Warum ist die Technologie, den Inhalt einer Webseite in eine Quelle zu "packen", so gefährlich, worum es geht, und warum das Google-Webentwicklungsteam auf einen sehr rutschigen Abhang tritt?
Web Bundle - das RarJPEG-Geschäft lebt weiter
Insbesondere haben sie bereits im fernen Jahr 2015 über WebBundle auf Habré geschrieben. Dann der AutorComodoHackerveröffentlichte einen Artikel " Web Bundle - The RarJPEG Case Lives " mit einem Überblick über die neueste Version des neuen Tools auf GitHub .
Das WebBudle-Prinzip von 2015 ist einfach und dupliziert die Prinzipien des Packens von EXE-Dateien: "Beliebige Dateien werden in eine Containerdatei gepackt, und auf der Clientseite wird der Zugriff auf sie nach Dateinamen mithilfe der API organisiert."
Die Veröffentlichung von 2015 war in der Tat ein Umdenken bei Benutzern, die mit Imageboards vertraut sind, dem rarJPEG-Prinzip - als zusätzliche Inhalte in ein Bild gepackt wurden. Dies ermöglichte es, die Einschränkungen des Boards beim Hochladen nur von Bildern und beim Übertragen beliebiger Dateien zwischen Benutzern über eine anonyme Plattform zu umgehen.
WebBundle zielte weiterhin darauf ab, Einschränkungen für den Dateityp zu umgehen: Es konnte verwendet werden, um alles in ein bedingtes PNG zu packen, einschließlich Binärdateien, und es unter dem Deckmantel eines Bildes in einem "Archiv" zu übertragen.
Im Jahr 2015ComodoHackerDie Aussichten von WebBundle wurden sehr richtig eingeschätzt: Die Technologie ist spezifisch und wird nur dann funktionieren, wenn sie verwendet wird. Ab 2020 können wir mit Sicherheit antworten, dass die Technologie nicht verwendet wurde und nicht in die Welt kam.
Das Problem ist, dass die Ingenieure und Webentwickler von Google definitiv die Favoriten von Forchana haben und das Konzept von WebBundle neu überdachten und Version 2.0 oder, wie sie es nannten, WebBundles veröffentlichten.
Wie sich das WebBundles 2019 von Google vom WebBundle 2015 unterscheidet
Das erste und offensichtlichste - die Jungs von Google machten sich an die Arbeit. Zweitens gelang es ihnen, zufällige Dateien wie eine nutzlose Eule in PNG-Verpackungen auf dem riesigen Globus der Webentwicklung und Website-Erstellung zu ziehen.
Wenn wir TL; DR angeben, sieht der Unterschied zwischen WebBundles und WebBundle folgendermaßen aus: Die
Google-Ingenieure schlagen direkt vor, WebBundles zu verwenden, um mehrere Quellen in einer Datei zu kapseln und später als endgültige Webseite für den Benutzer anzuzeigen. Tatsächlich ist PDF die derzeit am nächsten verfügbare Technologie. Ich denke, viele von uns sind mindestens einmal in ihrem Leben auf die Notwendigkeit gestoßen, einen Teil ihres Inhalts aus einer PDF-Datei zu extrahieren, und dies erfordert keine weiteren Kommentare.
Wenn Google WebBundles jedoch als allgegenwärtiges Tool bewirbt, könnte es für das Web eine extrem dunkle Zeit werden, und hier ist der Grund dafür.
Warum WebBundles für das moderne Web gefährlich sind
Das moderne Web basiert auf dem Prinzip, dass jede Quelle einen eigenen Link hat. Das heißt, wir können eine Seite dekompilieren und ihren Inhalt anzeigen, häufig buchstäblich durch Öffnen der Konsole in einem Browser.
Beim Packen einer Site in WebBundles erhalten wir einen Monolithen aus Dutzenden oder Hunderten von gekapselten Quellen, die für die Außenwelt unter einem Link verborgen sind, und dieser Inhalt kann nur durch direkten Zugriff auf unseren "Monolithen" aufgerufen werden.
Unter dem Gesichtspunkt der Informationssicherheit bedeutet dies, dass jede Site, die der Außenwelt nur als bedingter Monolink erscheint, beliebigen JS-Code, Skripte, Werbung usw. enthalten kann, für die genügend Vorstellungskraft vorhanden ist.
Informationssicherheitsforscher bei Brave Peter Snyder alsokommentierte die von Google in seinem Blog entwickelte Technologie:
Diese Technologie kann das moderne Internet von einer Sammlung von Ressourcen mit Hyperlinks (die überprüft, selektiv abgerufen oder sogar ersetzt werden können) in undurchsichtige Blasen verwandeln, die alles oder nichts funktionieren (wie dies PDF oder SWF bereits tun).
Das Problem bei WebBundles besteht darin, dass das Prinzip des undurchsichtigen Packens von Webseiteninhalten in einen einzelnen Monolithen eine Validierung unmöglich macht und den bereits erstellten Mechanismus für die Relevanz und Indizierung von URLs abwertet.
Grundsätzlich besteht ein häufiges Problem bei all diesen Verpackungstricks darin, dass WebBundles einen lokalen Namespace erstellen, unabhängig davon, was der Rest der Welt sieht. Dies kann letztendlich zu massiven Namensverwirrungen führen und jahrelange Arbeit zur Schaffung einer vertraulichen und sicheren Umgebung zunichte machen.
Eine bekannte Tatsache wird jetzt bekannt gegeben: Google hasst Werbeblocker. Vielleicht versuchen sie vorzutäuschen, dass Blocker ein Phänomen sind, mit dem man leben kann und das nirgendwo hingehen wird. Vielleicht unterstützen sie selbst diesen Mainstream. Beispielsweise wurde Chrome im November ein integrierter Blocker hinzugefügt .
Aber seien wir ehrlich: Googles gesamtes Imperium basiert auf Bannern und den ersten drei SERPs mit der Bezeichnung "Anzeigen". Dies ist ein Unternehmenseinkommen von mehreren Milliarden Dollar, und das gesamte Geschäft und Reich der Google-Entwicklung dreht sich um die Banner und diese drei Links.
WebBundles können auf technischer Ebene ein Game Changer sein und das Konzept moderner Werbeblocker völlig funktionsunfähig machen. Zufällige URLs werden verpackt in WebBundlesUm Anzeigen anzuzeigen, können Sie darin URL-Adressen usw. ersetzen, für die Sie genügend Vorstellungskraft haben.
Davon abgesehen ist Google ernst genug. Die aktuelle Implementierung von WebBundles ist bereits integriert in stabile Versionen von Chrome, aber ist standardmäßig deaktiviert. Aber wenn Sie möchten, können
chrome://flagsSie die Büchse dieser Pandora öffnen.
Chrome-Version 85.0.4183.83 (Official Build), (64 Bit)
Jetzt sind WebBundles eher wie eine Waffe, die an der Wand hängt und niemals feuert. Wenn Google jedoch „drückt“ und die Einnahmen des Unternehmens aufgrund sinkender Werbebudgets erheblich sinken, kann diese Waffe auch verwendet werden. Es ist nicht bekannt, was das Unternehmen Webentwicklern versprechen wird, aber es ist bereits klar, dass WebBundles für skrupellose Webmaster, die bereit sind, ihre Wirtschaft in irgendeiner Weise zu monetarisieren, sehr appetitlich aussieht.
Unklar ist auch, wie damit umzugehen ist, insbesondere angesichts der Tatsache, dass der Leiter der möglichen Implementierung von "Web-PDF" ein Unternehmen sein wird, das die beliebteste Browser-Engine der Welt entwickelt. Schlimmer noch, es gibt derzeit keine verständlichen Alternativen zu diesem Motor, da sogar Microsoft seinen EdgeHTML-Flugbegleiter bereits seit zwei Jahren „erschossen und begraben“ hat, nachdem er auf Chromium umgestellt hat.
Die Analogie zu PDF besteht aus einem Grund: Das Grundprinzip der Anzeige und Verpackung von Daten zwischen dem Dokumentenschutzformat und WebBundles ist äußerst ähnlich. Schlimmer noch, bis 2020 gibt es keine öffentlich verfügbaren Tools und Dienste (auch keine kostenpflichtigen), die PDF-Inhalte mit 100% iger Genauigkeit dekompilieren und dem Benutzer im gewünschten Format zur Verfügung stellen würden, und wir sprechen nur über den Schutz von Textdaten. Welche Methoden zum Schutz des Inhalts von Containern WebBundles in Google erstellen kann, ist unklar.
Google hat WebBundles sorgfältig als "Tool zum Speichern und Übertragen von Websites vor Ort" positioniert, dh über Medien oder Bluetooth. Gleichzeitig nennt das Unternehmen WebBundles "einen neuen Standard, der das Internet grundlegend verändern kann", dh es gibt bereits Pläne für eine breite Einführung von WebBundles.
Werbung
Server zum Hosten von Websites aller Größen - das ist unser Epos ! Alle Server "out of the box" sind vor DDoS-Angriffen geschützt, die Geschwindigkeit des Internetkanals beträgt 500 Megabit, die automatische Installation des praktischen VestaCP-Kontrollfelds zum Hosten von Websites und sogar die automatische Installation von Windows Server zu Tarifen mit 2 GB RAM oder höher. Beeilen Sie sich, um zu bestellen!
