUSB ist für Geräte gedacht, für die das jeweilige Betriebssystem keinen ansprechbaren Standardtreiber bereithält. Das könnten etwa 3D-Drucker oder VR-Headsets sein.

Zwei Google-Entwickler haben einen Standardisierungsvorschlag für WebUSB veröffentlicht. In ihrem Arbeitsdokument beschreiben sie eine Programmierschnittstelle für eine sichere Verbindung von USB-Geräten zu einer Webseite.

USB-Typ-C- und Thunderbolt-3-Ports lassen sich optisch nicht mehr unterscheiden (Bild: James Martin/CNET).Bei diesem direkten Zugriff auf USB-Geräte geht es nicht um übliche Peripherie wie Tastatur, Maus oder externe Festplatte. Gedacht ist vielmehr an Geräte, für die das jeweilige Betriebssystem nicht bereits einen ansprechbaren Standardtreiber bereithält. Das könnten etwa 3D-Drucker sein, deren Hersteller von ihrer Website aus für die Einrichtung des Geräts sorgen wollen. Nützlich könnte sich eine solche Web-API auch für ein angeschlossenes Virtual-Reality-Headset erweisen.

„Mit dieser API werden Hardwarehersteller in der Lage sein, plattformübergreifende JavaScript-SDKs für ihre Geräte zu schaffen“, erläutern Reilly Grant und Ken Rockot ihren Vorschlag. „Das wird gut sein für das Web, weil vom ersten Tag an neue und innovative Hardware geschaffen werden kann, ohne darauf warten zu müssen, dass eine neue Gerätekategorie verbreitet genug ist, damit Browser eine spezifische API anbieten.“

ANZEIGE

Upgrade statt Neukauf: SSD steigert die Produktivität

Im Vergleich zu Festplatten glänzen SSDs mit einer höheren Leistung, geringerem Energieverbrauch und weniger Hitzeentwicklung. Die längere Lebensdauer unterstreicht Samsung zudem mit einer 10-jährigen Garantie für seine 850PRO-Serie.

In ihrem Entwurf räumen sie ein, dass bei WebUSB potentielle Auswirkungen auf die Sicherheit zu bedenken sind. Auch ihnen sind Angriffe mittels umprogrammierter USB-Geräte bekannt, die auf die damit verbundenen Computer zielten. Zwei unabhängige Sicherheitsforscher demonstrierten etwa mit der Software BadUSB, dass die Firmware von USB-Controllern in Peripheriegeräten manipuliert werden kann, da die Gerätesoftware nicht vor einer Neuprogrammierung geschützt ist. Beliebige USB-Geräte inklusive Speichersticks ließen sich daher in ein Hacking-Tool verwandeln, das praktisch jeden Computer kompromittieren kann.

Wegen dieses Risikos schlagen die Google-Entwickler vor, Verbindungen auf ausdrücklich erlaubte Webseiten zu beschränken. Um zu verhindern, dass USB-Geräte Informationen preisgeben oder die Privatsphäre verletzen, regen sie außerdem an, dass der Nutzer einer Site zuerst die Erlaubnis erteilen muss, bevor diese nach dem Vorhandensein eines Gerätes suchen und sich damit verbinden kann.

Die beiden Entwickler weisen deutlich darauf hin, dass es sich nur um den Entwurf für einen potentiellen Standard handelt. Der Vorschlag wird zudem bislang von keiner Standardisierungsgruppe unterstützt.

[mit Material von Liam Tung, ZDNet.com]

Neueste Kommentare 

2 Kommentare zu Google-Entwickler schlagen Web-API für Zugriff auf USB-Geräte vor

Kommentar hinzufügen
  • Am 12. April 2016 um 20:53 von Gast

    …sind wir alle noch ganz normal?
    Zugriff vom Web jetzt auch noch bis in die USB-Geräte hinein?
    Na danke auch…
    …und…wer hat’s erfunden?…die Googler….Darth-Dater…

  • Am 16. April 2016 um 19:22 von tomte

    Viele Installationsroutinen fragen heute schon nach, ob sie den aktuellsten Software-Stand über eine Internet-Verbindung nachladen dürfen. Die Aktivität und die Gefahr liegen beim User – im hochzurüstenden Rechner. Hier wie bei WebUSB stammt der herunter- bzw. hinunter zu ladende Code vom Hersteller, dem der User vertrauen muss (oft per Administrator-Modus). Der Code bleibt der gleiche, egal ob er per „downpush“ geliefert wurde.

    Ist etwa angedacht, in WebUSB dem Hersteller so weit zu vertrauen, dass das Erlauben des Administrator-Modus entfallen soll? Bloß nicht.

    Oder ist ein customized API das Ziel, sodass die Website bestimmte Comfort-Funktionen nur an berechtigte User ausliefert?

    Oder ist doch ein kleiner Trojaner das Ziel, der später geldwerte Daten an die Website liefert?

    Welchen vernuenftigen Vorteil bietet WebUSB? Ich will ja nichts verteufeln, ich bin ja wissbegierig …

    Für mich wäre die Idee einer WebUSB API nur diskutabel, wenn zu schickender Code ausschließlich im USB-Gerät installiert würde und die Implementierung einer Betriebssystem-unabhängigen(!) API (oder Services) zentral vom Betriebssystem angeboten würde, an die das USB-Gerät Aufforderungen richtet (und per call back umgekehrt). Diese API-Implementierung müsste vom Betriebssystem-Hersteller (und nicht vom USB-Geräte-Hersteller) bereitgestellt und verantwortet(!) werden.

    Mir sind die Rollen noch nicht klar:
    o Wer soll die API implementieren und anbieten? Der Betriebssystem-Hersteller oder der Geräte-Hersteller?
    o Wer nutzt die API? Das Betriebssystem oder das Gerät oder per call back beide?
    o Ein paar Beispiele von angebotenen Operationen wären hilfreich, wenn wir schon von API reden …
    o … und insbes. einige typischen Aufrufs-Sequenzen (z.B. Pseudocode)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *