Webサイトの許可MIDI Chromeからのアクセス

最近新しいエクスプロイトが発見されない限り、ほとんど安全です。

あなたは心配する権利があります。 Windowsのこれ や Chromeのこれ など、MIDIを使用したエクスプロイトがあり、どちらも特に厄介でした。どちらもしばらくの間パッチが適用されていますが、新しい攻撃がいつ発見されるかはわかりません。

個人的には、私が本当に音楽を聴きたくなければ、それを許可しません-それがMIDIであり、WAVやMP3ではないことを考えると）、恐ろしいことでしょう。

オーディオがMIDIを経由しないことを理解することが重要です。 MIDIは、オーディオをアクティブにすることができるコマンドのトランスポートです。文字どおりの例は、音を出さない音楽用キーボードです。ただし、音を出すボックスに接続されています。したがって、キーボードはコマンドを渡しますこのトランスポートはこれらのコマンドを送信（送信）、受信（入力）、または通過（スルー）できます。これらは特定のコマンドであり、実際のコードではないことに注意してください。

それができないことは、オーディオ、特にビデオに関連するオーディオを渡すことです。したがって、これがオンラインシンセのような音を出すためにこれらのコマンドを送信する領域のサイト、あるいは音楽ガイドサイトでさえない限り、私はこれを使用する意図が何であるかわかりません。

また、これは作成が不十分なサイトであり、誤って実装された可能性もあります。 Chromeは、APIが呼び出されているため、MIDIデバイスへのアクセスを要求します。

この機能を使用した現在のエクスプロイトは知らないが、私が知っている以前の2つのCVEがある。 CVE-2015-6792 および CVE-2015-6765 は、サービス拒否攻撃を実行したり、ブラウザーをクラッシュさせたり、サンドボックスの外で任意のコードを実行する可能性があります。ただし、どちらも古いバージョンのChrome 46または47など）が必要です。

したがって、意図的なリスクは、接続されたMIDIインターフェイスにコマンドを送信/読み取りできるようにすることです。ただし、コマンドは特定のものであり、それら自体に害を及ぼすものであってはなりません。それでもなお、コマンドを許可しています。

コンピューターのキーボードをMIDI=コントローラーとして設定し、サイトがこれらのコマンドを読み取る場合、意図的なリスクが問題になる可能性があります。その結果、キーロガーのように動作する可能性があります。ただし、 t文字を送信し、1111111や7Fのようなコマンドを送信します。どちらも、押した文字と数字には対応しません。ただし、理論的には、攻撃者がこれらがキーボードでどのようにマッピングされているかを知っていれば、それらを参照して入力したものに変換できます。しかし、非常にありそうもないシナリオです。

意図しないリスクは、前述のCVEのようなコードを実行するために悪用することです。これは、サイトからの入力を受け入れるブラウザ機能を使用する場合のリスクです。

全体として、これがこのAPIの合法的な使用であるかどうかを判断するのに十分な情報はありません。この機能がサイトの目的に必要であり、このサイトをどれだけ信頼できるかについては、最善の判断をする必要があります。