在玩语音识别应用的时候,开发人员Tal Ater留意到了一件奇怪的事情。由于Chrome的麦克风设定问题,因此任何支持语音识别的网站,几乎可以通过一个弹出窗口,在后台无限地进行"录制"。在Ater的演示中,他关闭了标签页并继续说话,而Chrome主窗口"背后"只显示着一个弹出式窗口,"听译"着他所说的一切。
这相当令人不安——是否会有一个恶意的网站,借用Chrome的这个功能来监听用户的离线谈话内容呢?问题的核心是Chrome的"麦克风权限策略"(microphone permissions policy)。
一旦你在Chrome中允许了某个启用了HTTPS的站点使用你的麦克风,然后该站点的每个实例都会获得许可,甚至在后台弹出一个不容易被注意到的窗口。
由于代码运行于一个不同的窗口,所以普通用户根本看不到任何"录音中"的图标。但是显然,该站点不能访问到计算机(只是继续'录音'而已)。目前唯一的办法就是手动撤销某个站点的麦克风使用许可,可是大多数用户永远不会、也想不到怎么去做。因此,我们只能寄希望于Google能尽量简化这一操作。
