Механизм Signed HTTP Exchanges (SXG)
Месяц назад на конференции для разработчиков компания Google предложила технологию «порталов», которая призвана обеспечить новый способ загрузки и навигации по веб-страницам. По сути, <portal> — это более продвинутая и современная версия <iframe>. Главная разница в том, что <portal> позволяет перемещаться внутри контента, который внедрён на страницу извне, а <iframe> не позволяет этого по соображениям безопасности. Более того, <portal> может изменять URL в адресной строке браузера, то есть этот тег полезнее в качестве инструмента навигации.
Для Google это очень важная технология, потому что позволяет удержать пользователей на поисковом сайте, загружая запрошенный контент с других сайтов через «порталы» в виде веб-пакетов.
С порталами связано ещё несколько проектов, которые Google предлагает принять в качестве стандартов. Все вместе они позволяют упаковать ресурсы веб-сайта, подписать цифровой подписью — и передавать их через сторонние сайты. То, что и нужно для «порталов».
- Signed HTTP Exchanges (SXG);
- формат веб-пакетов с цифровой подписью Web Packaging (передача пользователю ресурсов стороннего сайта, в том числе через пиринговую сеть);
- изменения в спецификации fetch.
Сейчас порталы поддерживаются в Chrome Canary для Android, Mac, Windows, Linux и Chrome OS. Правда, по умолчанию она пока отключена. Чтобы её включить в Chrome Canary, следует активировать флаг порталов в настройках chrome://flags/#enable-portals.
На данный момент только Chrome поддерживает эту технологию, другие браузеры пока не выразили интереса. Более того, сейчас Mozilla выступила с аргументированной критикой, почему технология Web Packaging не нужна и даже вредна для интернета.
Почему Mozilla против
Mozilla подчёркивает, что подобный метод затрудняет реализацию same-origin policy — критического механизма безопасности, который позволяет изолировать потенциально опасные веб-ресурсы, уменьшая поверхность атаки. В частности, этот механизм ограничивает взаимодействие скриптов со сторонними доменами. В свою очередь, Google предлагает полагаться на цифровые подписи.
«По своей сути, замена источника (origin) фундаментально изменяет способ работы интернета, — говорится в документе Mozilla. — Контент больше не обязан следовать связям с источниками. Место, где контент создан, можно полностью отделить от места, где он получен».
Разработчик браузера Firefox беспокоится, что разрешение агрегаторам размещать и транслировать чужой контент увеличивает риски безопасности и порождает новые угрозы: например, скрипты, с помощью которых злоумышленник компрометирует ключ сервера или мошенническим способом получает сертификат с целью создания вредоносного контента от имени источника.
Учитывая, что данный контент может кэшироваться или храниться в нескольких местах, между отзывом сертификата и аннулированием вредоносных распределённых веб-пакетов может пройти несколько дней, пишет Mozilla.
Компания также высказывает несколько других опасений по поводу дополнительной сложности (что негативно влияет на безопасность), возможной потери производительности, навязывания конкретных «бирж» Signed HTTP Exchanges для подписи пакетов и накладных расходов на хранение для издателей и агрегаторов.
Хотя указанные технические проблемы можно решить доработкой стандарта, но Mozilla по-прежнему не уверена, что стандарт Web Packaging полезен для интернета: «Остаётся вопрос, что это фундаментальное изменение способа доставки контента в интернете представляет собой проблемный сдвиг в балансе сил между субъектами, — рассуждают разработчики Firefox. — Мы должны рассмотреть, могут ли агрегаторы использовать эту технологию, чтобы навязать свою волю издателям».
За общими формулировками Mozilla сквозит подозрение, что путём внедрения новых стандартов Google пытается изменить баланс в свою пользу и взять на себя функцию главного поставщика стороннего контента. Эти опасения усиливаются тем, что Chrome сейчас стал фактически стандартным браузером в интернете, а на базе Chromium основаны многочисленные сторонние браузеры, в том числе новый Edge и Opera. Это уже похоже на монополию. Компания Google близка к тому, чтобы продавливать любые стандарты без согласия индустрии, просто внедряя их в Chrome. В такой ситуации сначала веб-разработчики примут нововведение, а затем будут вынуждены подчиниться и остальные браузеры, как это происходило во времена монополии Internet Explorer.
Mozilla считает, что принятие Web Packaging просто увеличит централизацию в вебе, увеличив влияние Facebook и Google как дистрибьюторов контента.
Учитывая, как другие технологии и рыночный выбор повлияли на баланс сил в интернете — речь о технологии Google AMP, авторизации на сайтах через Facebook, изменениях в поисковом рейтинге Google, доле на рынке браузеров и так далее — Mozilla считает необходимым дополнительно изучить последствия внедрения технологии Web Packaging, прежде чем принимать этот стандарт.
«Большие перемены нуждаются в серьёзном обосновании и поддержке. Это конкретное изменение особенно значительное и представляет собой ряд проблем. Повышенная подверженность проблемам безопасности и неизвестное влияние этого на баланс сил достаточно значительны, чтобы мы рассматривали эту технологию как вредную, пока не будет доступно больше информации», — заключает Mozilla.
Автор: GlobalSign_admin