Mozilla назвала «шкідливою» пропозицію Google про поширення веб-пакетів з цифровим підписом

Місяць тому на конференції для розробників компанія Google запропонувала технологію «порталів», яка покликана забезпечити новий спосіб завантаження і навігації по веб-сторінкам. По суті, <portal> – це більш просунута і сучасна версія <iframe>. Головна різниця в тому, що <portal> дозволяє переміщатися всередині контенту, який введений на сторінку ззовні, а <iframe> не дозволяє цього з міркувань безпеки. Більш того, <portal> може змінювати URL в адресному рядку браузера, тобто цей тег корисніше в якості інструменту навігації.

Для Google це дуже важлива технологія, тому що дозволяє утримати користувачів на пошуковому сайті, завантажуючи запитаний контент з інших сайтів через «портали» у вигляді веб-пакетів. З порталами пов’язано ще кілька проектів, які Google пропонує прийняти в якості стандартів. Всі разом вони дозволяють упакувати ресурси веб-сайту, підписати цифровим підписом – і передавати їх через сторонні сайти. Те, що і потрібно для «порталів».

– Signed HTTP Exchanges (SXG);

– формат веб-пакетів з цифровим підписом Web Packaging (передача користувачеві ресурсів стороннього сайту, в тому числі через пірингову мережу);

– зміни в специфікації fetch.

Зараз портали підтримуються в Chrome Canary для Android, Mac, Windows, Linux і Chrome OS. Правда, за замовчуванням вона поки відключена. Щоб її включити в Chrome Canary, слід активувати прапор порталів в налаштуваннях chrome://flags/#enable-portals.

На даний момент тільки Chrome підтримує цю технологію, інші браузери поки не висловили зацікавленості. Більш того, зараз Mozilla виступила з аргументованою критикою, чому технологія Web Packaging не потрібна і навіть шкідлива для інтернету.

Чому Mozilla проти

Mozilla підкреслює, що подібний метод ускладнює реалізацію same-origin policy – критичного механізму безпеки, який дозволяє ізолювати потенційно небезпечні веб-ресурси, зменшуючи поверхню атаки. Зокрема, цей механізм обмежує взаємодію скриптів зі сторонніми доменами. У свою чергу, Google пропонує покладатися на цифрові підписи.

«За своєю суттю, заміна джерела (origin) фундаментально змінює спосіб роботи інтернету, – йдеться в документі Mozilla. – Контент більше не зобов’язаний слідувати зв’язкіам з джерелами. Місце, де контент створений, можна повністю відокремити від місця, де він отриманий».

Розробник браузера Firefox турбується, що дозвіл агрегаторами розміщувати і транслювати чужий контент збільшує ризики безпеки і породжує нові загрози: наприклад, скрипти, за допомогою яких зловмисник компрометує ключ сервера або шахрайським методом отримує сертифікат з метою створення шкідливого контенту від імені джерела.

З огляду на те, що даний контент може кешуватися або зберігатися в декількох місцях, між відкликанням сертифіката і анулюванням шкідливих розподілених веб-пакетів може пройти кілька днів, пише Mozilla.

Компанія також висловлює кілька інших побоювань з приводу додаткової складності (що негативно впливає на безпеку), можливої ​​втрати продуктивності, нав’язування конкретних «бірж» Signed HTTP Exchanges для підпису пакетів і накладних витрат на зберігання для видавців і агрегаторів.

Хоча зазначені технічні проблеми можна вирішити доопрацюванням стандарту, але Mozilla як і раніше не впевнена, що стандарт Web Packaging корисний для інтернету: «Залишається питання, що ця фундаментальна зміна способу доставки контенту в інтернеті є проблемним зсувом в балансі сил між суб’єктами, – міркують розробники Firefox. – Ми повинні розглянути, чи можуть агрегатори використовувати цю технологію, щоб нав’язати свою волю видавцям».

За загальними формулюваннями Mozilla прозирає підозра, що шляхом впровадження нових стандартів Google намагається змінити баланс на свою користь і взяти на себе функцію головного постачальника стороннього контенту. Ці побоювання посилюються тим, що Chrome зараз став фактично стандартним браузером в інтернеті, а на базі Chromium засновані численні сторонні браузери, в тому числі новий Edge і Opera. Це вже схоже на монополію. Компанія Google близька до того, щоб продавлювати будь які стандарти без згоди індустрії, просто впроваджуючи їх в Chrome. У такій ситуації спочатку веб-розробники візьмуть нововведення, а потім будуть змушені підкоритися і інші браузери, як це відбувалося за часів монополії Internet Explorer.

Mozilla вважає, що прийняття Web Packaging просто збільшить централізацію в інтернеті, збільшивши вплив Facebook і Google як дистриб’юторів контенту.

Враховуючи те, як інші технології і ринковий вибір вплинули на баланс сил в інтернеті – мова про технології Google AMP, авторизації на сайтах через Facebook, зміни в пошуковому рейтингу Google, частці на ринку браузерів і так далі – Mozilla вважає за необхідне додатково вивчити наслідки впровадження технології Web Packaging, перш ніж приймати цей стандарт.

«Великі зміни потребують серйозного обгрунтування і підтримки. Ця конкретна зміна особливо значна і являє собою ряд проблем. Підвищена схильність до проблем безпеки і невідомий вплив цього на баланс сил досить значні, щоб ми розглядали цю технологію як шкідливу, поки не буде доступно більше інформації», – робить висновок Mozilla.

Джерело: habr.com