Signierte HTTP Exchanges (SXG) Engine

Vor einem Monat stellte Google auf einer Entwicklerkonferenz die Technologie der "Portale" vor , die eine neue Möglichkeit zum Herunterladen und Navigieren von Webseiten bieten soll. Im Wesentlichen ist <portal> eine fortgeschrittenere und modernere Version von <iframe>. Der Hauptunterschied besteht darin, dass Sie mit <Portal> innerhalb von Inhalten navigieren können, die von außen auf der Seite eingebettet sind, und mit <iframe> ist dies aus Sicherheitsgründen nicht möglich. Darüber hinaus kann <Portal> die URL in der Adressleiste des Browsers ändern, dh dieses Tag ist als Navigationswerkzeug nützlicher.

Für Google ist dies eine sehr wichtige Technologie, da Sie damit Benutzer auf einer Suchwebsite halten können, indem Sie den angeforderten Inhalt von anderen Websites über die "Portale" in Form von Webpaketen herunterladen.



Es gibt mehrere weitere Projekte im Zusammenhang mit den Portalen, die Google als Standards vorschlägt. Zusammen ermöglichen sie es Ihnen, Website-Ressourcen zu packen, digital zu signieren und über Websites von Drittanbietern zu übertragen . Was wird für die "Portale" benötigt.

• Signierte HTTP-Börsen (SXG) ;
  
• Web-Packaging-Format mit digitaler Signatur Web-Packaging (Übertragung der Ressourcen einer Website eines Drittanbieters an den Benutzer, auch über ein Peer-to-Peer-Netzwerk);
  
• Änderungen an der Abrufspezifikation .

Portale werden jetzt auf Chrome Canary für Android, Mac, Windows, Linux und Chrome OS unterstützt. Richtig, standardmäßig ist es immer noch deaktiviert. Um es in Chrome Canary zu aktivieren, müssen Sie das Portal-Flag in den Chrome- Einstellungen aktivieren : // flags / # enable-portals .

Derzeit unterstützt nur Chrome diese Technologie, andere Browser haben noch kein Interesse bekundet. Darüber hinaus hat Mozilla jetzt begründete Kritik geäußert, warum Web Packaging-Technologie nicht benötigt wird und sogar das Internet schädigt.

Warum Mozilla vs.

Mozilla betont, dass eine solche Methode die Implementierung der Richtlinie mit demselben Ursprung erschwert - ein kritischer Sicherheitsmechanismus, der potenziell gefährliche Webressourcen isoliert und die Angriffsfläche verringert. Dieser Mechanismus begrenzt insbesondere die Interaktion von Skripten mit Domänen von Drittanbietern. Google schlägt wiederum vor, sich auf digitale Signaturen zu verlassen.

„Im Kern ändert das Ersetzen der Quelle (des Ursprungs) die Funktionsweise des Internets grundlegend“, heißt es im Mozilla-Dokument . - Der Inhalt ist nicht mehr erforderlich, um Quelllinks zu folgen. Der Ort, an dem der Inhalt erstellt wird, kann vollständig von dem Ort getrennt werden, an dem er empfangen wurde. “

Der Entwickler des Firefox-Browsers befürchtet, dass das Ermöglichen, dass Aggregatoren Inhalte anderer veröffentlichen und übertragen, das Sicherheitsrisiko erhöht und neue Bedrohungen schafft: Zum Beispiel Skripte, mit denen ein Angreifer einen Serverschlüssel kompromittiert oder betrügerisch ein Zertifikat erhält, um böswillige Inhalte im Namen der Quelle zu erstellen.

Da dieser Inhalt an mehreren Stellen zwischengespeichert oder gespeichert werden kann, kann es zwischen dem Widerruf des Zertifikats und dem Abbrechen böswilliger verteilter Webpakete mehrere Tage dauern, schreibt Mozilla.

Das Unternehmen äußert auch einige andere Bedenken hinsichtlich zusätzlicher Komplexität (die sich negativ auf die Sicherheit auswirkt), möglicher Leistungsverluste, der Einführung spezifischer signierter HTTP-Börsen für das Signieren von Paketen und des Speicheraufwands für Publisher und Aggregatoren.

Obwohl diese technischen Probleme durch die Fertigstellung des Standards gelöst werden können, ist Mozilla immer noch nicht sicher, ob der Web Packaging-Standard für das Internet nützlich ist: „Die Frage bleibt, was diese grundlegende Änderung in der Art und Weise ist, wie Inhalte im Internet bereitgestellt werden, ist eine problematische Verschiebung des Kräfteverhältnisses zwischen den Akteuren“, argumentieren sie Firefox-Entwickler. "Wir müssen überlegen, ob Aggregatoren diese Technologie nutzen können, um Verlagen ihren Willen aufzuzwingen."

Mozilla ist misstrauisch gegenüber dem allgemeinen Wortlaut, dass Google durch die Einführung neuer Standards versucht, das Gleichgewicht zu seinen Gunsten zu ändern und die Rolle des Hauptanbieters von Inhalten von Drittanbietern zu übernehmen. Diese Bedenken werden durch die Tatsache verstärkt, dass Chrome mittlerweile praktisch zum Standardbrowser im Internet geworden ist und Chromium auf zahlreichen Browsern von Drittanbietern basiert, darunter der neue Edge und Opera. Es sieht schon nach einem Monopol aus. Google ist kurz davor, Standards ohne Zustimmung der Branche durch einfache Implementierung in Chrome voranzutreiben. In einer solchen Situation akzeptieren Webentwickler zuerst die Innovation, und dann müssen andere Browser gehorchen, wie dies während des Internet Explorer-Monopols der Fall war.

Mozilla glaubt, dass die Einführung von Web Packaging lediglich die Zentralisierung des Webs erhöhen und den Einfluss von Facebook und Google als Content-Distributoren erhöhen wird.

In Anbetracht der Auswirkungen anderer Technologien und Marktentscheidungen auf das Kräfteverhältnis im Internet - sprechen Sie über die Google AMP-Technologie, die Autorisierung von Websites über Facebook, Änderungen im Suchranking von Google, den Marktanteil von Browsern usw. - hält Mozilla es für erforderlich, die Auswirkungen der Webtechnologie weiter zu untersuchen Verpackung vor Annahme dieses Standards.

„Große Veränderungen erfordern ernsthafte Begründung und Unterstützung. Diese besondere Änderung ist besonders bedeutsam und birgt eine Reihe von Herausforderungen. Die erhöhte Anfälligkeit für Sicherheitsprobleme und die unbekannte Auswirkung auf das Kräfteverhältnis sind so bedeutend, dass wir diese Technologie als schädlich betrachten können, bis weitere Informationen verfügbar sind “, schließt Mozilla.

---