Pourquoi la technologie consistant à «regrouper» le contenu des pages Web dans une seule source est-elle si dangereuse, qu'est-ce que c'est, et pourquoi l'équipe de développement Web de Google marche sur une pente très glissante, comprenons ci-dessous.
Web Bundle - l'activité de RarJPEG perdure
Plus précisément, ils ont écrit sur WebBundle sur Habré en 2015 déjà assez lointaine. Puis l'auteurComodoHackera publié un article " Web Bundle - The RarJPEG Case Lives " avec un aperçu de la dernière version du nouvel outil sur GitHub .
Le principe WebBudle 2015 est simple et reproduit les principes du packaging des fichiers .exe: "les fichiers arbitraires sont regroupés dans un seul fichier conteneur, et du côté client, leur accès est organisé par nom de fichier à l'aide de l'API".
La version 2015 était, en fait, une nouvelle réflexion des utilisateurs familiers avec les tableaux d'images, le principe rarJPEG - lorsqu'un contenu supplémentaire était intégré dans une image. Cela a permis de contourner les restrictions du conseil d'administration sur le téléchargement d'images uniquement et de transférer des fichiers arbitraires entre utilisateurs à l'aide d'une plate-forme anonyme.
WebBundle visait toujours à contourner les restrictions sur le type de fichiers: il pouvait être utilisé pour emballer n'importe quoi dans un PNG conditionnel, y compris les binaires, et le transférer sous le couvert d'une image dans une «archive».
En 2015ComodoHackerévalué très correctement les perspectives de WebBundle: la technologie est spécifique et elle ne vivra que si elle est utilisée. Maintenant, à partir de 2020, nous pouvons répondre en toute sécurité que non, la technologie n'a pas été utilisée et elle n'est pas entrée dans le monde.
Le problème est que les ingénieurs et les développeurs Web de Google ont définitivement les amoureux de Forchana, et ils ont repensé le concept WebBundle avec la version 2.0, ou comme ils l'appelaient, WebBundles.
En quoi le WebBundles 2019 de Google diffère du WebBundle de 2015
Le premier et le plus évident - les gars de Google se sont mis au travail. Deuxièmement, ils ont réussi à extraire des fichiers aléatoires comme un hibou inutile dans un emballage PNG sur l'immense globe du développement Web et de la construction de sites.
Si nous donnons TL; DR, alors la différence entre WebBundles et WebBundle ressemble à ceci:
les ingénieurs de Google suggèrent directement d'utiliser WebBundles pour encapsuler plusieurs sources dans un seul fichier pour les afficher ultérieurement en tant que page Web finale pour l'utilisateur. En fait, la technologie la plus proche actuellement disponible est le PDF. Je pense que beaucoup d'entre nous ont rencontré au moins une fois dans notre vie la nécessité d'extraire une partie de son contenu d'un fichier PDF et cela n'a pas besoin de commentaires supplémentaires.
Mais si Google promeut WebBundles comme un outil omniprésent, cela pourrait être une période extrêmement sombre pour le Web, et voici pourquoi.
Pourquoi les WebBundles sont dangereux pour le Web moderne
Le Web moderne est construit sur le principe que chaque source a son propre lien, c'est-à-dire que nous pouvons décompiler une page et afficher son contenu, souvent littéralement en ouvrant la console dans un navigateur.
Dans le cas de l'empaquetage d'un site dans WebBundles, nous obtenons un monolithe de dizaines ou centaines de sources encapsulées, qui pour le monde extérieur sont cachées sous un lien, et ce contenu ne peut être appelé que par un accès direct à notre "monolithe".
Du point de vue de la sécurité de l'information, cela signifie que tout site qui apparaît au monde extérieur comme un simple lien mono conditionnel peut contenir du code JS arbitraire, des scripts, des publicités, etc., pour lesquels l'imagination est suffisante.
Chercheur en sécurité chez Brave Peter Snyder donca commenté la technologie créée par Google sur son blog:
Cette technologie peut transformer l'Internet moderne d'une collection de ressources hypertextes (qui peuvent être vérifiées, récupérées de manière sélective ou même remplacées) en bulles opaques qui fonctionnent de manière tout ou rien (comme le font déjà PDF ou SWF).
Le problème avec WebBundles est que le principe même de l'empaquetage opaque du contenu de la page Web en un seul monolithe rend impossible la validation, et dévalorise le mécanisme déjà construit de pertinence et d'indexation des URL.
Fondamentalement, un problème commun avec toutes ces astuces de packaging est que WebBundles crée un espace de noms local indépendamment de ce que le reste du monde voit. Cela peut finalement causer une confusion de nom massive et annuler des années de travail pour créer un environnement confidentiel et sécurisé.
Un fait bien connu va maintenant être annoncé: Google déteste les bloqueurs de publicités. Peut-être essaient-ils de prétendre que les bloqueurs sont un phénomène avec lequel vivre et qui ne mènera nulle part. Peut-être qu'ils soutiennent eux-mêmes ce courant dominant. Par exemple, un bloqueur intégré a été ajouté à Chrome en novembre .
Mais soyons honnêtes: tout l'empire de Google est basé sur des bannières et les trois premiers SERPs étiquetés «publicités». Il s'agit d'un revenu d'entreprise de plusieurs milliards de dollars et tout l'empire commercial et de développement de Google tourne autour des bannières et de ces trois liens.
Les WebBundles peuvent changer la donne sur le plan technique et rendre le concept de bloqueurs de publicités modernes complètement dysfonctionnel. Les URL aléatoires peuvent être empaquetées dans WebBundlespour afficher des annonces, vous pouvez y substituer des adresses URL, etc., pour lesquelles vous avez suffisamment d'imagination.
Cela étant dit, Google est assez sérieux. L'implémentation actuelle de WebBundles est déjà intégrée dans les versions stables de Chrome, mais est désactivée par défaut. Mais si vous le souhaitez,
chrome://flagsvous pouvez ouvrir cette boîte de Pandore.
Chrome version 85.0.4183.83 (version officielle), (64 bits)
Maintenant, les WebBundles ressemblent plus à une arme à feu accrochée au mur et ne tirant jamais. Mais si Google «serre» et que les revenus de l'entreprise chutent de manière significative en raison de la baisse des budgets publicitaires, cette arme peut également être utilisée. On ne sait pas ce que la société promettra aux développeurs Web, mais il est déjà clair que WebBundles semble très appétissant pour les webmasters peu scrupuleux qui sont prêts à monétiser leur économie de quelque manière que ce soit.
On ne sait pas non plus comment y faire face, d'autant plus que le responsable de l'implémentation éventuelle de "web-PDF" sera une entreprise qui développera le moteur de navigation le plus populaire de la planète. Pire encore, il n'y a pas d'alternative intelligible à ce moteur maintenant, car même Microsoft a déjà «abattu et enterré» son agent de bord EdgeHTML pendant deux ans, après être passé à Chromium.
L'analogie avec PDF est faite pour une raison: le principe de base de l'affichage et du conditionnement des données entre le format de protection des documents et WebBundles est extrêmement similaire. Pire encore, d'ici 2020, il n'y aura pas d'outils et de services accessibles au public (même payants) qui décompileraient le contenu PDF avec une précision de 100% et le donneraient à l'utilisateur dans le format souhaité, et nous parlons simplement de protéger les données textuelles. Les méthodes de protection du contenu des conteneurs que les WebBundles peuvent créer dans Google sont à deviner.
Jusqu'à présent, Google a soigneusement positionné WebBundles comme «un outil de sauvegarde et de transfert de sites Web localement», c'est-à-dire via les médias ou Bluetooth. Dans le même temps, la société appelle WebBundles "une nouvelle norme qui peut fondamentalement changer Internet", c'est-à-dire qu'il existe déjà des plans pour une adoption généralisée des WebBundles.
La publicité
Des serveurs pour héberger des sites de toutes tailles - c'est notre épopée ! Tous les serveurs «prêts à l'emploi» sont protégés contre les attaques DDoS, la vitesse du canal Internet est de 500 Mégabits, l'installation automatique du panneau de contrôle VestaCP pratique pour l'hébergement de sites et même l'installation automatique de Windows Server à des tarifs avec 2 Go de RAM ou plus. Dépêchez-vous de commander!
