In questi giorni il team di Mozilla ha pubblicato un documento contenente una serie di dubbi su Web Packaging, nuovo standard Web proposto da Google.
Web Packaging è una combinazione di diverse tecnologie:
- un insieme di strumenti per il signing dell'HTTP request/response exchange;
- un formato per pacchettizzare grandi quantità di request/response in un singolo file;
- il protocollo della Signed Exchanges specification, che permette ai contenuti di essere identificati come "sicuri".
L'unione di tali tecnologie permette di creare un package da distribuire direttamente ai client che, a loro volta, potranno eseguire il rendering della risorsa contenuta nel pacchetto in modo identico all'originale.
Tale concetto viene definito come "origin substitution" permette di visualizzare contenuti e di presentarli come "provenienti" da un determinato indirizzo, senza però contattare direttamente tale indirizzo.
Le applicazioni delle origin substitution sono molteplici, lo si potrebbe sfruttare ad esempio per la pubblicazione di documenti da salvare anche offline, per evitare la censura governativa presente in alcuni paesi o per eseguire delle security review di terze parti.
Di per se tali tecnologie possono essere molto utili, tuttavia nel documento di analisi il team di Mozilla ha espresso numerose perplessità riguardo a tale standard.
Fake content
Web Packaging è di fatto nuovo content delivery model. Tale sistema potrebbe però essere soggetto a vari abusi e venire compromesso in diversi modi: un malintenzionato potrebbe sfruttare una server key rubata o un certificato ottenuto in modo fraudolento per produrre un fake content recante script malevoli.
Attualmente Web Packaging è stato costruito in modo che solo certi certificati possano essere usati per eseguire il sign exchange. Dunque i siti Internet che non adottano Web packaging sono esclusi da tali problematiche. L'unica alternativa valida per difendersi da un certificato contraffatto, o ottenuto, in modo fraudolento è operare una revoca, tuttavia per gli utenti offline questa misura non è sufficiente.
Privacy
Le interazioni e lo scambio dati tramite una connessione HTTPS rappresentano uno standard di sicurezza ormai irrinunciabile. Tuttavia Web Packaging sembra non implementare le medesime misure di sicurezza delle normali pagine Web.
Infatti durante lo scambio dei Web Packaging bundle, mittente e ricevente hanno accesso a varie informazioni che tramite le normali connessi HTTPS sarebbero criptate. Gli utenti metterebbero quindi a rischio la propria privacy con l'uso di tale sistema.
Oltre a tali perplessità esiste anche un questione riguardante il controllo del sistema dei Web Packaging, che sembra essere sbilanciato a favore del publisher. Secondo Mozilla tale modello di distribuzione sarebbe di fatto soggetto alle influenze degli amministratori di Google e delle agenzie di gestione dei certificati.
Complessità e performance
A seguito delle sue analisi il team della fondazione ha rilevato che Web Packaging risulta essere molto complesso da implementare, questo perché di fatto impone agli sviluppatori di sfruttare un sistema parallelo per la sicurezza dei contenuti Web: SHTTP.
SHTTP risulta infatti essere notevolmente più complesso rispetto al più semplice, ma altrettanto sicuro, HTTPS. Aggiungere complessità alla piattaforma non è di per se negativo ma aumenta la possibilità, per gli sviluppatori, di generare bug involontariamente.
Tale grado di complessità impatta ovviamente anche sulle performance generali di Web Packaging
Personalizzazione del contenuto
Web packaging consente una visione di contenuti abbastanza statica, questo per Mozilla è un grosso limite visto che in ambienti offline potrebbe essere necessario manipolare il contenuto per renderlo accessibile ad un bacino di utenti più vasto.
Inoltre i siti Web tendono a personalizzare l'esperienza utente in base alle esigenze del singolo individuo. Come da esempio la posizione geografica, la lingua e l'hardware con cui sta visualizzando il sito.
Il bundle che viene gestito tramite Web packaging non è altrettanto versatile e dovrebbe includere molte variabili che attualmente nei portali tradizionali sono gestite tramite le CSS media query.
Web Packaging è un bene per il web?
Mozilla stessa ha ammesso che gran parte delle sue perplessità potrebbero essere risolte semplicemente migliorando Web Packaging. Tuttavia tali tecnologie potrebbero cambiare il modo in cui i contenuti vengono distribuiti e questo apre le porte ad una serie di scenari abbastanza preoccupanti per la fondazione, visto che di fatto Web Packaging prevede un grande sbilanciamento dei poteri tra i vari attori, che va a favore del distributore del contenuto.
Tale sbilanciamento potrebbe generare dei problemi non solo all'utente finale ma anche al creatore dei contenuti, che si ritroverebbe sotto il controllo di chi di fatto distribuisce il contenuti tramite Web Packaging.