Bien que nous soyons reconnaissants que les offres Web et les suggestions associéesdéterminés à relever des défis spécifiques, nous pensons qu'il existe de meilleures façons d'atteindre les mêmes objectifs sans compromettre la nature ouverte, transparente et centrée sur l'utilisateur du Web. Une alternative potentielle consiste à utiliser des engagements signés pour des sous-ressources téléchargeables indépendamment. La description des alternatives nécessitera un article séparé, et certaines ont déjà été partagées avec les auteurs de la spécification.
Le web est un système ouvert unique grâce aux liens URL
Le Web est précieux car il est centré sur l'utilisateur, contrôlé par l'utilisateur et édité par l'utilisateur. Même les utilisateurs peu expérimentés peuvent déterminer quelles ressources Web se trouvent sur une page et décider de ce que leur navigateur doit charger. Même si vous n'êtes pas un expert, vous pouvez l'utiliser et installer les extensions ou outils appropriés pour protéger votre vie privée.
L'accent du Web sur les utilisateurs est différent de la façon dont la plupart des applications et des systèmes de distribution d'informations fonctionnent. La plupart des applications sont un ensemble compilé de code et de ressources qu'il est difficile, voire impossible, de séparer les uns des autres pour les évaluer séparément. Et cette distinction importante explique pourquoi il existe tant d'outils de protection de la vie privée pour le Web et si peu pour les applications «binaires».
Fondamentalement, ce qui rend le Web différent des autres systèmes, plus ouvert, plus centré sur l'utilisateur et différent des autres applications, c'est l'URL. Étant donné qu'une URL pointe généralement vers une seule ressource, les chercheurs et les militants peuvent étudier et tirer des conclusions sur ces URL à l'avance. D'autres utilisateurs peuvent utiliser ces informations pour décider s'ils souhaitent télécharger ce vers quoi l'URL pointe et comment le faire. Plus important encore, les experts peuvent télécharger tracker.com/code.js , décider qu'il viole la confidentialité et partager ces informations avec d'autres afin qu'ils sachent qu'ils ne devraient pas télécharger ce code à l'avenir.
Il existe des exceptions à cette règle, et il n'y a pas d'exigences de ce type dans la plate-forme Web - cependant, les URL sont généralement censées rester essentiellement inchangées. Ces attentes sont dispersées sur toute la plate-forme Web - en termes de politiques de mise en cache, d' instructions de bibliothèque pour le déploiement de code, etc.
Les offres Web rendent les URL sans signification
Google a récemment proposé trois normes interconnectées: les offres Web, les échanges HTTP signés (parfois abrégés en SXG) et le chargement. Fondamentalement, dans cet article, par Web Bundles, nous entendons les trois. Jusqu'à présent, les Web Bundles ont été présentés comme des normes à utiliser dans les systèmes publicitaires (TURTLEDOVE, SPARROW) et dans le cadre du futur système AMP de Google - bien que cela ne me semble que la partie visible de l'iceberg.
À un niveau élevé, les offres groupées Web sont un moyen de regrouper des actifs. Au lieu de télécharger les pages, les images et les fichiers JavaScript séparément, votre navigateur télécharge l'ensemble du «bundle», un fichier qui comprend toutes les informations pour charger la page. Les URL cessent d'être des liens globaux communs vers des ressources réseau et deviennent des index arbitraires dans les packages.
En d'autres termes, les Web Bundles transforment les sites en PDF (ou fichiers Flash SWF). PDF comprend toutes les images, vidéos et scripts nécessaires pour rendre le PDF - vous ne les téléchargez pas individuellement. Cela a ses avantages en termes de commodité, mais il est impossible d'examiner des parties individuelles du PDF indépendamment du fichier entier. Par conséquent, il n'existe aucun outil de blocage de contenu pour PDF. Le PDF est une offre tout ou rien, et les Web Bundles transformeront les sites Web en offres comme celle-ci.
En changeant les URL d'identifiants globaux significatifs en index arbitraires spécifiques aux packages, les offres groupées Web offrent aux annonceurs et aux trackers de nouvelles façons puissantes de contourner les outils de confidentialité et de sécurité. La section suivante fournit des exemples sélectionnés pour illustrer ce point.
Les offres groupées Web permettront aux sites de contourner les outils de confidentialité et de sécurité
Les URL des bundles Web sont des liens arbitraires vers des ressources au sein d'un bundle et non des liens vers des ressources globalement accessibles. Cela donne aux sites plusieurs moyens de contourner les outils de confidentialité et de sécurité.
Ils peuvent, bien sûr, faire référence à des ressources en dehors du package, mais ce comportement rendrait le système de package sans signification, donc ce problème n'est pas abordé dans cet article.
La principale solution de contournement vient du fait que les Web Bundles créent un espace de noms local pour les ressources, indépendant de ce que le reste du monde voit, ce qui peut conduire à toutes sortes de confusion avec les noms, ce qui annule les années de travail sur l'amélioration de la confidentialité et de la sécurité que les activistes ont accomplies. vie privée et chercheurs. Voici trois façons dont les sites Web compatibles avec les offres groupées peuvent tirer parti de cette confusion.
Contournement des outils de sécurité via la randomisation d'URL
Auparavant, si un site Web souhaitait utiliser un script pour suivre les actions des utilisateurs, il incluait une balise <script> dans la page HTML qui pointe vers le même script avec une URL inchangée. Des chercheurs ou des groupes d'utilisateurs peuvent avoir ajouté cette URL à une liste EasyPrivacy afin que les problèmes de confidentialité puissent visiter le site sans télécharger le script de suivi. C'est ainsi que fonctionnent aujourd'hui la plupart des outils de blocage.
Les offres groupées Web permettent aux sites de contourner plus facilement ces outils en randomisant l'URL des ressources indésirables. Ce qui dans le Web d'aujourd'hui a un nom global, par exemple example.org/tracker.js, dans un Web Bundles, vous pouvez nommer 1.js, dans un autre 2.js, dans le troisième 3.js, etc. Les Web Bundles encouragent cette pratique en la rendant gratuite pour les sites. La mise en cache n'a plus de sens (puisque vous distribuez toutes les ressources à chaque utilisateur et mettez en cache l'intégralité du package), et le balisage d'URL n'est pas nécessaire (puisque le package envoyé à l'utilisateur contient déjà des URL aléatoires).
Contournement des outils de confidentialité via la réutilisation d'URL
Pour aggraver les choses, les offres Web permettront aux sites de contourner les outils de blocage en s'assurant que les mêmes URL pointent vers des ressources différentes dans chaque ensemble. Sur le Web actuel, disons que example.org/ad.jpg pointe vers la même chose pour n'importe quel utilisateur. Il est difficile pour un site Web d'avoir la même URL renvoyant deux images différentes. En conséquence, les outils de blocage peuvent bloquer ad.jpg sachant qu'ils bloquent les publicités pour tout le monde. Il n'y a pratiquement aucun risque que pour certains ce soit une publicité, et pour d'autres ce soit un logo d'entreprise (ce n'est pas impossible, mais difficile - le fait est que les Web Bundles transforment les méthodes de contournement, qui sont aujourd'hui complexes et fragiles, en simples et gratuites).
Les Web Bundles modifient ce système de manière dangereuse. Example.org peut rendre ses packages tels que dans l'un d'euxexample.org/ad.jpg pointera vers une publicité, dans une autre - vers le logo du site, dans une troisième - vers autre chose. Cela ne rendra pas seulement la compilation de listes beaucoup plus difficile pour les chercheurs, voire le rendra impossible, cela donnera aux sites de nouvelles façons d'empoisonner les listes de blocage.
Contourner les outils de confidentialité en masquant les URL dangereuses
Enfin, les offres Web offrent des solutions de contournement encore plus dangereuses. Aujourd'hui, des groupes tels que uBlock Origin et les URL de liste de navigation sécurisée de Google incluent des ressources Web malveillantes et dangereuses. De tels projets considèrent l'URL comme le seul, ou du moins le plus important, identifiant d'une ressource dangereuse. La nature universelle et globale de l'URL rend ces listes utiles.
Les offres groupées Web permettent à nouveau aux sites de contourner cette protection en leur permettant de créer des liens vers des ressources dangereuses connues via des URL vérifiées. Sur le Web, il est très difficile de faire en sorte que les sites traitent cdn.example.org/cryptominer.js comme s'il s'agissait de cdn.example.org/jquery.js (et vice versa). Dans les offres groupées Web, ce sera une tâche triviale.
Web Bundles ,
Les développeurs et les partisans des spécifications Web Bundles affirment qu'il n'y a rien de nouveau ici et que toutes les méthodes ci-dessus de contournement de la protection existent déjà. Techniquement, c'est vrai, mais en substance, une telle déclaration ignore les aspects économiques du processus et ne décrit donc pas la situation dans son ensemble. Les offres groupées Web rendent ces technologies coûteuses, peu fiables et complexes bon marché, voire gratuites.
Par exemple, les sites Web peuvent en fait faire pointer plusieurs URL vers le même fichier pour rendre la vie plus difficile aux bloqueurs de publicités, mais en pratique, il est difficile pour les sites de le faire. La randomisation d'URL nuit à la mise en cache, elle nécessite le stockage d'un mappage d'URL aléatoire vers les bonnes ressources et la transmission de ces informations au CDN, etc. Les sites peuvent le faire, mais c'est cher et difficile, c'est donc rarement fait.
Dans le même ordre d'idées, les sites d'aujourd'hui peuvent utiliser des cookies ou d'autres mécanismes de suivi des utilisateurs pour faire en sorte que la même URL fonctionne différemment pour différents utilisateurs, en effectuant les diverses attaques d'obfuscation d'URL décrites ci-dessus. Cependant, cette méthode n'est pas fiable (que faire des nouveaux visiteurs?), Complexe (vous devez maintenir et distribuer l'affichage des cookies et des valeurs de ressources) et coûteuse (la plupart des serveurs Web et des services d'hébergement reposent sur la mise en cache, de sorte que ces technologies pour les sites qui n'appartiennent pas aux grandes entreprises ne sont pas disponibles).
En général, les offres groupées Web facilitent beaucoup les comportements indésirables en les rendant moins chers.
D'autres problèmes
Cet article décrit les dommages que les offres groupées Web peuvent causer aux outils de confidentialité et de sécurité. Mais il y a d'autres problèmes avec cela et les normes connexes. En particulier, ce sont:
- SXG n'a pas de système de rebond. Si une ressource malveillante apparaît accidentellement sur le site aujourd'hui, le site peut simplement être mis à jour. Si un site signe des offres groupées Web à l'aide de SXG, il n'y a pas de moyen clair pour le signataire de dire à tout le monde de «ne plus faire confiance à ce package particulier».
- L'interopérabilité avec Manifest v3: Manifest v3 limite les extensions à utiliser des modèles d'URL pour le blocage. Les offres Web rendent ces URL dénuées de sens. La combinaison de ces deux éléments permettra aux sites de contourner complètement le blocage.
- Confusion avec les sources. Loading + SXG vous permet de télécharger du contenu à partir d'un serveur, puis de l'exécuter avec les paramètres de confidentialité et de sécurité d'un autre serveur. Le potentiel de confusion des utilisateurs est énorme - et bien que nous soyons convaincus que les employés de Google travaillent activement pour résoudre ce problème, le risque pour les utilisateurs reste très élevé.
Conclusion
Brave travaille à l'amélioration de la confidentialité du Web, à la fois dans notre navigateur et dans les outils que nous fabriquons et distribuons, ainsi que dans le plaidoyer que nous faisons auprès des organisations de normalisation. Cet article n'est qu'un exemple de notre travail visant à garantir que les normes Web continuent de se concentrer sur la confidentialité, la transparence et la responsabilité.
Nous avons essayé pendant longtemps, mais en vain, de faire attentionauteurs du standard Web Bundles sur les problèmes répertoriés. Nous exhortons Google et les offres Web à suspendre cette proposition jusqu'à ce que les problèmes de confidentialité et de sécurité décrits dans cet article soient résolus. Nous encourageons également les membres des communautés de confidentialité et de sécurité Web à se joindre à cette discussion et à ne pas mettre en œuvre cette norme tant que les problèmes décrits ne sont pas résolus.
Une façon de faire est de décrire ces problèmes dans les commentaires sur la publication de l'auteur de cet article sur le projet Web Bundles. D'autres options consistent à rédiger de nouvelles notes de spécifications, à indiquer aux développeurs de votre navigateur à quel point les outils de protection de la vie privée sont importants pour vous personnellement et à quel risque ces nouvelles normes présentent ces outils.