Mecanismo de trocas HTTP assinadas (SXG)

Há um mês, em uma conferência para desenvolvedores, o Google introduziu a tecnologia de "portais" , projetada para fornecer uma nova maneira de baixar e navegar em páginas da web. Em essência, <portal> é uma versão mais avançada e moderna do <iframe>. A principal diferença é que <portal> permite navegar por dentro do conteúdo incorporado na página de fora e <iframe> não permite isso por razões de segurança. Além disso, <portal> pode alterar o URL na barra de endereços do navegador, ou seja, essa tag é mais útil como ferramenta de navegação.

Para o Google, essa é uma tecnologia muito importante, pois permite manter os usuários em um site de pesquisa baixando o conteúdo solicitado de outros sites através dos "portais" na forma de pacotes da Web.



Existem vários outros projetos associados aos portais que o Google sugere aceitar como padrão. Juntos, eles permitem que você empacote recursos do site, assine digitalmente - e transfira-os através de sites de terceiros . O que é necessário para os "portais".

• Trocas HTTP assinadas (SXG) ;
  
• Formato de empacotamento da Web com assinatura digital Empacotamento da Web (transfira para o usuário os recursos de um site de terceiros, inclusive por meio de uma rede ponto a ponto);
  
• alterações na especificação de busca .

Os portais agora são suportados no Chrome Canary para Android, Mac, Windows, Linux e Chrome OS. Verdadeiro, por padrão, ainda está desativado. Para habilitá-lo no Chrome Canary, você deve ativar o sinalizador do portal nas configurações do chrome: // flags / # enable-portaals .

No momento, apenas o Chrome suporta essa tecnologia, outros navegadores ainda não demonstraram interesse. Além disso, agora a Mozilla fez críticas fundamentadas por que a tecnologia Web Packaging não é necessária e até prejudicial à Internet.

Por que Mozilla vs

A Mozilla enfatiza que esse método dificulta a implementação da política de mesma origem - um mecanismo de segurança crítico que isola recursos da Web potencialmente perigosos, reduzindo a superfície de ataque. Em particular, esse mecanismo limita a interação de scripts com domínios de terceiros. Por sua vez, o Google sugere confiar em assinaturas digitais.

“No fundo, a substituição da fonte (origem) muda fundamentalmente a maneira como a Internet funciona”, diz o documento da Mozilla . - O conteúdo não é mais necessário para seguir os links de origem. O local onde o conteúdo é criado pode ser completamente separado do local em que foi recebido. ”

O desenvolvedor do navegador Firefox está preocupado com o fato de permitir que agregadores postem e transmitam conteúdo de outras pessoas aumente os riscos de segurança e crie novas ameaças: por exemplo, scripts pelos quais um invasor compromete uma chave de servidor ou recebe um certificado fraudulentamente para criar conteúdo malicioso em nome da fonte.

Como esse conteúdo pode ser armazenado em cache ou armazenado em vários locais, pode demorar vários dias entre a revogação do certificado e o cancelamento de pacotes da Web distribuídos com códigos maliciosos, escreve a Mozilla.

A empresa também levanta várias outras preocupações sobre complexidade adicional (que afeta negativamente a segurança), possível perda de desempenho, a imposição de “trocas” específicas de trocas HTTP assinadas para assinar pacotes e sobrecarga de armazenamento para editores e agregadores.

Embora esses problemas técnicos possam ser resolvidos com a finalização do padrão, a Mozilla ainda não tem certeza de que o padrão Web Packaging seja útil para a Internet: "A questão permanece: qual é essa mudança fundamental na maneira como o conteúdo é entregue na Internet é uma mudança problemática no equilíbrio de poder entre os atores", argumentam eles. Desenvolvedores do Firefox. "Precisamos considerar se os agregadores podem usar essa tecnologia para impor sua vontade aos editores".

A Mozilla suspeita da expressão geral de que, ao introduzir novos padrões, o Google está tentando mudar o equilíbrio a seu favor e assume o papel de principal fornecedor de conteúdo de terceiros. Essas preocupações são reforçadas pelo fato de o Chrome ter se tornado praticamente o navegador padrão na Internet, e o Chromium é baseado em vários navegadores de terceiros , incluindo o novo Edge e Opera. Já parece um monopólio. O Google está próximo de empurrar quaisquer padrões sem o consentimento do setor, simplesmente implementando-os no Chrome. Em tal situação, os desenvolvedores da Web primeiro aceitarão a inovação e, em seguida, outros navegadores serão obrigados a obedecer, como aconteceu durante o monopólio do Internet Explorer.

A Mozilla acredita que a adoção do Web Packaging simplesmente aumentará a centralização da web, aumentando a influência do Facebook e do Google como distribuidores de conteúdo.

Considerando como outras tecnologias e opções de mercado afetaram o equilíbrio de poder na Internet - fale sobre a tecnologia AMP do Google, autorização em sites via Facebook, alterações no ranking de pesquisa do Google, participação no mercado de navegadores e assim por diante - a Mozilla considera necessário estudar mais as implicações da tecnologia da Web Embalagem antes de aceitar este padrão.

“Grandes mudanças precisam de substancia e apoio sérios. Essa mudança específica é particularmente significativa e apresenta uma série de desafios. O aumento da suscetibilidade a problemas de segurança e o efeito desconhecido disso no equilíbrio de energia são significativos o suficiente para considerarmos essa tecnologia como prejudicial até que mais informações estejam disponíveis ”, conclui Mozilla.

---