[uylug-varios] Ya no se puede creer el URL, al menos en Chrome y dentro de poco, en Edge
Eduardo Trápani
etrapani at vera.com.uy
Mon Apr 22 07:49:48 PDT 2019
> Muy loco !! Ahora me pregunto, tengo que suponer que los administradores
> de las paginas no son
> usuario comunes, son gente con cierta informacion acerca del tema. ¿Y se
> suben al Signed Exchange
> sin leer un poquito que podria pasar en terminos de seguridad?
Es más complejo el tema. Pasa también por la monetización, por tu
posición en los resultados de búsqueda. Hay "incentivos" que hacen que,
como proveedor de información, no siempre puedas optar con total libertad.
Las búsquedas van (en este lado del planeta) básicamente todas por el
mismo lado. Entonces, si ese que hace las búsquedas te propone más
visibilidad (digamos, un carrousel, o cualquier espacio destacado) y lo
único que tenés que hacer para eso es adoptar AMP, lo más probable es
que lo hagas. Eso va a mejorar tu visibilidad y la experiencia de
quienes visiten tu contenido. Parece ser una situación en la que
solamente ganás. El hecho de que el tráfico deje de pasar por vos y que
ya no lo puedas medir e interpretar de manera independiente tal vez no
sea tan grave.
Eso, en lo inmediato, claro, después de repente vas a querer hacer otras
cosas que no necesariamente son posibles, como servir las páginas
simplificadas vos mismo, o cambiar la monetización o evitar un bloqueo o
una bajada en el ranking. Mucha suerte.
> No digo que el problema exista inmediatamente, pero por lo que Google
> ofrece parece ser un mirror de mis
> datos para ¿mejorar el acceso?.
Sí, en términos muy generales es eso AMP. Te hace el mirror y te
simplifica la página. Vos tenés HTML+Javascript genérico en algún lado y
ellos publican AMP HTML y AMP Javascript (más simples, digamos versiones
recortadas) en su servidor.
Al principio lo hacía solamente Google y no tenías mucha opción sobre
cómo se servía el contenido, ahora también lo hace CloudFlare
(Ampersand). Cloudflare te dan la opción de servir AMP directamente si
querés.
> Pero el tema seria si se masifica el
> asunto y tenemos una cantidad importante
> de sitios siendo accedidos a traves de Google, es como que da cierto
> miedito.
Probablemente buena parte de tus búsquedas en móvil a noticias, etc. si
usás Google para buscar o Chrome para navegar, ya estén pasando por ahí.
Es más, van a ser más rápidas por ahí. Que AMP, por ser una versión
recortada, es más rápida es un hecho, en parte porque hoy día no hay
página que para mostrarte una texto de tres párrafos no incluya montones
de scripts de dudosa necesidad.
O sea, ya está masificado. Lo que es peligroso es el que te alteren la
URL que ves, que es *la* información que tenés para tener una idea de,
por lo menos, cuál es el origen primario.
Y el miedito ni siquiera es por la real o supuesta maldad de Google. El
primero en saltar a acompañar esto fue un distribuidor de contenido. El
URL falso va a poder ser provisto por cualquiera que (ob)tenga el
acuerdo con el publicador. Es algo gordo, que va a afectar el futuro de
cómo nos relacionamos (en términos de confianza) con la web. Es dañino.
A mí me gustaría poder "ir a la fuente" siempre. Pero si no sé cuando
estoy ahí o cuando estoy pasando por uno o más intermediarios ... se
complica.
Igual, ya no es sorpresa, esta es la tercera vez que se intenta esto
mismo, desvestir el URL de su significado, que es: "el origen primario
de la información es este". Ya comenté lo de QUIC, ahora esto, que es
mucho más flagrante y agrego una que pasó bastante desapercibida, pero
es igual de nociva: la eliminación, en Chrome, de "www" y "m" como
hosts o subdominios, porque "es información trivial".
Tan trivial que, por ejemplo http://www.example.www.example.com pasaba a
example.example.com[1] El bug report sobre ese cambio[2] es bastante
instructivo sobre cómo se manejan ciertas modificaciones. Incluso, por
la mitad, hacen referencia a cómo eso es preparatorio para el cambio que
empezó este hilo. Obviamente eso tiene (también) efectos sobre la
seguridad, que se discuten en parte acá[3]. Phising es uno de los más
graves, porque si alguien registraba, digamos m.uy y luego google.m.uy,
el resultado en Chrome era ¡google.uy! Y ni hablar de m.tumblr.com y
www.tumblr.com que son dos sitios completamente diferentes, que quedaba
identificados como uno solo. Tuvieron que echar para atrás, en parte, y
acá[4] se discute, de manera pública, el cambio.
Espero no tener que volver a usar un derivado de Chromium para nada más
que para bajar e instalar otro navegador. Le perdí completamente la
confianza a lo que me muestran como origen y eso es el cimiento de
cualquier comportamiento medianamente seguro en la red.
[1] https://bugs.chromium.org/p/chromium/issues/detail?id=881410#c27
[2] https://bugs.chromium.org/p/chromium/issues/detail?id=881410
[3] https://bugs.chromium.org/p/chromium/issues/detail?id=881694
[4] https://bugs.chromium.org/p/chromium/issues/detail?id=883038
More information about the Uylug-varios
mailing list