ID
ID
Tentang Kami
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Berita
Teknologi
Perangkat Lunak
Teknologi Informasi
Keamanan Siber

API HTML-in-Canvas Chrome Memicu Kekhawatiran Keamanan dan Fingerprinting di Kalangan Developer

Tim Komunitas BigGo
API HTML-in-Canvas Chrome Memicu Kekhawatiran Keamanan dan Fingerprinting di Kalangan Developer

API HTML-in-Canvas eksperimental Chrome telah memasuki fase uji coba developer, menjanjikan solusi untuk masalah lama dalam rendering tata letak teks kompleks pada elemen canvas. Namun, proposal ini telah memicu diskusi sengit di komunitas developer mengenai risiko keamanan, implikasi privasi, dan arah filosofis pengembangan web.

API baru ini memperkenalkan empat metode utama: atribut layoutsubtree, drawElement(), texElement2D(), dan setHitTestRegions(). Tool-tool ini memungkinkan developer untuk merender konten HTML langsung ke dalam elemen canvas, mengatasi masalah aksesibilitas, internasionalisasi, dan performa yang telah mengganggu aplikasi berbasis canvas selama bertahun-tahun.

Gambaran Umum Metode API

  • Atribut layoutsubtree: Mengaktifkan tata letak untuk elemen turunan canvas
  • CanvasRenderingContext2D.drawElement(element, x, y, options): Merender elemen HTML ke dalam canvas 2D
  • WebGLRenderingContext.texElement2D(element): Merender elemen HTML ke dalam tekstur WebGL
  • CanvasRenderingContext2D.setHitTestRegions(): Memetakan wilayah canvas ke elemen HTML untuk pengujian hit

Kekhawatiran Keamanan dan Fingerprinting Mendominasi Diskusi

Kekhawatiran paling mendesak di kalangan developer berpusat pada risiko fingerprinting dan kerentanan keamanan. Beberapa anggota komunitas telah menunjukkan bahwa dokumentasi keamanan proposal ini masih belum lengkap, dengan bagian-bagian yang masih bertanda TODO: Expand on fingerprinting risks. Hal ini menimbulkan tanda bahaya tentang terburu-burunya fitur ini ke pasar tanpa perlindungan privasi yang memadai.

Kekhawatiran fingerprinting sangat akut karena API ini berpotensi mengekspos informasi sensitif tentang sistem pengguna, font, dan kemampuan rendering. Seorang developer mencatat bahwa fitur serupa telah dibatasi di Firefox hanya untuk ekstensi karena risiko keamanan yang sama, termasuk kemungkinan merender konten sensitif seperti informasi rekening bank dari iframe.

Keterbatasan Saat Ini

  • iframe lintas-origin tidak dirender
  • Dukungan SVG foreignObject belum berfungsi
  • Konteks canvas offscreen tidak didukung
  • Canvas yang terpisah tidak didukung
  • Kontrol privasi masih dalam pengembangan
  • Perilaku tainting canvas mungkin berubah

Perdebatan Recursive Hell

Sebagian besar diskusi komunitas telah fokus pada apa yang disebut beberapa developer sebagai sifat rekursif dari proposal ini. Kritikus berargumen bahwa menempatkan HTML di dalam canvas di dalam HTML menciptakan kompleksitas yang tidak perlu dan masalah filosofis dengan arsitektur web.

Setiap struktur data kehidupan nyata yang saya temui berbentuk seperti pohon. Akan lebih mudah untuk hanya meminta browser merender fragmen HTML ke canvas, atau ke bitmap tak terlihat, seperti yang bisa Anda dapatkan dengan sebagian besar toolkit UI lainnya.

Namun, pendukung membantah bahwa rekursi ini sudah ada dalam teknologi web, menunjuk pada contoh seperti HTML dalam SVG dalam HTML, dan berargumen bahwa fitur ini mengatasi kebutuhan nyata developer untuk tata letak kompleks dalam aplikasi canvas.

Aksesibilitas: Janji vs Realitas

Meskipun proposal ini mengklaim meningkatkan aksesibilitas dengan memungkinkan konten canvas mencocokkan elemen DOM fallback, banyak developer tetap skeptis. Kekhawatirannya adalah bahwa aplikasi canvas-first secara inheren tidak dapat mengakses layanan tingkat sistem seperti spell checker, kamus, atau fitur aksesibilitas native, memaksa developer untuk membuat implementasi kustom yang bervariasi antar aplikasi.

Beberapa developer khawatir ini bisa mengarah pada kembalinya masalah era Flash, di mana setiap aplikasi berbasis canvas akan memiliki antarmuka pengguna dan implementasi aksesibilitas yang benar-benar berbeda, membuat web menjadi kurang konsisten dan lebih sulit digunakan untuk penyandang disabilitas.

Informasi Uji Coba Developer

  • Versi Chrome: Canary 138.0.7175.0 atau yang lebih baru
  • Aktifkan Flag: --enable-blink-features=CanvasDrawElement
  • Status: Pengembangan aktif dengan kemungkinan perubahan API
  • Catatan Privasi: Canvas tidak terkontaminasi terlepas dari kontennya (perilaku sementara)

Keterbatasan Saat Ini dan Umpan Balik Developer

API ini saat ini memiliki beberapa keterbatasan yang diketahui yang telah membentuk diskusi komunitas. Iframe cross-origin tidak akan dirender, dukungan SVG foreignObject hilang, dan fitur ini tidak bekerja dengan canvas offscreen atau terlepas. Pembatasan ini telah membuat beberapa developer mempertanyakan apakah implementasi saat ini cukup matang untuk adopsi luas.

Developer Chrome secara aktif mencari umpan balik tentang kompatibilitas konten, dukungan konteks rendering, dan peningkatan aksesibilitas. Fitur ini dapat diuji dalam versi Chrome Canary yang lebih baru dari 138.0.7175.0 menggunakan flag --enable-blink-features=CanvasDrawElement, meskipun developer diperingatkan bahwa API mungkin berubah secara signifikan selama pengembangan.

Perdebatan ini mencerminkan ketegangan yang lebih luas dalam pengembangan web antara keinginan untuk kemampuan grafis yang kuat dan kebutuhan untuk mempertahankan keamanan, aksesibilitas, dan privasi pengguna. Saat proposal ini terus melalui proses pengembangan, menyeimbangkan kekhawatiran yang bersaing ini kemungkinan akan menentukan keberhasilan atau kegagalan ultimatnya.

Referensi: HTML-in-Canvas

Berita Terkait