Por que a tecnologia de "empacotar" o conteúdo de uma página da web em uma fonte é tão perigosa, o que é, e por que a equipe de desenvolvimento da web do Google está pisando em uma ladeira escorregadia, vamos descobrir a seguir.
Web Bundle - o negócio RarJPEG continua vivo
Especificamente, eles escreveram sobre o WebBundle no Habré no já distante 2015. Então o autorComodoHackerlançou um artigo " Web Bundle - The RarJPEG Case Lives " com uma visão geral da versão mais recente da nova ferramenta no GitHub .
O princípio do WebBudle 2015 é simples e duplica os princípios de empacotamento de arquivos .exe: "arquivos arbitrários são compactados em um arquivo de contêiner e, no lado do cliente, o acesso a eles é organizado pelo nome do arquivo usando a API."
O lançamento de 2015 foi, na verdade, um repensar dos usuários familiarizados com imageboards, o princípio rarJPEG - quando o conteúdo adicional era compactado em uma imagem. Isso tornou possível contornar as restrições do conselho de enviar apenas imagens e transferir arquivos arbitrários entre usuários usando uma plataforma anônima.
O WebBundle ainda pretendia contornar as restrições ao tipo de arquivo: ele poderia ser usado para compactar qualquer coisa em um PNG condicional, incluindo binários, e transferi-lo sob o disfarce de uma imagem em um "arquivo".
Em 2015ComodoHackeravaliou muito corretamente as perspectivas do WebBundle: a tecnologia é específica e só viverá se for usada. Agora, a partir de 2020, podemos responder com segurança que não, a tecnologia não foi utilizada e não foi ao mundo.
O problema é que os engenheiros e desenvolvedores da web do Google definitivamente têm os favoritos do Forchana, e eles reimaginaram o conceito de WebBundle, lançando a versão 2.0, ou como eles chamam, WebBundles.
Como o WebBundles de 2019 do Google difere do WebBundle de 2015
O primeiro e mais óbvio - os caras do Google começaram a trabalhar. Em segundo lugar, eles conseguiram puxar arquivos aleatórios como uma coruja inútil em pacotes PNG no enorme globo de desenvolvimento web e construção de sites.
Se dermos TL; DR, a diferença entre WebBundles e WebBundle será assim: Os
engenheiros do Google sugerem diretamente o uso de WebBundles para encapsular várias fontes em um arquivo para exibição posterior como uma página da web final para o usuário. Na verdade, a tecnologia mais próxima disponível atualmente é o PDF. Acho que muitos de nós já nos deparamos com, pelo menos uma vez na vida, a necessidade de extrair parte de seu conteúdo de um arquivo PDF e isso não precisa de mais comentários.
Mas se o Google promover WebBundles como uma ferramenta onipresente, pode ser um momento extremamente sombrio para a web, e aqui está o porquê.
Por que WebBundles são perigosos para a web moderna
A web moderna é construída com base no princípio de que cada fonte tem seu próprio link, ou seja, podemos descompilar uma página e visualizar seu conteúdo, muitas vezes literalmente abrindo o console em um navegador.
No caso de empacotar um site em WebBundles, obtemos um monólito de dezenas ou centenas de fontes encapsuladas, que para o mundo externo estão escondidas sob um link, e esse conteúdo pode ser chamado apenas por acesso direto ao nosso "monólito".
Do ponto de vista da segurança da informação, isso significa que qualquer site que apareça para o mundo externo apenas como um mono-link condicional pode conter código JS arbitrário, scripts, anúncios e assim por diante, para os quais há imaginação suficiente.
Pesquisador de segurança da Brave Peter Snyder.comentou sobre a tecnologia criada pelo Google em seu blog:
Essa tecnologia pode transformar a Internet moderna de uma coleção de recursos com hiperlinks (que podem ser verificados, recuperados seletivamente ou até mesmo substituídos) em bolhas opacas que funcionam de forma tudo ou nada (como PDF ou SWF já funcionam).
O problema com WebBundles é que o próprio princípio de empacotamento opaco do conteúdo da página da web em um único monólito torna impossível a validação, além de desvalorizar o mecanismo já construído para a relevância e indexação de URLs.
Basicamente, um problema comum com todos esses truques de empacotamento é que os WebBundles criam um namespace local independentemente do que o resto do mundo vê. Isso pode causar confusão massiva de nomes e negar anos de trabalho para criar um ambiente confidencial e seguro.
Um fato bem conhecido será anunciado agora: o Google odeia bloqueadores de anúncios. Talvez eles estejam tentando fingir que os bloqueadores são um fenômeno com o qual se conviver e que não vai a lugar nenhum. Talvez eles próprios apoiem este mainstream. Por exemplo, um bloqueador embutido foi adicionado ao Chrome em novembro .
Mas vamos ser honestos: todo o império do Google é baseado em banners e os três primeiros SERPs rotulados como "anúncios". Esta é uma receita corporativa de bilhões de dólares e todo o império de negócios e desenvolvimento do Google gira em torno dos banners e desses três links.
WebBundles pode ser uma virada de jogo em um nível técnico e tornar o conceito de bloqueadores de anúncios modernos completamente disfuncional. URLs aleatórios podem ser empacotados em WebBundlespara exibir anúncios, você pode substituir os endereços de URL neles e assim por diante, para os quais você tem imaginação suficiente.
Dito isso, o Google é sério o suficiente. A implementação atual de WebBundles já está integrada em versões estáveis do Chrome, mas está desabilitada por padrão. Mas se você quiser,
chrome://flagspode abrir esta caixa de Pandora.
Versão do Chrome 85.0.4183.83 (versão oficial), (64 bits)
Agora, WebBundles são mais como uma arma que fica pendurada na parede e nunca dispara. Mas se o Google “aperta” e as receitas da empresa caem significativamente devido à queda nos orçamentos de publicidade, essa arma também pode ser usada. Não se sabe o que a corporação promete aos desenvolvedores web, mas já está claro que o WebBundles parece muito atraente para webmasters inescrupulosos que estão prontos para monetizar sua economia de qualquer maneira e maneira.
Como lidar com isso também não está claro, especialmente considerando o fato de que o chefe da possível implementação do "web-PDF" será uma empresa que está desenvolvendo o motor de navegador mais popular do planeta. Pior ainda, não há alternativas inteligíveis para esse motor agora, porque até a Microsoft já “atirou e enterrou” seu comissário de bordo EdgeHTML por dois anos, tendo mudado para o Chromium.
A analogia com o PDF é feita por um motivo: o princípio básico de exibição e empacotamento de dados entre o formato de proteção de documento e WebBundles é extremamente semelhante. Pior ainda, em 2020, não existem ferramentas e serviços publicamente disponíveis (mesmo pagos) que descompilariam o conteúdo PDF com 100% de precisão e o entregariam ao usuário no formato desejado, e estamos apenas falando sobre proteção de dados de texto. Quais métodos de proteção de conteúdo de containers WebBundles podem criar no Google ninguém sabe.
O Google posicionou cuidadosamente o WebBundles como "uma ferramenta para salvar e transferir sites localmente", ou seja, via mídia ou Bluetooth. Ao mesmo tempo, a empresa chama os WebBundles de "um novo padrão que pode mudar fundamentalmente a Internet", ou seja, já há planos para uma adoção generalizada dos WebBundles.
Publicidade
Servidores para hospedar sites de todos os tamanhos - essa é a nossa epopeia ! Todos os servidores "fora da caixa" estão protegidos de ataques DDoS, a velocidade do canal da Internet é de 500 Megabits, a instalação automática de um conveniente painel de controle VestaCP para hospedagem de sites e até a instalação automática do Windows Server com tarifas de 2 GB de RAM ou superior. Apresse-se para fazer o pedido!
