Mozilla назвала «вредным» предложение Google о распространении веб-пакетов с цифровой подписью03.06.2019 11:32

Механизм Signed HTTP Exchanges (SXG)

Месяц назад на конференции для разработчиков компания Google предложила технологию «порталов», которая призвана обеспечить новый способ загрузки и навигации по веб-страницам. По сути, — это более продвинутая и современная версия . Главная разница в том, что <portal> позволяет перемещаться внутри контента, который внедрён на страницу извне, а <iframe> не позволяет этого по соображениям безопасности. Более того, <portal> может изменять URL в адресной строке браузера, то есть этот тег полезнее в качестве инструмента навигации.</p> <p>Для Google это очень важная технология, потому что позволяет удержать пользователей на поисковом сайте, загружая запрошенный контент с других сайтов через «порталы» в виде веб-пакетов.<br /><img src="https://habrastorage.org/getpro/habr/post_images/13f/091/06c/13f09106c8203cf17f70f1b607a46c1f.png" alt="13f09106c8203cf17f70f1b607a46c1f.png" /></p> <p>С порталами связано ещё несколько проектов, которые Google предлагает принять в качестве стандартов. Все вместе они позволяют <b>упаковать ресурсы веб-сайта, подписать цифровой подписью — и передавать их через сторонние сайты</b>. То, что и нужно для «порталов».</p> <p><br />Сейчас порталы поддерживаются в Chrome Canary для Android, Mac, Windows, Linux и Chrome OS. Правда, по умолчанию она пока отключена. Чтобы её включить в Chrome Canary, следует активировать флаг порталов в настройках <i>chrome://flags/#enable-portals</i>.</p> <p>На данный момент только Chrome поддерживает эту технологию, другие браузеры пока не выразили интереса. Более того, сейчас Mozilla выступила с аргументированной критикой, почему технология Web Packaging не нужна и даже вредна для интернета.</p> <p><br />Mozilla подчёркивает, что подобный метод затрудняет реализацию same-origin policy — критического механизма безопасности, который позволяет изолировать потенциально опасные веб-ресурсы, уменьшая поверхность атаки. В частности, этот механизм ограничивает взаимодействие скриптов со сторонними доменами. В свою очередь, Google предлагает полагаться на цифровые подписи.</p> <p>«По своей сути, замена источника (origin) фундаментально изменяет способ работы интернета, — говорится в документе Mozilla. — Контент больше не обязан следовать связям с источниками. Место, где контент создан, можно полностью отделить от места, где он получен».</p> <p>Разработчик браузера Firefox беспокоится, что разрешение агрегаторам размещать и транслировать чужой контент увеличивает риски безопасности и порождает новые угрозы: например, скрипты, с помощью которых злоумышленник компрометирует ключ сервера или мошенническим способом получает сертификат с целью создания вредоносного контента от имени источника.</p> <p>Учитывая, что данный контент может кэшироваться или храниться в нескольких местах, между отзывом сертификата и аннулированием вредоносных распределённых веб-пакетов может пройти несколько дней, пишет Mozilla.</p> <p>Компания также высказывает несколько других опасений по поводу дополнительной сложности (что негативно влияет на безопасность), возможной потери производительности, навязывания конкретных «бирж» Signed HTTP Exchanges для подписи пакетов и накладных расходов на хранение для издателей и агрегаторов.</p> <p>Хотя указанные технические проблемы можно решить доработкой стандарта, но Mozilla по-прежнему не уверена, что стандарт Web Packaging полезен для интернета: «Остаётся вопрос, что это фундаментальное изменение способа доставки контента в интернете представляет собой проблемный сдвиг в балансе сил между субъектами, — рассуждают разработчики Firefox. — Мы должны рассмотреть, могут ли агрегаторы использовать эту технологию, чтобы навязать свою волю издателям».</p> <p>За общими формулировками Mozilla сквозит подозрение, что путём внедрения новых стандартов Google пытается изменить баланс в свою пользу и взять на себя функцию главного поставщика стороннего контента. Эти опасения усиливаются тем, что Chrome сейчас стал фактически стандартным браузером в интернете, а на базе Chromium основаны многочисленные сторонние браузеры, в том числе новый Edge и Opera. Это уже похоже на монополию. Компания Google близка к тому, чтобы продавливать любые стандарты без согласия индустрии, просто внедряя их в Chrome. В такой ситуации сначала веб-разработчики примут нововведение, а затем будут вынуждены подчиниться и остальные браузеры, как это происходило во времена монополии Internet Explorer.</p> <p>Mozilla считает, что принятие Web Packaging просто увеличит централизацию в вебе, увеличив влияние Facebook и Google как дистрибьюторов контента.</p> <p>Учитывая, как другие технологии и рыночный выбор повлияли на баланс сил в интернете — речь о технологии Google AMP, авторизации на сайтах через Facebook, изменениях в поисковом рейтинге Google, доле на рынке браузеров и так далее — Mozilla считает необходимым дополнительно изучить последствия внедрения технологии Web Packaging, прежде чем принимать этот стандарт.</p> <p>«Большие перемены нуждаются в серьёзном обосновании и поддержке. Это конкретное изменение особенно значительное и представляет собой ряд проблем. Повышенная подверженность проблемам безопасности и неизвестное влияние этого на баланс сил достаточно значительны, чтобы мы рассматривали эту технологию как вредную, пока не будет доступно больше информации», — заключает Mozilla.</p> <p><br /><img src="https://habrastorage.org/webt/1z/ee/y0/1zeey0n_oamytquvhui2rpjuyzu.jpeg" alt="1zeey0n_oamytquvhui2rpjuyzu.jpeg" /></p> <p class="copyrights"><span class="source">© <a target="_blank" rel="nofollow" href="https://habr.com/ru/post/454568/?utm_campaign=454568">Habrahabr.ru</a></span></p> </div> <br>  <div style="padding-left: 20px;"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-2514821055276660" crossorigin="anonymous"></script>  <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-2514821055276660" data-ad-slot="1200562049" data-ad-format="auto"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div>  <noindex> <div style="margin: 25px;" id="disqus_thread"></div> <script type="text/javascript"> var disqus_shortname = 'pcnewsru'; var disqus_identifier = '902680'; var disqus_title = 'Mozilla назвала «вредным» предложение Google о распространении веб-пакетов с цифровой подписью'; var disqus_url = 'http://pcnews.ru/blogs/mozilla_nazvala_vrednym_predlozenie_google_o_rasprostranenii_veb_paketov_s_cifrovoj_podpisu-902680.html'; (function() { var dsq = document.createElement('script'); dsq.type = 'text/javascript'; dsq.async = true; dsq.src = '//' + disqus_shortname + '.disqus.com/embed.js'; (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq); })(); </script>   </noindex> </div> <br class="clearer"/> </div> <br class="clearer"/> <div id="footer-2nd"></div> <div id="footer"> <br/><br/> <ul class="horz-menu"> <li class="about"><a href="/info/about.html" title="О проекте">О проекте</a></li> <li class="additional-menu"><a href="/archive.html" title="Архив материалов">Архив</a> </li> <li class="additional-menu"><a href="/info/reklama.html" title="Реклама" class="menu-item"><strong>Реклама</strong></a> <a href="/info/partners.html" title="Партнёры" class="menu-item">Партнёры</a> <a href="/info/legal.html" title="Правовая информация" class="menu-item">Правовая информация</a> <a href="/info/contacts.html" title="Контакты" class="menu-item">Контакты</a> <a href="/feedback.html" title="Обратная связь" class="menu-item">Обратная связь</a></li> <li class="email"><a href="mailto:pcnews@pcnews.ru" title="Пишите нам на pcnews@pcnews.ru"><img src="/media/i/email.gif" alt="e-mail"/></a></li> <li style="visibility: hidden"> <noindex>  <script type="text/javascript"> var _tmr = window._tmr || (window._tmr = []); _tmr.push({id: "93125", type: "pageView", start: (new Date()).getTime()}); (function (d, w, id) { if (d.getElementById(id)) return; var ts = d.createElement("script"); ts.type = "text/javascript"; ts.async = true; ts.id = id; ts.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//top-fwz1.mail.ru/js/code.js"; var f = function () { var s = d.getElementsByTagName("script")[0]; s.parentNode.insertBefore(ts, s); }; if (w.opera == "[object Opera]") { d.addEventListener("DOMContentLoaded", f, false); } else { f(); } })(document, window, "topmailru-code"); </script> <noscript> <div style="position:absolute;left:-10000px;"> <img src="//top-fwz1.mail.ru/counter?id=93125;js=na" style="border:0;" height="1" width="1" alt="Рейтинг@Mail.ru"/> </div> </noscript>  </noindex> </li> </ul> </div> <!--[if lte IE 7]> <iframe id="popup-iframe" frameborder="0" scrolling="no">