浏览器的服务人员可以轻松访问制作僵尸网络？

Question

我一直在读关于服务人员使用它的一些功能来使我的应用程序更快和更可靠的文章。当我看到服务工作者和持久存储使webapp拥有所有本机应用程序功能的可能性时，我很兴奋，但我也有这个想法。

如果有人想做僵尸网络怎么办？他们只是将他们的网站链接发送给一些用户，仅此而已，服务人员被安装在世界各地的许多浏览器中。现在网站所有者可以使用这个机器人网络做许多事情，比如进行ddos攻击，加密挖掘等。我认为它甚至可以让黑客更容易利用一些浏览器漏洞。

我是不是遗漏了什么？

Answer 1

web和浏览器安全模型有许多措施来防止或限制滥用。

1) Cross-Origin Resource Sharing (CORS)是一种web安全功能，用于限制或阻止网站/服务人员在其他域名上进行DDOS攻击。

2)服务工作者有一个maximum runtime of five minutes (在Chrome中，但其他浏览器应该有类似的限制)。5分钟后，SW将被终止，用户必须触发事件，服务工作者才会被重新激活。

3)大多数浏览器使用Safe Browsing来阻止对恶意网站的访问，因此可以快速在全局范围内禁用它。

这一切都假设“他们只是将他们的网站链接发送给一些用户”是很容易实现的。电子邮件垃圾邮件过滤器现在真的很好，而且SMS很贵，所以让大量用户使用PWA将是困难的。