[uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge

Eduardo Trápani etrapani at vera.com.uy
Sat Apr 20 22:21:08 PDT 2019 

Hola Nico, 

¡Muy interesante lo que mencionás! El "Chrome team" dice[1]: 

"We acknowledge three important reductions in security relative to TLS, which we've tried to mitigate, and for which we’d love your help, both for evaluating the mitigations and improving them." 

O sea que si bien el SSL sigue funcionando, tiene reducciones importantes en la seguridad que brinda. 

Ese enlace[1], que va directo a un comentario de Google que responde las preocupaciones de Mozilla, está todo bastante más claro. 

Igual la cosa se empieza a complicar porque se trata tanto de normalizar el empaquetamiento (CORBS o concise binary object representation) como el man-in-the-middle que va a servirlo. Si se asegura suficientemente CORBS, que a partir de esto está recibiendo modificaciones, entonces se podría llegar a tolerar más que alguien envíe información a nombre de otro. Aunque la implementación de los navegadores más preocupados por la privacidad probablemente te hagan saber del cambio de origen de alguna manera. 

En términos más simples, se trata de armar un paquete con la información, subirlo a, digamos una red de distribución de contenidos y que ellos lo sirvan como tuyo. Para eso hay que resolver varias cosas. 

Mientras tanto, los conejillos de india son los usuarios de los derivados de Chromium. Esto, igual que QUIC es un cambio totalmente transparente (en cuanto a funcionalidad) y opaco (en cuanto a implementación), lo que es bastante preocupante para algunos, mientras que para otros que le cambien la dirección "de pesado" en el navegador y le entreguen contenido que no pueden verificar no es algo tan grave. 

A propósito, cuando digo "de pesado" estoy citando al desarrollador de Google autor del documento técnico, vía Twitter[2] (desde la noticia de Slashdot[3]). Algunas de las respuestas son muy buenas, centradas, lo recomiendo (a esta hora son unas pocas). 

Según lo que usen para navegar pueden o no creerle al URL y pueden o no tener estar protegidos por TLS de una manera tan segura, como la que tenían antes. 

[1] https://github.com/mozilla/standards-positions/issues/29#issuecomment-459547918 
[2] https://twitter.com/jyasskin/status/1118523821458214914 
[3] https://tech.slashdot.org/story/19/04/20/0541217/some-cheers-a-few-sneers-for-googles-url-solution-for-amp 


----- Mensaje original -----

De: "Nicolas Antoniello" <nantoniello at gmail.com> 
Para: uylug-varios at uylug.org.uy 
CC: uylug-varios at listas.uylug.org.uy 
Enviados: Domingo, 21 de Abril 2019 1:21:48 
Asunto: Re: [uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge 

Hola Eduardo, 

Sumamente interesante y claramente es un serio problema de privacidad y seguridad. 
Que sucede con SSL ? No funciona supongo... 

Saludos, 
Nico 


El El dom, 21 de abr. de 2019 a las 01:04, Eduardo Trápani < etrapani at vera.com.uy > escribió: 



Hola, 

La versión corta: alguna vez hablamos de AMP, es un servicio de Google que hace que ellos sirvan tu contenido (simplificado) para que cargue más rápido en algunas plataformas. El URL que efectivamente aparece era el de Google, como tiene que ser, ya que con ese servidor se comunicaba el navegador y de ahí venía la información. 

A partir de ahora, si alguien tiene un "Signed Exchange" con Google, Chrome va a mostrar un URL que no coincide con el origen de los datos[1]. Digamos que buscan una noticia en El Pasquín. El resultado AMP es algo como (simplifico para transmitir la idea): 

... google.com/amp/elpasquin/noticia 

Eso veían hasta ahora en todos los navegadores. Pero, a partir de ahora, en Chrome (si El Pasquín tiene el Signed Exchange con Google, algo que ustedes no tienen cómo saber) van a ver esto: 

www.elpasquin.com/noticia 

De hecho en ningún momento su navegador va a contactar con ese sitio. Se muestra un URL falso para dar la ilusión de estar visitando directamente el sitio. 

Mozilla (miebro de W3C) dio su parecer sobre el tema en este documento: 

https://mozilla.github.io/standards-positions/ 

Busquen "Signed HTTP extensions". Enlacé la página principal a propósito, porque ahí están las nuevas propuestas para la web y lo que opina técnicamente Mozilla sobre ellas. Es material muy interesante. Para el caso del Signed HTTP extensions, la respuesta es que lo consideran dañino y, obviamente, explican por qué. 

La idea es más o menos siempre la misma y también está presente en QUIC_ permitir a un "portal" entregar información a nombre de otro servidor[2] sin que el usuario pueda saberlo. Siempre por comodidad y velocidad claro y hasta privacidad (ya que solamente ese portal puede saber qué visitaron, es como si les hicieran de VPN sin que tengan que pedirlo). Los peligros saltan a los ojos, pero ya está implementado, o sea, si usan Chrome lo están usando, con varios proveedores, tanto QUIC con reutilización de conexión como Signed Exchange. 

¿A quién más le interesa esto? Bueno, a todos los que puedan querer lícita (?) o ilícitamente "pinchar" la navegación y que el usuario no se entere. Es lo más parecido a un ataque de agente intermedio (MITM) que he visto. Tiene un uso supuestamente bueno para distribuidores de contenido (CDN), para quienes tiene que hacer tracking de la navegación, pero también para los que eventualmente tengan el poder suficiente de obligar a alguien a "firmar" estos permisos de brindar información a nombre de ellos. La verdad, me parece súpermiope. 

¿Y por qué es grave? Porque si se vuelve estándar, entonces ya no se va a poder creer en el URL que ven, ni saber con quién están hablando. Cualquiera (que tenga esas autorizaciones) va a poder "presentar una dirección alternativa" (falsificar) en el navegador. Y la dirección falsa es solamente la punta del iceberg, en realidad los permisarios pueden servir el contenido que quieran y hacerte creer que es el original. ¿Para arreglar qué? ... 

Cada uno sacará sus cuentas, pero si juntan AMP, con QUIC (la partecita que mencioné), con el atributo "ping" del HTTP que ya no van a poder deshabilitar en Chromium y sus derivados (Chrome, Egde, ...) y el permiso para servir modificando el URL ... díganme si no sienten como un escalofrío. Si no tienen la impresión de tener su navegación pasando por un único tubo. Creo que daría para volver a Gopher y arrancar de nuevo. 

Por suerte, todavía hay alternativas para algunos de estos comportamientos. 


[1] https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html 

[2] ver la "reutilización de la conexión" en el estándar 
_______________________________________________ 
Uylug-varios mailing list 
Uylug-varios at listas.uylug.org.uy 
http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy 




_______________________________________________ 
Uylug-varios mailing list 
Uylug-varios at listas.uylug.org.uy 
http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20190421/f738b424/attachment-0003.html>

More information about the Uylug-varios mailing list