Názory k článku
Firefox 151 přináší API pro komunikaci po sériovém portu

Este keby FF vedel aj bluetooth api, tak chrome mozem zahodit.

Mozilla s tím API má velký problém, a odmítá ho - hlavně kvůli bezpečnostním rizikům, nedostatečné ochraně a nízké úrovni zabezpečení zařízení. Mnoho Bluetooth zařízení nemá dostatečné vnitřní zabezpečení. Útočník by mohl přes webovou stránku poslat zařízení škodlivé příkazy, například přepsat jeho firmware.

Aby Chromium (Chrome, Edge, Opera) zabránil nejhorším útokům, udržuje obří černou listinu (blocklist) zařízení, se kterými se webový prohlížeč nesmí za žádných okolností spojit. Mozilla tento přístup kritizuje jako dlouhodobě neudržitelný.

Každé Bluetooth zařízení v okolí vysílá unikátní identifikátory (UUID, MAC adresy, specifické profily GATT). Reklamní agentury a analytické weby by mohly tyto informace zneužít k vytvoření jedinečného „otisku“ vašeho prostředí (fingerprinting), proti čemuž Mozilla se snaží také bojovat.

Takže Mozilla (Firefox) a Apple (Safari) Bluetooth striktně blokují. Zastávají názor, že webový prohlížeč má zůstat izolovaný (v sandboxu) a přímý přístup k hardwaru počítače do něj nepatří. Tak vaše přání moc realisticky nevidím 🤔

To by spis mel existovat uzivatelsky definovany whitelist zarizeni - podobnym zpusobem jako se pridavaji USB do VM (nebo USB do browseru).

Pokud je treba discovery/enu­merace, at API definuje filtr na VID/PID nebo CLASS a uzivatel si vybere - nicmene to je celkem zbytecny, protoze bezny user ma jednotky BT zarizeni naparovanych, tak mezi ESP, klavesnici a hodinkama snad dokaze rozlisit - ten parovaci dialog by mel byt soucasti prohlizece - a ne ze si webova appka bude svobodne enumerovat vse co existuje a prstit uzivatele.

> ten parovaci dialog by mel byt soucasti prohlizece - a ne ze si webova appka bude svobodne enumerovat vse co existuje a prstit uzivatele.

Takhle presne to v Chrome pro web bluetooth je, dialog browseru, kod ve strance bez neho nic enumerovat nemuze. Taky se ten dialog automaticky rusi s odmitnutim uz kdyz jenom aktivujete jine okno (coz uz je trochu paranoia ale proc ne).

Celý ten problém stojí na tom, že z webového prohlížeče se stává operační systém v operačním systému. Když velcí hráči zjistili, že peníze v IT se nejlépe vydělají cloudovými měsíčně předplácenými službami (v kombinaci s vytěžováním takto získaných uživatelských dat) ztratil operační systém počítače svůj význam a místo něj je teď potřeba ideálně homogenního prostředí cloudového klienta. Proto tu máme de facto chromový monopol a podporu technologií a API, které jsou sice nebezpečné, ale pro user-friendly cloudové klienty nezbytné. A kdo chce držet rozumný směr, má problém s kompatibilitou.

Btw. všimli jste si, že Googlovu úvodní vyhledávací stránku, kde není nic než vyhledávací políčko, nelze otevřít v elinksu? Je vidět, že vyhledávání je pro Google jen vedlejší efekt jiné činnosti.

> Tak vaše přání moc realisticky nevidím

no ale tenhle seriovy port je to same a tim vlastne rikaji ze to vzdavaji, ne? pristup na hardware, moznost tam 'prepsat firmware'

Me to teda prislo vzdycky jako vymluva proc se jim to nechce delat. Az jim po mnoha letech doslo ze ten web bluetooth v chrome funguje uz par let hezky a svet se nezboril a je to uzitecna vec.

co jsem pochopil, tak pomocí tohoto nového rozhraní můžete komunikovat s Bluetooth zařízeními, která emulují virtuální sériový port (Bluetooth SPP / RFCOMM), případně s hardwerem připojeným přes USB .

Klasické nízkoenergetické Bluetooth (BLE GATT) stále v aplikacích pro Firefox nespustíte. Web Serial API funguje výhradně na zabezpečeném protokolu HTTPS (nebo na localhost).

sorry ze jeste otravuju (skoda ze nejdou editovat prispevky) ale primo v tom jejich announcementu https://hacks.mozilla.org/2026/05/web-serial-support-in-firefox/ jsou nadseni jak jednoduse jde poslat firmware pres ten seriovy port a dole v clanku v "Security and Privacy" vysvetlujou jak to funguje a proc je to bezpecne. no a presne uplne stejne to momentalne v Chrome funguje i s web bluetooth

Není to tím, že prostor pro útok pomocí sériového portu na běžného Frantu uživatele se limitně blíží nule, zatímco BT hračičky nám září všude v okolí a většina dnešních počítačů disponuje tímto rozhraním?

> Aby Chromium (Chrome, Edge, Opera) zabránil nejhorším útokům, udržuje obří černou listinu (blocklist) zařízení, se kterými se webový prohlížeč nesmí za žádných okolností spojit.

Muzete ten aktualni obří blocklist nalinkovat?

Ja znam jenom tenhle a je tam par zaznamu
https://github.com/WebBluetoothCG/registries
a moc casto se neaktualizuje. Myslim ze vznikl ze zacatku pro jistotu a aby se uklidnili podobni panikari, ale casem se asi ukazalo, ze to takovy problem neni.

Toto je bohuzial dalsi z dovodov preco je mozilla tam kde je. Nejaky "manazer" rozhodne, ze kvoli bezpecnosti sa nebude robit to a to, pricom zjavne to bezpecnostny problem nie je - ak sa to navrhne a implementuje spravne. Ved kamera, mikrofon, GPS a teraz seriovy port nie je hardver?
PS, firefox pouzim kazdy den uz viac ako 15 rokov, ale tieto ficury mi chybaju.

Jako laika mě zajímá obecné využití této featury. Jaký HW obecně má FF podporovat přes BT? Možná mi něco ze světa BFU uniklo, co potřebují pro svou práci. Jde mi opravdu jen o trend, který si teĎ neumím představit. Mikrofon, Webkameru a zvukový výstup chápu, jen mi uniká další general HW.
Díky.