为什么将网页内容“打包”成一个源的技术如此危险,它是什么,以及为什么Google Web开发团队会步履蹒跚,所以下面我们来理解。
Web Bundle-RarJPEG业务持续存在
具体来说,他们在遥远的2015年就在Habré上撰写了有关WebBundle的文章。然后作者科摩多·哈克发布了一篇文章“ Web Bundle-RarJPEG Case Lives ”,其中概述了GitHub上新工具的最新版本。
2015 WebBudle的原理很简单,它重复了打包.exe文件的原理:“将任意文件打包到一个容器文件中,并且在客户端,使用API通过文件名来组织对它们的访问。”
实际上,2015年版本是对熟悉图像板的用户的重新思考,即rarJPEG原理-当图像中包含其他内容时。这样就可以绕过董事会仅上传图像的限制,并使用匿名平台在用户之间传输任意文件。
WebBundle仍然旨在绕过对文件类型的限制:它可以用于将任何文件打包成有条件的PNG(包括二进制文件),并以图片的形式在一个“档案”中进行传输。
在2015年科摩多·哈克非常正确地评估了WebBundle的前景:该技术是特定的,并且只有在使用后才能生效。现在,从2020年起,我们可以放心地回答:没有,这项技术没有被使用,也没有普及。
问题是Google的工程师和Web开发人员肯定拥有Forchana的最爱,他们重新构想了WebBundle的概念,发布了2.0版,或者他们称之为WebBundles。
Google的2019 WebBundles与2015的WebBundle有何不同
第一个也是最明显的-来自Google的人开始工作。其次,他们设法将庞大的Web开发和网站建设环境中的无用猫头鹰之类的随机文件放入PNG包中。
如果给定TL; DR,则WebBundles和WebBundle之间的区别如下所示:
Google工程师直接建议使用WebBundles将多个源封装到一个文件中,以便以后显示为用户的最终网页。实际上,当前可用的最接近的技术是PDF。我认为我们很多人一生中至少遇到过一次需要从PDF文件中提取部分内容的事情,这不需要进一步的注释。
但是,如果Google将WebBundles推广为无处不在的工具,那对于网络来说可能是一个极其黑暗的时期,这就是原因。
为什么WebBundle对现代Web有害
现代网络是基于以下原理构建的:每个源都有其自己的链接,也就是说,我们通常可以通过在浏览器中打开控制台来反编译页面并查看其内容。
在将网站打包为WebBundles的情况下,我们获得了数十个或数百个封装的资源的整体,对于外部世界,这些资源隐藏在一个链接下,并且只能通过直接访问我们的“整体”来调用此内容。
从信息安全的角度来看,这意味着在外部世界上仅显示为有条件的单链接的任何站点都可以包含任意的JS代码,脚本,广告等,对此有足够的想象力。
Brave Peter Snyder的安全研究员在他的博客上评论了Google创造的技术:
这项技术可以将现代Internet从一系列超链接资源(可以检查,有选择地检索甚至替换)转变为不透明的气泡,这些气泡可以全有或全无(如PDF或SWF一样)。
WebBundles的问题在于,将网页内容不透明包装到单个整体中的原理使其无法验证,并且降低了已建立的URL相关性和索引机制的价值。
基本上,所有这些打包技巧都存在一个普遍问题,即WebBundles会创建一个本地名称空间,而不管世界其他地方如何看。这最终可能导致大量的命名混乱,并且会破坏为创建一个机密和安全的环境所做的多年工作。
现在将宣布一个众所周知的事实:Google讨厌广告拦截器。也许他们试图假装阻滞剂是一种可以忍受的现象,并且不会消失。也许他们自己支持这一主流。例如,11月向Chrome中添加了内置的阻止程序。
但说实话:Google的整个帝国都是基于标语和标有“广告”的前三个SERP。这是数十亿美元的公司收入,并且Google开发的整个业务和帝国都围绕着标语和这三个链接。
WebBundles在技术层面可能会改变游戏规则,并使现代广告拦截器的概念完全失灵。可以将随机URL打包在WebBundles中要展示广告,您可以替换其中的URL地址,依此类推,只要您有足够的想象力即可。
话虽如此,谷歌已经足够认真了。当前实现WebBundles的已经集成到Chrome浏览器的稳定版本,但在默认情况下禁用。但是,如果您愿意,
chrome://flags可以打开此潘多拉盒子。
Chrome版本85.0.4183.83(官方内部版本),(64位)
现在,WebBundles更像是挂在墙上且永不开火的枪支。但是,如果Google“压缩”并且由于广告预算下降而导致公司收入大幅下降,则也可以使用这种武器。目前尚不清楚该公司对网络开发人员的承诺,但是很显然,WebBundles对于不道德的网站管理员看起来很有吸引力,他们愿意以任何方式和方式通过其经济获利。
还不清楚如何处理此问题,尤其是考虑到“ web-PDF”的可能实施之首将是正在开发地球上最流行的浏览器引擎的公司这一事实。更糟糕的是,此引擎目前没有可理解的替代方案,因为即使是Microsoft,也已经选择使用Chromium来“射击并掩埋”他们的EdgeHTML空姐两年了。
与PDF的类比是有原因的:在文档保护格式和WebBundles之间显示和打包数据的基本原理极为相似。更糟糕的是,到2020年,没有公开可用的工具和服务(甚至是付费工具)能够以100%的精度反编译PDF内容并以所需的格式提供给用户,而我们只是在谈论保护文本数据。任何人都可以猜测保护WebBundles容器内容的方法可以在Google中创建。
到目前为止,Google一直将WebBundles定位为“用于在本地保存和传输网站的工具”,即通过媒体或蓝牙。同时,该公司将WebBundles称为“可以从根本上改变互联网的新标准”,也就是说,已经有计划广泛采用WebBundles。
广告
用于托管各种规模站点的服务器-这就是我们的史诗!所有“开箱即用”的服务器都受到DDoS攻击的保护,Internet通道的速度为500兆比特,自动安装了用于托管站点的便捷VestaCP控制面板,甚至自动安装了Windows Server,但其价格为2 GB或更高。快点订购!
