[uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge

[Eduardo Trápani]

Hola, 

La versión corta: alguna vez hablamos de AMP, es un servicio de Google que hace que ellos sirvan tu contenido (simplificado) para que cargue más rápido en algunas plataformas. El URL que efectivamente aparece era el de Google, como tiene que ser, ya que con ese servidor se comunicaba el navegador y de ahí venía la información. 

A partir de ahora, si alguien tiene un "Signed Exchange" con Google, Chrome va a mostrar un URL que no coincide con el origen de los datos[1]. Digamos que buscan una noticia en El Pasquín. El resultado AMP es algo como (simplifico para transmitir la idea): 

...google.com/amp/elpasquin/noticia 

Eso veían hasta ahora en todos los navegadores. Pero, a partir de ahora, en Chrome (si El Pasquín tiene el Signed Exchange con Google, algo que ustedes no tienen cómo saber) van a ver esto: 

www.elpasquin.com/noticia 

De hecho en ningún momento su navegador va a contactar con ese sitio. Se muestra un URL falso para dar la ilusión de estar visitando directamente el sitio. 

Mozilla (miebro de W3C) dio su parecer sobre el tema en este documento: 

https://mozilla.github.io/standards-positions/ 

Busquen "Signed HTTP extensions". Enlacé la página principal a propósito, porque ahí están las nuevas propuestas para la web y lo que opina técnicamente Mozilla sobre ellas. Es material muy interesante. Para el caso del Signed HTTP extensions, la respuesta es que lo consideran dañino y, obviamente, explican por qué. 

La idea es más o menos siempre la misma y también está presente en QUIC_ permitir a un "portal" entregar información a nombre de otro servidor[2] sin que el usuario pueda saberlo. Siempre por comodidad y velocidad claro y hasta privacidad (ya que solamente ese portal puede saber qué visitaron, es como si les hicieran de VPN sin que tengan que pedirlo). Los peligros saltan a los ojos, pero ya está implementado, o sea, si usan Chrome lo están usando, con varios proveedores, tanto QUIC con reutilización de conexión como Signed Exchange. 

¿A quién más le interesa esto? Bueno, a todos los que puedan querer lícita (?) o ilícitamente "pinchar" la navegación y que el usuario no se entere. Es lo más parecido a un ataque de agente intermedio (MITM) que he visto. Tiene un uso supuestamente bueno para distribuidores de contenido (CDN), para quienes tiene que hacer tracking de la navegación, pero también para los que eventualmente tengan el poder suficiente de obligar a alguien a "firmar" estos permisos de brindar información a nombre de ellos. La verdad, me parece súpermiope. 

¿Y por qué es grave? Porque si se vuelve estándar, entonces ya no se va a poder creer en el URL que ven, ni saber con quién están hablando. Cualquiera (que tenga esas autorizaciones) va a poder "presentar una dirección alternativa" (falsificar) en el navegador. Y la dirección falsa es solamente la punta del iceberg, en realidad los permisarios pueden servir el contenido que quieran y hacerte creer que es el original. ¿Para arreglar qué? ... 

Cada uno sacará sus cuentas, pero si juntan AMP, con QUIC (la partecita que mencioné), con el atributo "ping" del HTTP que ya no van a poder deshabilitar en Chromium y sus derivados (Chrome, Egde, ...) y el permiso para servir modificando el URL ... díganme si no sienten como un escalofrío. Si no tienen la impresión de tener su navegación pasando por un único tubo. Creo que daría para volver a Gopher y arrancar de nuevo. 

Por suerte, todavía hay alternativas para algunos de estos comportamientos. 


[1] https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html 

[2] ver la "reutilización de la conexión" en el estándar 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20190421/ef0cfc30/attachment.html>