forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Chrome планируют включить механизм Signed HTTP Exchanges (..."
Отправлено opennews, 27-Янв-19 10:14

Разработчики Chrome планируют (https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH... активировать поддержку механизма Signed HTTP Exchanges (https://wicg.github.io/webpackage/draft-yasskin-http-origin-... (SXG) для организации размещения верифицированных копий web-страниц на других сайтах, выглядящих для пользователя как исходные страницы. При помощи SXG владелец одного сайта при помощи цифровой подписи может авторизировать размещения определённых страниц на другом сайте. В случае обращения к этим страницам на втором сайте, браузер будет показывать пользователю URL исходного сайта, несмотря на то, что страница загружена с другого хоста.

Компания Google  развивает SGX в контексте исключения возможных MITM-атак на страницы, распространяемые при помощи технологии AMP (https://ru.wikipedia.org/wiki/Accelerated_mobile_pages) (Accelerated Mobile Pages). AMP представляет собой систему кэширования для отдачи страниц пользователю не напрямую, а через инфраструктуру Google. SGX позволит на уровне цифровых подписей гарантировать соответствие прокэшированной и исходной страниц, а также решает проблему с отображением в адресной строке другого домена (https://developers.google.com/amp/cache/use-amp-url) (сейчас показывается https://cdn.ampproject.org/c/s/example.com), что вызывает замешательство пользователей.

Кроме AMP технология SXG может быть использована для распространения web-приложений в форме пакетов (Web Packaging (https://github.com/WICG/webpackage)) в режиме "peer-to-peer",  позволяющем делиться приложениями через сторонние площадки без необходимости постоянного нахождения источника в online, но гарантируя неизменность, целостность и авторство содержимого. Технология также позволяет организовать работу сетей доставки контента (CDN) без получения контроля за SSL-сертификатом сайта (в тестовом режиме поддержка SXG уже реализована (https://blog.cloudflare.com/real-urls-for-amp-cached-content... в Cloudflare CDN). В настоящее время реализация SXG уже добавлена (https://www.chromestatus.com/feature/5745285984681984) в Chrome 71, но пока неактивна и ограничена тестами в режиме "Origin Trial (https://github.com/GoogleChrome/OriginTrials/blob/gh-pages/d....

При помощи SXG автор контента может сформировать (https://github.com/WICG/webpackage/tree/master/go/signedexch... цифровую подпись при помощи своего закрытого ключа (используются штатный ключ от TLS-сертификата с активным расширением CanSignHttpExchanges (https://www.digicert.com/account/ietf/http-signed-exchange.p.... Цифровая подпись авторизует одну операцию, охватывающую только один конкретный запрос и отдаваемый в ответ на него контент. Подобные цифровые подписи необходимо сформировать для всех страниц, которые разрешено распространять через сторонние web-серверы. При открытии подобных страниц пользователем браузер проверяет корректность цифровой подписи по предоставленному исходным сайтом открытому ключу и если целостность подтверждена показывает в адресной строке исходный URL.
Разработчики Safari и Firefox пока не намерены добавлять  SXG в свои браузеры, более того Mozilla считает (https://mozilla.github.io/standards-positions/) данную технологию вредной и разрушающей модель обеспечения безопасности. По мнению Mozilla обработка страниц через инфраструктуру третьих лиц создаёт дополнительные угрозы приватности, так как пользователь взаимодействует с совсем другим сервером, но обработка информации производится как будто он обращается к оригинальному ресурсу.

По мнению (https://lists.w3.org/Archives/Public/ietf-http-wg/2018JanMar... разработчиков Chrome данные опасения не оправданы, так как пользователь явно должен перейти по ссылке на другой сайт и угрозы утечки сведений о пользователе не выше чем при использовании транзитного проброса через третий сайт при помощи  ответа с 302 кодом редиректа. Разница лишь в том, что при SXG страница будет отдана сразу, а при 302-редиректе её отдаст исходный сайт, но и там и там потребуется переход по внешней ссылке, третье лицо обработает запрос и в адресной строке отобразится исходный сайт.

URL: https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50033

Исходное сообщение
"В Chrome планируют включить механизм Signed HTTP Exchanges (..." Отправлено opennews, 27-Янв-19 10:14
Разработчики Chrome планируют (https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH... активировать поддержку механизма Signed HTTP Exchanges (https://wicg.github.io/webpackage/draft-yasskin-http-origin-... (SXG) для организации размещения верифицированных копий web-страниц на других сайтах, выглядящих для пользователя как исходные страницы. При помощи SXG владелец одного сайта при помощи цифровой подписи может авторизировать размещения определённых страниц на другом сайте. В случае обращения к этим страницам на втором сайте, браузер будет показывать пользователю URL исходного сайта, несмотря на то, что страница загружена с другого хоста. Компания Google развивает SGX в контексте исключения возможных MITM-атак на страницы, распространяемые при помощи технологии AMP (https://ru.wikipedia.org/wiki/Accelerated_mobile_pages) (Accelerated Mobile Pages). AMP представляет собой систему кэширования для отдачи страниц пользователю не напрямую, а через инфраструктуру Google. SGX позволит на уровне цифровых подписей гарантировать соответствие прокэшированной и исходной страниц, а также решает проблему с отображением в адресной строке другого домена (https://developers.google.com/amp/cache/use-amp-url) (сейчас показывается https://cdn.ampproject.org/c/s/example.com), что вызывает замешательство пользователей. Кроме AMP технология SXG может быть использована для распространения web-приложений в форме пакетов (Web Packaging (https://github.com/WICG/webpackage)) в режиме "peer-to-peer", позволяющем делиться приложениями через сторонние площадки без необходимости постоянного нахождения источника в online, но гарантируя неизменность, целостность и авторство содержимого. Технология также позволяет организовать работу сетей доставки контента (CDN) без получения контроля за SSL-сертификатом сайта (в тестовом режиме поддержка SXG уже реализована (https://blog.cloudflare.com/real-urls-for-amp-cached-content... в Cloudflare CDN). В настоящее время реализация SXG уже добавлена (https://www.chromestatus.com/feature/5745285984681984) в Chrome 71, но пока неактивна и ограничена тестами в режиме "Origin Trial (https://github.com/GoogleChrome/OriginTrials/blob/gh-pages/d.... При помощи SXG автор контента может сформировать (https://github.com/WICG/webpackage/tree/master/go/signedexch... цифровую подпись при помощи своего закрытого ключа (используются штатный ключ от TLS-сертификата с активным расширением CanSignHttpExchanges (https://www.digicert.com/account/ietf/http-signed-exchange.p.... Цифровая подпись авторизует одну операцию, охватывающую только один конкретный запрос и отдаваемый в ответ на него контент. Подобные цифровые подписи необходимо сформировать для всех страниц, которые разрешено распространять через сторонние web-серверы. При открытии подобных страниц пользователем браузер проверяет корректность цифровой подписи по предоставленному исходным сайтом открытому ключу и если целостность подтверждена показывает в адресной строке исходный URL. Разработчики Safari и Firefox пока не намерены добавлять SXG в свои браузеры, более того Mozilla считает (https://mozilla.github.io/standards-positions/) данную технологию вредной и разрушающей модель обеспечения безопасности. По мнению Mozilla обработка страниц через инфраструктуру третьих лиц создаёт дополнительные угрозы приватности, так как пользователь взаимодействует с совсем другим сервером, но обработка информации производится как будто он обращается к оригинальному ресурсу. По мнению (https://lists.w3.org/Archives/Public/ietf-http-wg/2018JanMar... разработчиков Chrome данные опасения не оправданы, так как пользователь явно должен перейти по ссылке на другой сайт и угрозы утечки сведений о пользователе не выше чем при использовании транзитного проброса через третий сайт при помощи ответа с 302 кодом редиректа. Разница лишь в том, что при SXG страница будет отдана сразу, а при 302-редиректе её отдаст исходный сайт, но и там и там потребуется переход по внешней ссылке, третье лицо обработает запрос и в адресной строке отобразится исходный сайт. URL: https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH... Новость: https://www.opennet.ru/opennews/art.shtml?num=50033

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики Chrome планируют (https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH_BcOBEtc/Z41GR0mwEQAJ) 
> активировать поддержку механизма Signed HTTP Exchanges (https://wicg.github.io/webpackage/draft-yasskin-http-origin-signed-responses.html) 
> (SXG) для организации размещения верифицированных копий web-страниц на других сайтах, 
> выглядящих для пользователя как исходные страницы. При помощи SXG владелец одного 
> сайта при помощи цифровой подписи может авторизировать размещения определённых страниц 
> на другом сайте. В случае обращения к этим страницам на втором 
> сайте, браузер будет показывать пользователю URL исходного сайта, несмотря на то, 
> что страница загружена с другого хоста.

> Компания Google  развивает SGX в контексте исключения возможных MITM-атак на страницы, 
> распространяемые при помощи технологии AMP (https://ru.wikipedia.org/wiki/Accelerated_mobile_pages) 
> (Accelerated Mobile Pages). AMP представляет собой систему кэширования для отдачи страниц 
> пользователю не напрямую, а через инфраструктуру Google. SGX позволит на уровне 
> цифровых подписей гарантировать соответствие прокэшированной и исходной страниц, а также 
> решает проблему с отображением в адресной строке другого домена (https://developers.google.com/amp/cache/use-amp-url) 
> (сейчас показывается https://cdn.ampproject.org/c/s/example.com), что вызывает замешательство 
> пользователей.

> Кроме AMP технология SXG может быть использована для распространения web-приложений в форме 
> пакетов (Web Packaging (https://github.com/WICG/webpackage)) в режиме "peer-to-peer", 
>  позволяющем делиться приложениями через сторонние площадки без необходимости постоянного 
> нахождения источника в online, но гарантируя неизменность, целостность и авторство содержимого. 
> Технология также позволяет организовать работу сетей доставки контента (CDN) без получения 
> контроля за SSL-сертификатом сайта (в тестовом режиме поддержка SXG уже реализована 
> (https://blog.cloudflare.com/real-urls-for-amp-cached-content-using-cloudflare-workers/) 
> в Cloudflare CDN). В настоящее время реализация SXG уже добавлена (https://www.chromestatus.com/feature/5745285984681984) 
> в Chrome 71, но пока неактивна и ограничена тестами в режиме 
> "Origin Trial (https://github.com/GoogleChrome/OriginTrials/blob/gh-pages/developer-guide.md)".

> При помощи SXG автор контента может сформировать (https://github.com/WICG/webpackage/tree/master/go/signedexchange) 
> цифровую подпись при помощи своего закрытого ключа (используются штатный ключ от 
> TLS-сертификата с активным расширением CanSignHttpExchanges (https://www.digicert.com/account/ietf/http-signed-exchange.php)). 
> Цифровая подпись авторизует одну операцию, охватывающую только один конкретный запрос 
> и отдаваемый в ответ на него контент. Подобные цифровые подписи необходимо 
> сформировать для всех страниц, которые разрешено распространять через сторонние web-серверы. 
> При открытии подобных страниц пользователем браузер проверяет корректность цифровой подписи 
> по предоставленному исходным сайтом открытому ключу и если целостность подтверждена показывает 
> в адресной строке исходный URL.

> Разработчики Safari и Firefox пока не намерены добавлять  SXG в свои 
> браузеры, более того Mozilla считает (https://mozilla.github.io/standards-positions/) 
> данную технологию вредной и разрушающей модель обеспечения безопасности. По мнению Mozilla 
> обработка страниц через инфраструктуру третьих лиц создаёт дополнительные угрозы приватности, 
> так как пользователь взаимодействует с совсем другим сервером, но обработка информации 
> производится как будто он обращается к оригинальному ресурсу.

> По мнению (https://lists.w3.org/Archives/Public/ietf-http-wg/2018JanMar/0089.html) 
> разработчиков Chrome данные опасения не оправданы, так как пользователь явно должен 
> перейти по ссылке на другой сайт и угрозы утечки сведений о 
> пользователе не выше чем при использовании транзитного проброса через третий сайт 
> при помощи  ответа с 302 кодом редиректа. Разница лишь в 
> том, что при SXG страница будет отдана сразу, а при 302-редиректе 
> её отдаст исходный сайт, но и там и там потребуется переход 
> по внешней ссылке, третье лицо обработает запрос и в адресной строке 
> отобразится исходный сайт.

> URL: https://groups.google.com/a/chromium.org/d/msg/blink-dev/gPH_BcOBEtc/Z41GR0mwEQAJ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50033

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру