Moteur d' échange HTTP signé (SXG)

Il y a un mois, lors d'une conférence pour les développeurs, Google a présenté la technologie des "portails" , qui vise à fournir une nouvelle façon de télécharger et de naviguer sur les pages Web. En substance, <portal> est une version plus avancée et moderne de <iframe>. La principale différence est que <portal> vous permet de naviguer à l'intérieur du contenu intégré à la page de l'extérieur, et <iframe> ne le permet pas pour des raisons de sécurité. De plus, <portal> peut changer l'URL dans la barre d'adresse du navigateur, c'est-à-dire que cette balise est plus utile comme outil de navigation.

Pour Google, il s'agit d'une technologie très importante, car elle vous permet de garder les utilisateurs sur un site de recherche en téléchargeant le contenu demandé depuis d'autres sites via les "portails" sous forme de packages web.



Il existe plusieurs autres projets associés aux portails que Google suggère d'accepter comme normes. Ensemble, ils vous permettent de regrouper les ressources du site Web, de les signer numériquement - et de les transférer via des sites tiers . Ce qui est nécessaire pour les "portails".

• Échanges HTTP signés (SXG) ;
  
• Format d'emballage Web avec une signature numérique Emballage Web (transfert à un utilisateur des ressources d'un site tiers, y compris via un réseau peer-to-peer);
  
• modifications de la spécification de récupération .

Les portails sont désormais pris en charge sur Chrome Canary pour Android, Mac, Windows, Linux et Chrome OS. Certes, par défaut, il est toujours désactivé. Pour l'activer dans Chrome Canary, vous devez activer l'indicateur de portail dans les paramètres de chrome: // flags / # enable-portals .

Pour le moment, seul Chrome prend en charge cette technologie, les autres navigateurs n'ont pas encore manifesté leur intérêt. De plus, Mozilla a maintenant critiqué de manière raisonnée pourquoi la technologie Web Packaging n'est pas nécessaire et même nuisible pour Internet.

Pourquoi Mozilla vs

Mozilla souligne qu'une telle méthode rend difficile la mise en œuvre de la politique de même origine - un mécanisme de sécurité critique qui isole les ressources Web potentiellement dangereuses, réduisant la surface d'attaque. En particulier, ce mécanisme limite l'interaction des scripts avec les domaines tiers. À son tour, Google suggère de s'appuyer sur les signatures numériques.

"Au fond, le remplacement de la source (origine) change fondamentalement le fonctionnement d'Internet", explique le document de Mozilla . - Le contenu n'est plus requis pour suivre les liens source. L'endroit où le contenu est créé peut être complètement séparé de l'endroit où il a été reçu. »

Le développeur du navigateur Firefox craint que le fait d'autoriser les agrégateurs à publier et diffuser le contenu de quelqu'un d'autre augmente les risques de sécurité et crée de nouvelles menaces: par exemple, les scripts par lesquels un attaquant compromet une clé de serveur ou reçoit frauduleusement un certificat afin de créer du contenu malveillant au nom de la source.

Étant donné que ce contenu peut être mis en cache ou stocké à plusieurs endroits, cela peut prendre plusieurs jours entre la révocation du certificat et l'annulation des packages Web distribués malveillants, écrit Mozilla.

La société soulève également plusieurs autres préoccupations concernant la complexité supplémentaire (qui affecte négativement la sécurité), la perte de performances possible, l'imposition d'échanges HTTP signés spécifiques pour les packages de signature et les frais de stockage pour les éditeurs et les agrégateurs.

Bien que ces problèmes techniques puissent être résolus en finalisant la norme, Mozilla n'est toujours pas sûr que la norme Web Packaging soit utile pour Internet: «La question demeure, quel est ce changement fondamental dans la manière dont le contenu est fourni sur Internet est un changement problématique dans l'équilibre des pouvoirs entre les acteurs», affirment-ils Développeurs Firefox. «Nous devons déterminer si les agrégateurs peuvent utiliser cette technologie pour imposer leur volonté aux éditeurs.»

Mozilla se méfie de la formulation générale selon laquelle, en introduisant de nouvelles normes, Google essaie de changer l'équilibre en sa faveur et d'assumer le rôle de principal fournisseur de contenu tiers. Ces inquiétudes sont renforcées par le fait que Chrome est devenu pratiquement le navigateur standard sur Internet, et Chromium est basé sur de nombreux navigateurs tiers , y compris les nouveaux Edge et Opera. Cela ressemble déjà à un monopole. Google est sur le point de repousser les normes sans le consentement de l'industrie en les mettant simplement en œuvre dans Chrome. Dans une telle situation, les développeurs Web accepteront d'abord l'innovation, puis les autres navigateurs seront obligés d'obéir, comme cela s'est produit pendant le monopole d'Internet Explorer.

Mozilla estime que l'adoption de Web Packaging ne fera qu'accroître la centralisation du Web, augmentant ainsi l'influence de Facebook et Google en tant que distributeurs de contenu.

Compte tenu de la façon dont d'autres technologies et choix de marché ont affecté l'équilibre des pouvoirs sur Internet - parlez de la technologie Google AMP, de l'autorisation sur les sites via Facebook, des changements dans le classement de recherche de Google, de la part de marché des navigateurs, etc. - Mozilla considère qu'il est nécessaire d'étudier plus avant les implications de la technologie Web Emballage avant d'accepter cette norme.

«Les grands changements nécessitent une justification et un soutien sérieux. Ce changement particulier est particulièrement important et pose un certain nombre de défis. La sensibilité accrue aux problèmes de sécurité et son effet inconnu sur l'équilibre des pouvoirs sont suffisamment importants pour que nous considérions cette technologie comme nuisible jusqu'à ce que plus d'informations soient disponibles », conclut Mozilla.

---