getUserMedia() in chrome 47 ohne Verwendung von https

Question

In Chrom-Version 47 erzwingen Sie die Verwendung von https mit getUserMedia() erlauben. Leider kann ich https in meinem gesamten Web nicht verwenden, ich benutze es nur im Login-Rest (It eine SPA - Single-Page-App). Also, die Adresse im Web ist ohne https, nur der Login-Rest verwendet ssl. Ich benutze diese Repo mit sehr wenig Änderungen: https://github.com/Jmlevick/html-recorder

Meine Frage ist, ob es eine Möglichkeit, Audio-Recorder in meiner Web-Anwendung zu verwenden und meine Web-Adresse mit http zu halten und nicht https? Mit welchen Ideen müssen Sie dieses Problem lösen?

Answer 1

getUserMedia können Sie in die privaten Gespräche des Benutzers hören. Wenn es über unverschlüsseltes HTTP aktiviert würde, würde dies einem Angreifer ermöglichen, Code einzuschleusen, der zuhört und die Konversationen an den Angreifer sendet. Wenn Sie sich zum Beispiel in einem privaten Konferenzraum eines Hotels mit unverschlüsseltem WLAN befinden, könnte jeder in der Nähe des Hotels mithören. Auch wenn Ihre App normalerweise keine sensiblen Gespräche führt, könnte ein Angreifer Ihren Code durch ersetzen ihre, um zu einem späteren Zeitpunkt zu hören, wenn eine andere App verwendet wird.

Daher ist getUserMedia nur verfügbar von secure contexts. Zum Testen können Sie can exempt your domain starten, indem Sie Chrome mit --unsafely-treat-insecure-origin-as-secure="example.com" starten oder einfach unter http://localhost/ testen.

Wenn Ihre App das Mikrofon des Benutzers hören soll, müssen Sie es über TLS bereitstellen. Es gibt keinen Weg darum herum. Gäbe es dies, würde dies als Sicherheitslücke angesehen und in der nächsten Version des Browsers behoben werden.