[uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge

Eduardo Trápani etrapani at vera.com.uy
Mon Apr 22 07:49:48 PDT 2019 

 > Muy loco !! Ahora me pregunto, tengo que suponer que los administradores
 > de las paginas no son
 > usuario comunes, son gente con cierta informacion acerca del tema. ¿Y se
 > suben al Signed Exchange
 > sin leer un poquito que podria pasar en terminos de seguridad?

Es más complejo el tema. Pasa también por la monetización, por tu 
posición en los resultados de búsqueda. Hay "incentivos" que hacen que, 
como proveedor de información, no siempre puedas optar con total libertad.

Las búsquedas van (en este lado del planeta) básicamente todas por el 
mismo lado. Entonces, si ese que hace las búsquedas te propone más 
visibilidad (digamos, un carrousel, o cualquier espacio destacado) y lo 
único que tenés que hacer para eso es adoptar AMP, lo más probable es 
que lo hagas. Eso va a mejorar tu visibilidad y la experiencia de 
quienes visiten tu contenido. Parece ser una situación en la que 
solamente ganás. El hecho de que el tráfico deje de pasar por vos y que 
ya no lo puedas medir e interpretar de manera independiente tal vez no 
sea tan grave.

Eso, en lo inmediato, claro, después de repente vas a querer hacer otras 
cosas que no necesariamente son posibles, como servir las páginas 
simplificadas vos mismo, o cambiar la monetización o evitar un bloqueo o 
una bajada en el ranking. Mucha suerte.

> No digo que el problema exista inmediatamente, pero por lo que Google 
> ofrece parece ser un mirror de mis
> datos para ¿mejorar el acceso?.

Sí, en términos muy generales es eso AMP. Te hace el mirror y te 
simplifica la página. Vos tenés HTML+Javascript genérico en algún lado y 
ellos publican AMP HTML y AMP Javascript (más simples, digamos versiones 
recortadas) en su servidor.

Al principio lo hacía solamente Google y no tenías mucha opción sobre 
cómo se servía el contenido, ahora también lo hace CloudFlare 
(Ampersand). Cloudflare te dan la opción de servir AMP directamente si 
querés.

 > Pero el tema seria si se masifica el
> asunto y tenemos una cantidad importante
> de sitios siendo accedidos a traves de Google, es como que da cierto 
> miedito.

Probablemente buena parte de tus búsquedas en móvil a noticias, etc. si 
usás Google para buscar o Chrome para navegar, ya estén pasando por ahí. 
Es más, van a ser más rápidas por ahí. Que AMP, por ser una versión 
recortada, es más rápida es un hecho, en parte porque hoy día no hay 
página que para mostrarte una texto de tres párrafos no incluya montones 
de scripts de dudosa necesidad.

O sea, ya está masificado. Lo que es peligroso es el que te alteren la 
URL que ves, que es *la* información que tenés para tener una idea de, 
por lo menos, cuál es el origen primario.

Y el miedito ni siquiera es por la real o supuesta maldad de Google. El 
primero en saltar a acompañar esto fue un distribuidor de contenido. El 
URL falso va a poder ser provisto por cualquiera que (ob)tenga el 
acuerdo con el publicador. Es algo gordo, que va a afectar el futuro de 
cómo nos relacionamos (en términos de confianza) con la web. Es dañino.

A mí me gustaría poder "ir a la fuente" siempre. Pero si no sé cuando 
estoy ahí o cuando estoy pasando por uno o más intermediarios ... se 
complica.

Igual, ya no es sorpresa, esta es la tercera vez que se intenta esto 
mismo, desvestir el URL de su significado, que es: "el origen primario 
de la información es este". Ya comenté lo de QUIC, ahora esto, que es 
mucho más flagrante y agrego una que pasó bastante desapercibida, pero 
es igual de nociva: la eliminación, en Chrome, de  "www" y "m" como 
hosts o subdominios, porque "es información trivial".

Tan trivial que, por ejemplo http://www.example.www.example.com pasaba a 
example.example.com[1] El bug report sobre ese cambio[2] es bastante 
instructivo sobre cómo se manejan ciertas modificaciones. Incluso, por 
la mitad, hacen referencia a cómo eso es preparatorio para el cambio que 
empezó este hilo. Obviamente eso tiene (también) efectos sobre la 
seguridad, que se discuten en parte acá[3]. Phising es uno de los más 
graves, porque si alguien registraba, digamos m.uy y luego google.m.uy, 
el resultado en Chrome era ¡google.uy! Y ni hablar de m.tumblr.com y 
www.tumblr.com que son dos sitios completamente diferentes, que quedaba 
identificados como uno solo. Tuvieron que echar para atrás, en parte, y 
acá[4] se discute, de manera pública, el cambio.

Espero no tener que volver a usar un derivado de Chromium para nada más 
que para bajar e instalar otro navegador. Le perdí completamente la 
confianza a lo que me muestran como origen y eso es el cimiento de 
cualquier comportamiento medianamente seguro en la red.

[1] https://bugs.chromium.org/p/chromium/issues/detail?id=881410#c27
[2] https://bugs.chromium.org/p/chromium/issues/detail?id=881410
[3] https://bugs.chromium.org/p/chromium/issues/detail?id=881694
[4] https://bugs.chromium.org/p/chromium/issues/detail?id=883038

More information about the Uylug-varios mailing list