Доступ к файлам посетителя из браузера — как объяснить что запрещен?

Question

[baldr]

У меня есть клиент, который хочет получить страничку в браузере, зайдя на которую, посетитель сможет увидеть список своих локальных файлов из какой-то папки...
Я знаю что это невозможно. вы знаете что это невозможно. все знают. но как мне это ему объяснить? :)
он заходит на какой-то сайт, там есть кнопка "Open Files from My Computer", он кликает, видит диалог выбора файлов и не верит что я не могу получить доступ к его локальным файлам
Может, вы знаете какие-нибудь ссылки на спеки о том что браузеры не разрешают прямой доступ к файлам?
Уже очень хочется спать, я создал вопрос на SO: stackoverflow.com/questions/33746680/web-applicati...
Но, может, вы что-нибудь придумаете тож :)
Просто словами объяснить у меня не получается.. нужны ссылки на спеки или даже просто на википедию, где говорится, что это нельзя сделать.
Я знаю, что можно написать расширения для браузера, какой-то клиентский код установить на компьютере клиента и тп.
Но этот вариант не подойдет, нужно просто объяснить, что такой функционал запрещен.

Comments

[Lynn «Кофеман»]

Правильный вопрос: зачем?

Answer 1

[Stalker_RED]

На самом деле, если клиенту очень хочется, можно взять версию браузера с широко известной дырой, и таки получить доступ к локальным файлам.

JavaScript and the DOM provide the potential for malicious authors to deliver scripts to run on a client computer via the Web. Browser authors contain this risk using two restrictions. First, scripts run in a sandbox in which they can only perform Web-related actions, not general-purpose programming tasks like creating files.

© https://en.wikipedia.org/wiki/JavaScript#Security

This specification allows web content to read files from the underlying file system, as well as provides a means for files to be accessed by unique identifiers, and as such is subject to some security considerations. This specification also assumes that the primary user interaction is with the element of HTML forms [HTML], and that all files that are being read by FileReader objects have first been selected by the user. Important security considerations include preventing malicious file selection attacks (selection looping), preventing access to system-sensitive files, and guarding against modifications of files on disk after a selection has taken place.

© www.w3.org/TR/FileAPI/#security-discussion

UPD: Можно прописать свой протокол: stackoverflow.com/questions/2079276/adding-smb-to-...

Comments

[baldr]

Спасибо, это уже неплохо. Накоплю побольше таких ссылок и отправлю пачкой. Еще есть?

[Stalker_RED]

baldr: эти я нагуглил вбивая "browser input file securiry", "filereader security", "browser js access to local drive"
Двигаясь в этом направлении можно найти еще и еще.

Answer 2

[nirvimel]

Объяснить так - скинуть ссылку, перейдя по которой он увидит: Все ваши файлы теперь зашифрованы, переведите $100500 на кошелек 64578934725243457938 чтобы получить ключ для расшифровки.

Answer 3

[sim3x]

Просто браузера недостаточно - установи клиенту на пк что-то типа https://docs.python.org/2/library/simplehttpserver.html и отдавай ему на локалхосте директорию, что ему нужна.