Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Google предлагает новый стандарт для веба –
Хотя мы признательны за то, что Web Bundles и
Веб – уникальная открытая система, и всё благодаря URL-ссылкам
Веб ценен тем, что концентрируется на пользователе, контролируется пользователями, редактируется пользователями. Даже пользователи с небольшим опытом может понять, какие веб-ресурсы есть на странице, и решить, что должен загружать его браузер. Даже если вы не эксперт, вы можете пользоваться этим и устанавливать соответствующие расширения или инструменты для защиты конфиденциальности.
Направленность веба на пользователей отличается от принципов работы большинства приложений и систем распределения информации. Большинство приложений представляют собой скомпилированный набор из кода и ресурсов, которые сложно или даже невозможно отделить друг от друга, чтобы оценивать по отдельности. И это важно отличие объясняет, почему существует так много инструментов для защиты конфиденциальности для веба, и так мало – для «двоичных» приложений.
По сути, то, что делает веб отличным от других систем, более открытым, более сконцентрированным на пользователе, и отличает от других приложений – это URL. Поскольку URL обычно указывает на единственный ресурс, исследователи и активисты могут изучать и делать выводы об этих URL заранее. Другие пользователи могут использовать эту информацию, чтобы принимать решения по поводу того, хотят ли они загружать то, на что указывает URL, и как именно это делать. Что важнее, эксперты могут загрузить
Этому правилу есть исключения, и в платформе веба нет подобных требований – однако обычно от URL ожидается, что они будут практически неизменными. Такие ожидания разбросаны по всей платформе веба – в аспектах политики кэширования, в
Web Bundles лишают URL смысла
Компания Google недавно предложила три взаимосвязанных стандарта – Web Bundles, Signed HTTP Exchanges (иногда сокращаемые до SXG) и Loading. В основном в данной статье под Web Bundles мы будем понимать все три. Пока что Web Bundles рекламируют, как стандарты, которые будут использоваться в рекламных системах (TURTLEDOVE, SPARROW) и в качестве частей будущей системы AMP от Google – хотя, как мне кажется, это только вершина айсберга.
На высоком уровне, Web Bundles – это способ упаковки ресурсов воедино. Вместо того, чтобы скачивать страницы, изображения и файлы JavaScript по отдельности, ваш браузер скачивает весь «пакет» [bundle], файл, в который включена вся информация для загрузки страницы. URL перестают быть распространёнными глобальными ссылками на ресурсы сети, и становятся произвольными индексами внутри пакетов.
Иначе говоря, Web Bundles превращают сайты в аналог PDF (или файлов SWF от Flash). В PDF включены все изображения, видео и скрипты, необходимые для рендера PDF – вы не скачиваете их по отдельности. Это имеет свои преимущества по удобству, однако делает невозможным исследование отдельных частей PDF независимо от всего файла целиком. Поэтому для PDF не бывает блокирующих контент инструментов. PDF – это предложение типа «всё или ничего», а Web Bundles превратят веб-сайты в такие же предложения.
Меняя URL с осмысленных глобальных идентификаторов на произвольные индексы, зависящие от конкретных пакетов, Web Bundles дают рекламщикам и трекерам новые действенные способы обхода инструментов, обеспечивающих конфиденциальность и безопасность. В следующем разделе даются отдельные примеры, поясняющие эту точку зрения.
Web Bundles позволят сайтам обходить инструменты, обеспечивающие конфиденциальность и безопасность
URL в Web Bundles – произвольные ссылки на ресурсы внутри пакета, а не ссылки на ресурсы с глобальным доступом. Это даёт сайтам несколько способов обхода инструментов, обеспечивающих конфиденциальность и безопасность.
Они, конечно, могут ссылаться на ресурсы за пределами пакета, однако такое поведение будет лишать смысла системы пакетов, поэтому данный вопрос в рамках этой статьи не обсуждается.
Основная возможность обхода проистекает из того, что Web Bundles создаёт локальное пространство имён для ресурсов, независимое от того, что видит весь остальной мир, из-за чего могут возникать всяческие путаницы с именами, перечёркивающие годы работы по улучшению конфиденциальности и безопасности, которой занимались активисты конфиденциальности и исследователи. Далее описывается всего лишь три способа, которые позволят веб-сайтам с поддержкой Web Bundles воспользоваться этой путаницей.
Обход инструментов безопасности через рандомизацию URL
Прежде, если веб-сайт хотел использовать скрипт, отслеживающий действия пользователя, он включал в HTML-страницу тэг
You must be registered for see links
. Этот стандарт позволяет «упаковывать» [bundle] все ресурсы веб-сайта в один файл, что не даст браузерам возможности оперировать ссылками на его дочерние ресурсы. Эта система угрожает превратить веб из коллекции ресурсов с гиперссылками (которые можно изучать, безопасно скачивать или даже менять) на непрозрачные «комки» информации в стиле «всё или ничего» (типа PDF или
You must be registered for see links
). Организации, пользователи, исследователи и регуляторы, верящие в открытый, прозрачный, удобный для пользователей веб, должны воспротивиться этому стандарту.Хотя мы признательны за то, что Web Bundles и
You must be registered for see links
намерены решить определённые проблемы, мы считаем, что существуют лучшие способы достичь тех же целей, не подвергая опасности открытую, прозрачную, ориентированную на пользователя природу веба. Одна потенциальная альтернатива – использовать подписанные обязательства по независимо скачиваемым подресурсам. На описание альтернатив потребуется отдельная статья, а некоторыми уже поделились с авторами спецификации.Веб – уникальная открытая система, и всё благодаря URL-ссылкам
Веб ценен тем, что концентрируется на пользователе, контролируется пользователями, редактируется пользователями. Даже пользователи с небольшим опытом может понять, какие веб-ресурсы есть на странице, и решить, что должен загружать его браузер. Даже если вы не эксперт, вы можете пользоваться этим и устанавливать соответствующие расширения или инструменты для защиты конфиденциальности.
Направленность веба на пользователей отличается от принципов работы большинства приложений и систем распределения информации. Большинство приложений представляют собой скомпилированный набор из кода и ресурсов, которые сложно или даже невозможно отделить друг от друга, чтобы оценивать по отдельности. И это важно отличие объясняет, почему существует так много инструментов для защиты конфиденциальности для веба, и так мало – для «двоичных» приложений.
По сути, то, что делает веб отличным от других систем, более открытым, более сконцентрированным на пользователе, и отличает от других приложений – это URL. Поскольку URL обычно указывает на единственный ресурс, исследователи и активисты могут изучать и делать выводы об этих URL заранее. Другие пользователи могут использовать эту информацию, чтобы принимать решения по поводу того, хотят ли они загружать то, на что указывает URL, и как именно это делать. Что важнее, эксперты могут загрузить
You must be registered for see links
, решить, что он нарушает конфиденциальность, и поделиться этой информацией с другими пользователями, чтобы те знали, что не стоит загружать этот код в будущем.Этому правилу есть исключения, и в платформе веба нет подобных требований – однако обычно от URL ожидается, что они будут практически неизменными. Такие ожидания разбросаны по всей платформе веба – в аспектах политики кэширования, в
You must be registered for see links
к развёртыванию кода, и т.п.Web Bundles лишают URL смысла
Компания Google недавно предложила три взаимосвязанных стандарта – Web Bundles, Signed HTTP Exchanges (иногда сокращаемые до SXG) и Loading. В основном в данной статье под Web Bundles мы будем понимать все три. Пока что Web Bundles рекламируют, как стандарты, которые будут использоваться в рекламных системах (TURTLEDOVE, SPARROW) и в качестве частей будущей системы AMP от Google – хотя, как мне кажется, это только вершина айсберга.
На высоком уровне, Web Bundles – это способ упаковки ресурсов воедино. Вместо того, чтобы скачивать страницы, изображения и файлы JavaScript по отдельности, ваш браузер скачивает весь «пакет» [bundle], файл, в который включена вся информация для загрузки страницы. URL перестают быть распространёнными глобальными ссылками на ресурсы сети, и становятся произвольными индексами внутри пакетов.
Иначе говоря, Web Bundles превращают сайты в аналог PDF (или файлов SWF от Flash). В PDF включены все изображения, видео и скрипты, необходимые для рендера PDF – вы не скачиваете их по отдельности. Это имеет свои преимущества по удобству, однако делает невозможным исследование отдельных частей PDF независимо от всего файла целиком. Поэтому для PDF не бывает блокирующих контент инструментов. PDF – это предложение типа «всё или ничего», а Web Bundles превратят веб-сайты в такие же предложения.
Меняя URL с осмысленных глобальных идентификаторов на произвольные индексы, зависящие от конкретных пакетов, Web Bundles дают рекламщикам и трекерам новые действенные способы обхода инструментов, обеспечивающих конфиденциальность и безопасность. В следующем разделе даются отдельные примеры, поясняющие эту точку зрения.
Web Bundles позволят сайтам обходить инструменты, обеспечивающие конфиденциальность и безопасность
URL в Web Bundles – произвольные ссылки на ресурсы внутри пакета, а не ссылки на ресурсы с глобальным доступом. Это даёт сайтам несколько способов обхода инструментов, обеспечивающих конфиденциальность и безопасность.
Они, конечно, могут ссылаться на ресурсы за пределами пакета, однако такое поведение будет лишать смысла системы пакетов, поэтому данный вопрос в рамках этой статьи не обсуждается.
Основная возможность обхода проистекает из того, что Web Bundles создаёт локальное пространство имён для ресурсов, независимое от того, что видит весь остальной мир, из-за чего могут возникать всяческие путаницы с именами, перечёркивающие годы работы по улучшению конфиденциальности и безопасности, которой занимались активисты конфиденциальности и исследователи. Далее описывается всего лишь три способа, которые позволят веб-сайтам с поддержкой Web Bundles воспользоваться этой путаницей.
Обход инструментов безопасности через рандомизацию URL
Прежде, если веб-сайт хотел использовать скрипт, отслеживающий действия пользователя, он включал в HTML-страницу тэг