<div><div dir="auto">Hola Eduardo,</div></div><div dir="auto"><br></div><div dir="auto">Sumamente interesante y claramente es un serio problema de privacidad y seguridad.</div><div dir="auto">Que sucede con SSL ? No funciona supongo...</div><div dir="auto"><br></div><div dir="auto">Saludos,</div><div dir="auto">Nico</div><div dir="auto"><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El El dom, 21 de abr. de 2019 a las 01:04, Eduardo Trápani <<a href="mailto:etrapani@vera.com.uy">etrapani@vera.com.uy</a>> escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:times new roman,new york,times,serif;font-size:12pt;color:#000000"><div>Hola,<br></div><div><br></div><div>La versión corta: alguna vez hablamos de AMP, es un servicio de Google que hace que ellos sirvan tu contenido (simplificado) para que cargue más rápido en algunas plataformas. El URL que efectivamente aparece era el de Google, como tiene que ser, ya que con ese servidor se comunicaba el navegador y de ahí venía la información.<br></div><div><br></div><div>A partir de ahora, si alguien tiene un "Signed Exchange" con Google, Chrome va a mostrar un URL que no coincide con el origen de los datos[1]. Digamos que buscan una noticia en El Pasquín. El resultado AMP es algo como (simplifico para transmitir la idea):<br></div><div><br></div><div>...<a href="http://google.com/amp/elpasquin/noticia" target="_blank">google.com/amp/elpasquin/noticia</a><br></div><div><br></div><div>Eso veían hasta ahora en todos los navegadores. Pero, a partir de ahora, en Chrome (si El Pasquín tiene el Signed Exchange con Google, algo que ustedes no tienen cómo saber) van a ver esto:<br></div><div><br></div><div><a href="http://www.elpasquin.com/blabla" target="_blank">www.elpasquin.com/noticia</a><br></div><div><br></div><div>De hecho en ningún momento su navegador va a contactar con ese sitio. Se muestra un URL falso para dar la ilusión de estar visitando directamente el sitio.<br></div><div><br></div><div>Mozilla (miebro de W3C) dio su parecer sobre el tema en este documento:<br></div><div><br></div><div><a href="https://mozilla.github.io/standards-positions/" target="_blank">https://mozilla.github.io/standards-positions/</a></div><div><br></div><div>Busquen "Signed HTTP extensions". Enlacé la página principal a propósito, porque ahí están las nuevas propuestas para la web y lo que opina técnicamente Mozilla sobre ellas. Es material muy interesante. Para el caso del Signed HTTP extensions, la respuesta es que lo consideran dañino y, obviamente, explican por qué.<br></div><div><br></div><div>La idea es más o menos siempre la misma y también está presente en QUIC_ permitir a un "portal" entregar información a nombre de otro servidor[2] sin que el usuario pueda saberlo. Siempre por comodidad y velocidad claro y hasta privacidad (ya que solamente ese portal puede saber qué visitaron, es como si les hicieran de VPN sin que tengan que pedirlo). Los peligros saltan a los ojos, pero ya está implementado, o sea, si usan Chrome lo están usando, con varios proveedores, tanto QUIC con reutilización de conexión como Signed Exchange.<br></div><div><br></div><div>¿A quién más le interesa esto? Bueno, a todos los que puedan querer lícita (?) o ilícitamente "pinchar" la navegación y que el usuario no se entere. Es lo más parecido a un ataque de agente intermedio (MITM) que he visto. Tiene un uso supuestamente bueno para distribuidores de contenido (CDN), para quienes tiene que hacer tracking de la navegación, pero también para los que eventualmente tengan el poder suficiente de obligar a alguien a "firmar" estos permisos de brindar información a nombre de ellos. La verdad, me parece súpermiope.<br></div><div><br></div><div>¿Y por qué es grave? Porque si se vuelve estándar, entonces ya no se va a poder creer en el URL que ven, ni saber con quién están hablando. Cualquiera (que tenga esas autorizaciones) va a poder "presentar una dirección alternativa" (falsificar) en el navegador. Y la dirección falsa es solamente la punta del iceberg, en realidad los permisarios pueden servir el contenido que quieran y hacerte creer que es el original. ¿Para arreglar qué? ...</div><div><br></div><div>Cada uno sacará sus cuentas, pero si juntan AMP, con QUIC (la partecita que mencioné), con el atributo "ping" del  HTTP que ya no van a poder deshabilitar en Chromium y sus derivados (Chrome, Egde, ...) y el permiso para servir modificando el URL ... díganme si no sienten como un escalofrío. Si no tienen la impresión de tener su navegación pasando por un único tubo. Creo que daría para volver a Gopher y arrancar de nuevo.<br></div><div><br></div><div>Por suerte, todavía hay alternativas para algunos de estos comportamientos.<br></div><div><br></div><div><br></div><div>[1] <a href="https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html" target="_blank">https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html</a><br></div><div><br></div><div>[2] ver la "reutilización de la conexión" en el estándar</div></div></div>_______________________________________________<br>
Uylug-varios mailing list<br>
<a href="mailto:Uylug-varios@listas.uylug.org.uy" target="_blank">Uylug-varios@listas.uylug.org.uy</a><br>
<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" rel="noreferrer" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>
</blockquote></div></div>