[uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge
Nicolas Antoniello
nantoniello at gmail.com
Sat Apr 20 21:21:48 PDT 2019
Hola Eduardo,
Sumamente interesante y claramente es un serio problema de privacidad y
seguridad.
Que sucede con SSL ? No funciona supongo...
Saludos,
Nico
El El dom, 21 de abr. de 2019 a las 01:04, Eduardo Trápani <
etrapani at vera.com.uy> escribió:
> Hola,
>
> La versión corta: alguna vez hablamos de AMP, es un servicio de Google que
> hace que ellos sirvan tu contenido (simplificado) para que cargue más
> rápido en algunas plataformas. El URL que efectivamente aparece era el de
> Google, como tiene que ser, ya que con ese servidor se comunicaba el
> navegador y de ahí venía la información.
>
> A partir de ahora, si alguien tiene un "Signed Exchange" con Google,
> Chrome va a mostrar un URL que no coincide con el origen de los datos[1].
> Digamos que buscan una noticia en El Pasquín. El resultado AMP es algo como
> (simplifico para transmitir la idea):
>
> ...google.com/amp/elpasquin/noticia
>
> Eso veían hasta ahora en todos los navegadores. Pero, a partir de ahora,
> en Chrome (si El Pasquín tiene el Signed Exchange con Google, algo que
> ustedes no tienen cómo saber) van a ver esto:
>
> www.elpasquin.com/noticia <http://www.elpasquin.com/blabla>
>
> De hecho en ningún momento su navegador va a contactar con ese sitio. Se
> muestra un URL falso para dar la ilusión de estar visitando directamente el
> sitio.
>
> Mozilla (miebro de W3C) dio su parecer sobre el tema en este documento:
>
> https://mozilla.github.io/standards-positions/
>
> Busquen "Signed HTTP extensions". Enlacé la página principal a propósito,
> porque ahí están las nuevas propuestas para la web y lo que opina
> técnicamente Mozilla sobre ellas. Es material muy interesante. Para el caso
> del Signed HTTP extensions, la respuesta es que lo consideran dañino y,
> obviamente, explican por qué.
>
> La idea es más o menos siempre la misma y también está presente en QUIC_
> permitir a un "portal" entregar información a nombre de otro servidor[2]
> sin que el usuario pueda saberlo. Siempre por comodidad y velocidad claro y
> hasta privacidad (ya que solamente ese portal puede saber qué visitaron, es
> como si les hicieran de VPN sin que tengan que pedirlo). Los peligros
> saltan a los ojos, pero ya está implementado, o sea, si usan Chrome lo
> están usando, con varios proveedores, tanto QUIC con reutilización de
> conexión como Signed Exchange.
>
> ¿A quién más le interesa esto? Bueno, a todos los que puedan querer lícita
> (?) o ilícitamente "pinchar" la navegación y que el usuario no se entere.
> Es lo más parecido a un ataque de agente intermedio (MITM) que he visto.
> Tiene un uso supuestamente bueno para distribuidores de contenido (CDN),
> para quienes tiene que hacer tracking de la navegación, pero también para
> los que eventualmente tengan el poder suficiente de obligar a alguien a
> "firmar" estos permisos de brindar información a nombre de ellos. La
> verdad, me parece súpermiope.
>
> ¿Y por qué es grave? Porque si se vuelve estándar, entonces ya no se va a
> poder creer en el URL que ven, ni saber con quién están hablando.
> Cualquiera (que tenga esas autorizaciones) va a poder "presentar una
> dirección alternativa" (falsificar) en el navegador. Y la dirección falsa
> es solamente la punta del iceberg, en realidad los permisarios pueden
> servir el contenido que quieran y hacerte creer que es el original. ¿Para
> arreglar qué? ...
>
> Cada uno sacará sus cuentas, pero si juntan AMP, con QUIC (la partecita
> que mencioné), con el atributo "ping" del HTTP que ya no van a poder
> deshabilitar en Chromium y sus derivados (Chrome, Egde, ...) y el permiso
> para servir modificando el URL ... díganme si no sienten como un
> escalofrío. Si no tienen la impresión de tener su navegación pasando por un
> único tubo. Creo que daría para volver a Gopher y arrancar de nuevo.
>
> Por suerte, todavía hay alternativas para algunos de estos comportamientos.
>
>
> [1]
> https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html
>
> [2] ver la "reutilización de la conexión" en el estándar
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20190421/3b6d4620/attachment-0003.html>
More information about the Uylug-varios
mailing list