签名的HTTP Exchange (SXG)引擎一个月前,在开发人员会议上,谷歌介绍了
“门户”技术,该
技术旨在提供一种下载和浏览网页的新方法。 本质上,<portal>是<iframe>的更高级和更现代的版本。 主要区别是<portal>允许您从外部导航到嵌入在页面上的内容,而<iframe>出于安全原因不允许这样做。 此外,<portal>可以更改浏览器地址栏中的URL,也就是说,此标签作为导航工具更为有用。
对于Google来说,这是一项非常重要的技术,因为它允许您通过以Web软件包的形式通过“门户”从其他站点下载请求的内容,从而将用户保留在搜索站点上。
Google建议接受与门户相关的其他几个项目作为标准。 它们一起使您可以
打包网站资源,对其进行数字签名-并通过第三方网站进行传输 。 “门户”需要什么。
现在,适用于Android,Mac,Windows,Linux和Chrome操作系统的Chrome Canary支持门户网站。 是的,默认情况下它仍处于禁用状态。 要在Chrome Canary中启用它,您必须在
Chrome设置中激活Portal标志
:// flags /#enable-portals 。
目前,只有Chrome支持此技术,其他浏览器尚未表示出兴趣。 而且,现在Mozilla提出了
合理的批评,为什么不需要Web打包技术,甚至对Internet有害。
为什么选择Mozilla vs
Mozilla强调说,这种方法使实施
同源策略变得困难-一种至关重要的安全机制,该机制隔离了潜在危险的Web资源,从而减少了攻击面。 特别是,此机制限制了脚本与第三方域的交互。 反过来,谷歌建议依靠数字签名。
Mozilla文件说:“从根本上讲,替换源(来源)从根本上改变了Internet的工作方式。” -不再需要内容来跟随源链接。 可以将创建内容的地方与接收内容的地方完全分开。”
Firefox浏览器的开发人员担心,允许聚合者发布和广播他人的内容会增加安全风险并造成新的威胁:例如,攻击者通过脚本攻击服务器密钥或欺诈性地接收证书以代表源创建恶意内容。
Mozilla写道,鉴于此内容可以缓存或存储在多个地方,因此从证书吊销到取消恶意的分布式Web软件包之间可能要花费几天的时间。
该公司还提出了其他一些担忧,包括额外的复杂性(这会对安全性造成负面影响),可能的性能损失,为签名包而实施的特定“交换”签名HTTP Exchange的实施以及发布者和聚合者的存储开销。
尽管可以通过最终确定标准来解决这些技术问题,但Mozilla仍不确定Web打包标准是否对互联网有用:“问题仍然存在,互联网上内容交付方式的这一根本变化是参与者之间力量平衡的问题性转变,” Firefox开发人员。 “我们需要考虑聚合器是否可以使用这项技术将其意志强加给发布者。”
Mozilla对通用措辞表示怀疑,该措辞是通过引入新标准,谷歌试图改变平衡,以支持自己,并承担第三方内容主要提供商的角色。 Chrome现在实际上已成为Internet上的标准浏览器,而Chromium基于
众多第三方浏览器 (包括
新的Edge和Opera),这一事实进一步加剧了这些担忧。 看起来已经像是垄断了。 Google只需在Chrome中实现这些标准,就可以在未经行业同意的情况下推动任何标准。 在这种情况下,Web开发人员将首先接受创新,然后其他浏览器将被迫服从,就像Internet Explorer垄断期间发生的那样。
Mozilla相信Web Packaging的采用只会增加Web的集中度,从而增加Facebook和Google作为内容分发者的影响力。
考虑到其他技术和市场选择如何影响互联网上的力量平衡-谈论Google AMP技术,通过Facebook进行网站授权,Google搜索排名的变化,浏览器市场份额等-Mozilla认为有必要进一步研究Web技术的含义包装前接受本标准。
“重大变化需要认真的证实和支持。 这种特殊的变化特别重要,并带来许多挑战。 Mozilla总结道,对安全问题的敏感性增强以及这种对电力平衡的未知影响,足以使我们认为该技术是
有害的,直到有更多信息可用为止。
