WebHID API ( 日本語訳 )

このドキュメントでは、HID(Human Interface Device) プロトコルをサポートするデバイスへのアクセスを提供するための API について説明します。

目標となるアプリケーション

ニッチデバイス

HID 入力デバイスの最も一般的なクラスは、既存の高レベルの入力 API を介して Web プラットフォームですでに十分にサポートされています。たとえば、マウス入力には PointerEvent API からアクセスでき、キーボード入力にはキーボード API からアクセスできます。これらのデバイスからの入力はホストのネイティブ HID ドライバーを使用して処理され、通常、デバイス固有のドライバーや構成が正しく機能する必要はありません。 WebHID は高レベルの入力 API によってすでに十分にサポートされているこのようなデバイスを対象としていません。

HID デバイスの一部のクラスでは、 Web プラットフォームはデバイスの一部の機能をサポートしますが、他の機能へのアクセスを制限します。たとえば、ゲームパッド API は、ほとんどのゲームコントローラーの入力機能をサポートしていますが、 LED インジケーターやオーディオなどのあまり一般的ではない機能はサポートしていません。これらの機能は、ホスト API によって十分にサポートされていないことが多く、ユーザーエージェント内にサポートを追加すると、非常に複雑になる可能性があります。 WebHID は高レベル API によって提供される機能が不完全な場合に、アプリケーションに代替手段を提供します。

HIDデバイスの多くは Web プラットフォーム API ではサポートされていません。 HID 仕様では、仮想現実の制御、フライトシミュレーター、医療機器など、HID を介してサポートできるさまざまなデバイスについて説明しています。 WebHID を使用すると、追加のドライバーやユーザーエージェントの変更を必要とせずに、これらのデバイスを使用できます。

試作、趣味、教育向けの機器

HIDは、デバイスが使用されるホストごとにドライバーを必要とせず、ホストの汎用 HID ドライバーを使用できるようにするため、試作や趣味のためのアプリケーションにとって魅力的です。また簡素化されたインストール手順によって、教師は各ホストのシステム構成を変更することなく、デバイスを生徒の教室に簡単に展開できます。 Web プラットフォームを介して HID デバイスへのアクセスを提供すると、特に現在ホスト固有のアプリケーションでのみサポートされているデバイスの場合、インストールに必要な要件がさらに軽減されます。

セキュリティとプライバシーに対する考慮

デバイスへのアクセスの悪用

HID 周辺機器は、ユーザーの明示的な同意なしに、ページにアクセスできるようにすべきではない強力な機能を公開してしまう場合があります。たとえば、HID 周辺機器には、周囲の情報を収集できるセンサーが搭載されているかも知れません。あるデバイスには、開示または上書きしてはならない個人情報が保存されている場合があります。多くのデバイスは、デバイスのファームウェアをアップグレードできる機能を公開しています。オペレーティングシステムは通常、アプリケーションからHIDデバイスへのアクセスを制限しません。このアクセスが悪用されて、デバイスが損傷したり、デバイスに保存されているデータが破損したりする場合があります。

場合によっては、デバイスが Web ページからアクセスしてはならない機能を公開することがあります。特定のデバイスは、ベンダーと製品の ID によってデバイスを認識し、列挙中にそのようなデバイスを非表示にすることでブロックされる場合があります。 HID レポート記述子を使用すると、デバイスは独自の機能を記述できます。この情報を使用して、ベンダーと製品のIDを事前に知ることができない場合でも、デバイスのクラスをブロックできます。これは、レポート記述子内のコレクションに割り当てられた使用量の値を調べることで実現できます。たとえば、キーボードのようなデバイスへのアクセスは、キーボード使用IDを持つトップレベルのコレクションを含むデバイスへのアクセスを拒否することで拒否できます。

不正使用を軽減するために、ユーザーが明示的なアクセスを許可するまで、ページはデバイスを使用できません。アクセスは最初にページによって要求される必要があり、使用可能なすべてのデバイスを表示する選択肢からユーザーがデバイスを選択すると許可されます。ページからのアクセスが許可されると、デバイスが使用中であることを示すインジケーターが表示されます。

デバイスへの攻撃

HID プロトコルは非常に用途が広く、この汎用性を利用するさまざまなデバイスが設計されています。その結果、デバイスへのアクセスによって悪意のあるページがデバイス自体に損害を与える可能性があります。 HID ペリフェラルでは、カスタム HID レポートを使用してファームウェアアップデートを送信できるようにするのが比較的一般的です。デバイスメーカーは、ファームウェアのバイナリが本物であることを確認するためにファームウェアアップグレードメカニズムを設計するように注意する必要があります。また、デバイスのセキュリティを低下させる可能性のあるダウングレードから保護する必要があります。信頼できないアップグレードを使用して、デバイスに新しい機能を追加したり、まったく異なるタイプのデバイスになりすましたりする可能性があります。

予想範囲外の入力が行われると、一部のデバイスが損傷する可能性があります。たとえば、ページが正常でない振動コマンドを送信すると、ゲームパッドの振動機能が破損する可能性があります。

一般に、これらのタイプの攻撃はデバイス固有であり、 APIレベルで軽減することはできません。

ホストへの攻撃

悪意のあるページがデバイスにアクセスした場合、場合によっては、このアクセスを使用してホストを攻撃する可能性があります。主な懸念事項は、デバイスを使用して信頼される入力イベントを生成できるかどうかです。これらのイベントは、ユーザーの意図のプロキシとして機能し、より強力な Web プラットフォーム機能にアクセスするために使用できます。

マウスとキーボードは通常、HID 周辺機器として実装されており、信頼できる入力を生成することもできます。 HID キーボードまたはマウスには、プログラム可能なマクロなどの高度な機能が含まれている場合があります。これらの機能は、入力のシーケンスを格納し、後でシーケンスを再生できるようにします。デバイスメーカーは、悪意のあるアプリが予期しない入力シーケンスでデバイスを再プログラミングしないようにそのような機能を設計するように注意する必要があります。また、ユーザーの明示的な同意なしにマクロ再生が起動されないように保護する必要があります。

軽減策

セキュリティとプライバシーのリスクを軽減するために、ユーザーエージェントはデバイスへのアクセスを要求するための選択肢ベースのフローを実装することをお勧めします。ページが HID デバイスへのアクセスを要求すると、ユーザーエージェントは、ページがデバイスにアクセスすることをユーザーに通知するダイアログを表示する必要があります。ダイアログには、接続されている HID デバイスのリストが表示され、ページに表示されるデバイスを選択するようにユーザーに求められます。偶発的なクリックの可能性を減らすために、ダイアログには 2 つの個別のインタラクションが必要です。 1 つはリストからデバイスを選択するためのインタラクションで、もう 1 つは選択を確認してダイアログを閉じるためのインタラクションです。

デバイスの列挙

        dictionary HIDDeviceFilter {
            unsigned long vendorId;
            unsigned short productId;
            unsigned short usagePage;
            unsigned short usage;
        };

        dictionary HIDDeviceRequestOptions {
            required sequence<HIDDeviceFilter> filters;
        };

        [
            Exposed=Window,
            SecureContext
        ]
        interface HID : EventTarget {
            attribute EventHandler onconnect;
            attribute EventHandler ondisconnect;
            Promise<sequence<HIDDevice>> getDevices();
            Promise<sequence<HIDDevice>> requestDevice(
                HIDDeviceRequestOptions options);
        };

        [SecureContext] partial interface Navigator {
            [SameObject] readonly attribute HID hid;
        };

デバイスを取得し、デバイス名をコンソールに出力します。

          document.addEventListener('DOMContentLoaded', async () => {
            let devices = await navigator.hid.getDevices();
            devices.forEach(device => {
              console.log(`HID: ${device.productName}`);
            });
          });

HID デバイスの接続と切断に対してイベントリスナーを登録します。

          navigator.hid.addEventListener('connect', ({device}) => {
            console.log(`HID connected: ${device.productName}`);
          });

          navigator.hid.addEventListener('disconnect', ({device}) => {
            console.log(`HID disconnected: ${device.productName}`);
          });

デバイスへのアクセス許可が付与されるまで {{HID/getDevices()}} を介してデバイスにアクセスすることはできず、接続イベントも生成しません。ページは {{HID/requestDevice()}} を使用して許可を要求できます。この例では、ページはベンダー ID `0xABCD`、プロダクト ID `0x1234` のデバイスへのアクセスを要求しています。またそのデバイスは、 usage Page がコンシューマー（`0x0C`）で usage ID がコンシューマーコントロール（`0x01`）のコレクションを持たなくてはなりません。

          let requestButton = document.getElementById("request-hid-device");
          requestButton.addEventListener("click", async () => {
            let device;
            try {
              const devices = await navigator.hid.requestDevice({
                filters: [
                  {
                    vendorId: 0xabcd,
                    productId: 0x1234,
                    usagePage: 0x0c,
                    usage: 0x01,
                  },
                ],
              });
              device = devices[0];
            } catch (error) {
              console.log("An error occurred.");
            }

            if (!device) {
              console.log("No device was selected.");
            } else {
              console.log(`HID: ${device.productName}`);
            }
          });

次の手順で `match` が返される場合、 {{HIDDevice}} |device| は {{HIDDeviceFilter}} |filter| に一致するデバイスとなります:

|filter|.{{HIDDeviceFilter/vendorId}} が存在し、|device|.{{HIDDevice/vendorId}} が |filter|.{{HIDDevice/vendorId}} と等しくない場合、`mismatch` を返します。
|filter|.{{HIDDeviceFilter/productId}} が存在し、|device|.{{HIDDevice/productId}} が |filter|.{{HIDDevice/productId}} と等しくない場合、`mismatch` を返します。
|filter|.{{HIDDeviceFilter/usagePage}} が存在する場合は、|device|.{{HIDDevice/collections}} の {{HIDCollectionInfo}} コレクションに対して繰り返し処理します。 [=一致するコレクション=] がない場合は、`mismatch` を返します。
`match` を返します。

次の手順で match が返される場合、{{HIDCollectionInfo}} |collection| は {{HIDDeviceFilter}} |filter| に一致するコレクションとなります:

|filter|.{{HIDDeviceFilter/usagePage}} が存在し、|device|.{{HIDCollectionInfo/usagePage}} が |filter|.{{HIDDeviceFilter/usagePage}} と等しくない場合、mismatch を返します。
|filter|.{{HIDDeviceFilter/usage}} が存在し、|device|.{{HIDCollectionInfo/usage}} が |filter|.{{HIDDeviceFilter/usage}} と等しくない場合、mismatch を返します。
match を返します。

次の手順で有効が返された場合、{{HIDDeviceFilter}} |filter| は有効です:

|filter|.{{HIDDeviceFilter/productId}} が存在し、|filter|.{{HIDDeviceFilter/vendorId}} が存在しない場合は、無効を返します。
|filter|.{{HIDDeviceFilter/usage}} が存在し、|filter|.{{HIDDeviceFilter/usagePage}} が存在しない場合は、無効を返します。
有効を返します。

UA は、システムに接続されているすべてのデバイスを列挙できる必要があります (MUST)。アルゴリズムが列挙を要求するたびにこの作業を実行する必要はありません。 UA は、最初の列挙を実行した結果をキャッシュしてから、デバイスの接続および切断イベントの監視を開始し、接続されたデバイスをキャッシュされた列挙に追加し、切断されたデバイスを削除しても構いません (MAY)。この方法は、オペレーティングシステムコールの数を減らすために推奨されます。

イベント

          dictionary HIDConnectionEventInit : EventInit {
              required HIDDevice device;
          };

          [
              Exposed=Window,
              SecureContext
          ] interface HIDConnectionEvent : Event {
              constructor(DOMString type, HIDConnectionEventInit eventInitDict);
              [SameObject] readonly attribute HIDDevice device;
          };

          dictionary HIDInputReportEventInit : EventInit {
              required HIDDevice device;
              required octet reportId;
              required DataView data;
          };

          [
              Exposed=Window,
              SecureContext
          ] interface HIDInputReportEvent : Event {
              constructor(DOMString type, HIDInputReportEventInit eventInitDict);
              [SameObject] readonly attribute HIDDevice device;
              readonly attribute octet reportId;
              readonly attribute DataView data;
          };

HID コレクションとレポート情報

          enum HIDUnitSystem {
              "none", "si-linear", "si-rotation", "english-linear",
              "english-rotation", "vendor-defined", "reserved"
          };

          dictionary HIDReportItem {
              boolean isAbsolute;
              boolean isArray;
              boolean isBufferedBytes;
              boolean isConstant;
              boolean isLinear;
              boolean isRange;
              boolean isVolatile;
              boolean hasNull;
              boolean hasPreferredState;
              boolean wrap;
              sequence<unsigned long> usages;
              unsigned long usageMinimum;
              unsigned long usageMaximum;
              unsigned short reportSize;
              unsigned short reportCount;
              byte unitExponent;
              HIDUnitSystem unitSystem;
              byte unitFactorLengthExponent;
              byte unitFactorMassExponent;
              byte unitFactorTimeExponent;
              byte unitFactorTemperatureExponent;
              byte unitFactorCurrentExponent;
              byte unitFactorLuminousIntensityExponent;
              long logicalMinimum;
              long logicalMaximum;
              long physicalMinimum;
              long physicalMaximum;
              sequence<DOMString> strings;
          };

          dictionary HIDReportInfo {
              octet reportId;
              sequence<HIDReportItem> items;
          };

          dictionary HIDCollectionInfo {
              unsigned short usagePage;
              unsigned short usage;
              octet type;
              sequence<HIDCollectionInfo> children;
              sequence<HIDReportInfo> inputReports;
              sequence<HIDReportInfo> outputReports;
              sequence<HIDReportInfo> featureReports;
          };