Por qué la tecnología de "empaquetar" el contenido de una página web en una sola fuente es tan peligrosa, qué es y por qué el equipo de desarrollo web de Google está entrando en una pendiente muy resbaladiza, comprendamos a continuación.
Web Bundle: el negocio RarJPEG sigue vivo
Específicamente, escribieron sobre WebBundle en Habré en 2015 ya bastante lejano. Entonces el autorComodoHackerpublicó un artículo " Web Bundle - The RarJPEG Case Lives " con una descripción general de la última versión de la nueva herramienta en GitHub .
El principio de WebBudle 2015 es simple y duplica los principios de empaquetado de archivos .exe: "los archivos arbitrarios se empaquetan en un archivo contenedor y, en el lado del cliente, el acceso a ellos se organiza por nombre de archivo utilizando la API".
El lanzamiento de 2015 fue, de hecho, un replanteamiento de los usuarios familiarizados con los tableros de imágenes, el principio rarJPEG, cuando se empaquetaba contenido adicional en una imagen. Esto hizo posible eludir las restricciones de la junta para cargar solo imágenes y transferir archivos arbitrarios entre usuarios utilizando una plataforma anónima.
WebBundle todavía tenía como objetivo eludir las restricciones sobre el tipo de archivos: podría usarse para empaquetar cualquier cosa en un PNG condicional, incluidos los binarios, y transferirlo bajo la apariencia de una imagen en un "archivo".
En 2015ComodoHackerEvaluó muy correctamente las perspectivas de WebBundle: la tecnología es específica y solo vivirá si se utiliza. Ahora, a partir de 2020, podemos responder con seguridad que no, la tecnología no se utilizó y no salió al mundo.
El problema es que los ingenieros y desarrolladores web de Google definitivamente tienen los favoritos de Forchana, y reinventaron el concepto de WebBundle, lanzando la versión 2.0, o como lo llamaron, WebBundles.
En qué se diferencia el WebBundles 2019 de Google del WebBundle 2015
El primero y más obvio: los chicos de Google se pusieron manos a la obra. En segundo lugar, lograron introducir archivos aleatorios como un búho inútil en un paquete PNG en el enorme mundo del desarrollo web y la construcción de sitios.
Si le damos TL; DR, entonces la diferencia entre WebBundles y WebBundle se ve así: los
ingenieros de Google sugieren directamente el uso de WebBundles para encapsular múltiples fuentes en un archivo para luego mostrarlo como una página web final para el usuario. De hecho, la tecnología más cercana disponible actualmente es PDF. Creo que muchos de nosotros nos hemos encontrado al menos una vez en la vida con la necesidad de extraer parte de su contenido de un archivo PDF y esto no necesita más comentarios.
Pero si Google promueve WebBundles como una herramienta ubicua, podría ser un momento extremadamente oscuro para la web, y aquí está el motivo.
Por qué los WebBundles son peligrosos para la web moderna
La web moderna se basa en el principio de que cada fuente tiene su propio enlace, es decir, podemos descompilar una página y ver su contenido, a menudo literalmente abriendo la consola en un navegador.
En el caso de empaquetar un sitio en WebBundles, obtenemos un monolito de docenas o cientos de fuentes encapsuladas, que para el mundo exterior están ocultas bajo un enlace, y este contenido puede ser llamado solo por acceso directo a nuestro "monolito".
Desde el punto de vista de la seguridad de la información, esto significa que cualquier sitio que se muestre al mundo exterior como un simple enlace único condicional puede contener código JS arbitrario, scripts, anuncios, etc., para lo cual hay suficiente imaginación.
Investigador de seguridad de la información en Brave Peter Snyder socomentó sobre la tecnología creada por Google en su blog:
Esta tecnología puede transformar la Internet moderna de una colección de recursos con hipervínculos (que se pueden verificar, recuperar selectivamente o incluso reemplazar) en burbujas opacas que funcionan de una manera de todo o nada (como ya lo hacen PDF o SWF).
El problema con WebBundles es que el principio mismo del empaquetado opaco del contenido de la página web en un solo monolito hace que sea imposible de validar, además de devaluar el mecanismo ya construido para la relevancia e indexación de las URL.
Básicamente, un problema común con todos estos trucos de empaquetado es que los WebBundles crean un espacio de nombres local independientemente de lo que vea el resto del mundo. En última instancia, esto puede causar una confusión masiva en los nombres y anular años de trabajo para crear un entorno confidencial y seguro.
Ahora se anunciará un hecho bien conocido: Google odia los bloqueadores de anuncios. Quizás están tratando de fingir que los bloqueadores son un fenómeno con el que convivir y que no irá a ninguna parte. Quizás ellos mismos apoyan esta corriente principal. Por ejemplo, se agregó un bloqueador integrado a Chrome en noviembre .
Pero seamos honestos: todo el imperio de Google se basa en banners y los primeros tres SERP etiquetados como "anuncios". Este es un ingreso corporativo de miles de millones de dólares y todo el imperio comercial y de desarrollo de Google gira en torno a los banners y estos tres enlaces.
WebBundles podría cambiar las reglas del juego a nivel técnico y hacer que el concepto de bloqueadores de anuncios modernos sea completamente disfuncional. Las URL aleatorias se pueden empaquetar en WebBundlespara mostrar anuncios, puede sustituir direcciones URL en ellos, etc., para lo cual tiene suficiente imaginación.
Dicho esto, Google es lo suficientemente serio. La implementación actual de WebBundles ya está integrada en las versiones estables de Chrome, pero está deshabilitada de forma predeterminada. Pero si lo desea,
chrome://flagspuede abrir esta caja de Pandora.
Versión de Chrome 85.0.4183.83 (compilación oficial), (64 bits)
Ahora los WebBundles son más como un arma que cuelga de la pared y nunca dispara. Pero si Google "aprieta" y los ingresos de la empresa caen significativamente debido a la caída de los presupuestos publicitarios, esta arma también puede usarse. No se sabe qué promete la corporación a los desarrolladores web, pero ya está claro que WebBundles parece muy atractivo para los webmasters sin escrúpulos que están dispuestos a monetizar su economía de cualquier forma.
Tampoco está claro cómo lidiar con esto, especialmente teniendo en cuenta que el jefe de la posible implementación de "web-PDF" será una empresa que está desarrollando el motor de navegación más popular del planeta. Peor aún, no hay alternativas inteligibles para este motor ahora, porque incluso Microsoft ya ha "disparado y enterrado" a su asistente de vuelo EdgeHTML durante dos años, después de haber cambiado a Chromium.
La analogía con PDF se hace por una razón: el principio básico de mostrar y empaquetar datos entre el formato de protección de documentos y WebBundles es extremadamente similar. Peor aún, para 2020, no hay herramientas y servicios disponibles públicamente (incluso pagos) que descompilen el contenido PDF con una precisión del 100% y se lo entreguen al usuario en el formato deseado, y solo estamos hablando de proteger los datos de texto. Qué métodos para proteger el contenido de los contenedores pueden crear WebBundles en Google es una incógnita.
Hasta ahora, Google ha posicionado cuidadosamente a WebBundles como "una herramienta para guardar y transferir sitios web localmente", es decir, a través de medios o Bluetooth. Al mismo tiempo, la compañía llama a WebBundles "un nuevo estándar que puede cambiar fundamentalmente Internet", es decir, ya hay planes para la adopción generalizada de WebBundles.
Publicidad
Servidores para alojar sitios de todos los tamaños: ¡eso es nuestra epopeya ! Todos los servidores "listos para usar" están protegidos contra ataques DDoS, la velocidad del canal de Internet es de 500 Megabits, la instalación automática del conveniente panel de control VestaCP para sitios de alojamiento e incluso la instalación automática de Windows Server a tarifas con 2 GB de RAM o más. ¡Date prisa para hacer tu pedido!
