<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix"><font size="+1">Muy loco !! Ahora me
pregunto, tengo que suponer que los administradores de las
paginas no son <br>
</font></div>
<div class="moz-cite-prefix"><font size="+1">usuario comunes, son
gente con cierta informacion acerca del tema. ¿Y se suben al
Signed Exchange</font></div>
<div class="moz-cite-prefix"><font size="+1">sin leer un poquito que
podria pasar en terminos de seguridad?</font></div>
<div class="moz-cite-prefix"><font size="+1">No digo que el problema
exista inmediatamente, pero por lo que Google ofrece parece ser
un mirror de mis <br>
</font></div>
<div class="moz-cite-prefix"><font size="+1">datos para ¿mejorar el
acceso?. Pero el tema seria si se masifica el asunto y tenemos
una cantidad importante</font></div>
<div class="moz-cite-prefix"><font size="+1">de sitios siendo
accedidos a traves de Google, es como que da cierto miedito.</font></div>
<div class="moz-cite-prefix"><font size="+1">Y si , podra sonar
paranoico , pero sabemos de sobra que las consecuencias de este
tipo de decisiones se <br>
</font></div>
<div class="moz-cite-prefix"><font size="+1">saben cuando es tarde.</font></div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">On 21/4/19 01:04, Eduardo Trápani
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:815852887.57212944.1555819490284.JavaMail.zimbra@vera.com.uy">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: times new roman, new york, times, serif;
font-size: 12pt; color: #000000">
<div>Hola,<br>
</div>
<div><br>
</div>
<div>La versión corta: alguna vez hablamos de AMP, es un
servicio de Google que hace que ellos sirvan tu contenido
(simplificado) para que cargue más rápido en algunas
plataformas. El URL que efectivamente aparece era el de
Google, como tiene que ser, ya que con ese servidor se
comunicaba el navegador y de ahí venía la información.<br>
</div>
<div><br>
</div>
<div>A partir de ahora, si alguien tiene un "Signed Exchange"
con Google, Chrome va a mostrar un URL que no coincide con el
origen de los datos[1]. Digamos que buscan una noticia en El
Pasquín. El resultado AMP es algo como (simplifico para
transmitir la idea):<br>
</div>
<div><br>
</div>
<div>...google.com/amp/elpasquin/noticia<br>
</div>
<div><br>
</div>
<div>Eso veían hasta ahora en todos los navegadores. Pero, a
partir de ahora, en Chrome (si El Pasquín tiene el Signed
Exchange con Google, algo que ustedes no tienen cómo saber)
van a ver esto:<br>
</div>
<div><br>
</div>
<div><a href="http://www.elpasquin.com/blabla"
moz-do-not-send="true">www.elpasquin.com/noticia</a><br>
</div>
<div><br>
</div>
<div>De hecho en ningún momento su navegador va a contactar con
ese sitio. Se muestra un URL falso para dar la ilusión de
estar visitando directamente el sitio.<br>
</div>
<div><br>
</div>
<div>Mozilla (miebro de W3C) dio su parecer sobre el tema en
este documento:<br>
</div>
<div><br>
</div>
<div><a href="https://mozilla.github.io/standards-positions/"
moz-do-not-send="true">https://mozilla.github.io/standards-positions/</a></div>
<div><br>
</div>
<div>Busquen "Signed HTTP extensions". Enlacé la página
principal a propósito, porque ahí están las nuevas propuestas
para la web y lo que opina técnicamente Mozilla sobre ellas.
Es material muy interesante. Para el caso del Signed HTTP
extensions, la respuesta es que lo consideran dañino y,
obviamente, explican por qué.<br>
</div>
<div><br>
</div>
<div>La idea es más o menos siempre la misma y también está
presente en QUIC_ permitir a un "portal" entregar información
a nombre de otro servidor[2] sin que el usuario pueda saberlo.
Siempre por comodidad y velocidad claro y hasta privacidad (ya
que solamente ese portal puede saber qué visitaron, es como si
les hicieran de VPN sin que tengan que pedirlo). Los peligros
saltan a los ojos, pero ya está implementado, o sea, si usan
Chrome lo están usando, con varios proveedores, tanto QUIC con
reutilización de conexión como Signed Exchange.<br>
</div>
<div><br>
</div>
<div>¿A quién más le interesa esto? Bueno, a todos los que
puedan querer lícita (?) o ilícitamente "pinchar" la
navegación y que el usuario no se entere. Es lo más parecido a
un ataque de agente intermedio (MITM) que he visto. Tiene un
uso supuestamente bueno para distribuidores de contenido
(CDN), para quienes tiene que hacer tracking de la navegación,
pero también para los que eventualmente tengan el poder
suficiente de obligar a alguien a "firmar" estos permisos de
brindar información a nombre de ellos. La verdad, me parece
súpermiope.<br>
</div>
<div><br>
</div>
<div>¿Y por qué es grave? Porque si se vuelve estándar, entonces
ya no se va a poder creer en el URL que ven, ni saber con
quién están hablando. Cualquiera (que tenga esas
autorizaciones) va a poder "presentar una dirección
alternativa" (falsificar) en el navegador. Y la dirección
falsa es solamente la punta del iceberg, en realidad los
permisarios pueden servir el contenido que quieran y hacerte
creer que es el original. ¿Para arreglar qué? ...</div>
<div><br>
</div>
<div>Cada uno sacará sus cuentas, pero si juntan AMP, con QUIC
(la partecita que mencioné), con el atributo "ping" del HTTP
que ya no van a poder deshabilitar en Chromium y sus derivados
(Chrome, Egde, ...) y el permiso para servir modificando el
URL ... díganme si no sienten como un escalofrío. Si no tienen
la impresión de tener su navegación pasando por un único tubo.
Creo que daría para volver a Gopher y arrancar de nuevo.<br>
</div>
<div><br>
</div>
<div>Por suerte, todavía hay alternativas para algunos de estos
comportamientos.<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>[1] <a
href="https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html"
moz-do-not-send="true">https://webmasters.googleblog.com/2019/04/instant-loading-amp-pages-from-your-own.html</a><br>
</div>
<div><br>
</div>
<div>[2] ver la "reutilización de la conexión" en el estándar</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Uylug-varios mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a>
<a class="moz-txt-link-freetext" href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a>
</pre>
</blockquote>
<p><br>
</p>
<div class="moz-signature">-- <br>
<font font="" size="2" face="Comic Sans MS, Arial, MS Sans Serif"
color="#706C6C">
Gerardo Braica
<br>
<a class="moz-txt-link-abbreviated" href="mailto:gbraica@gmail.com.ar">gbraica@gmail.com.ar</a>
<br>
Cel / Whatsapp -»15 2654 0709 </font></div>
</body>
</html>