Webバンドルがコンテンツブロッカー、セキュリティツール、およびオープンWebにどのように害を及ぼすか

Googleは、Webの新しい標準であるWebバンドルを提案しています。この標準では、すべてのWebサイトリソースを1つのファイルにバンドルできるため、ブラウザーが子リソースへのリンクを操作できなくなります。このシステムは、Webをハイパーリンクされたリソースのコレクション（探索、安全なダウンロード、または変更さえ可能）から不透明なオールオアナッシングの情報チャンク（PDFやSWFなど）に変換する恐れがあります。オープンで透明性があり、ユーザーフレンドリーなウェブを信じる組織、ユーザー、研究者、規制当局は、この基準に抵抗する必要があります。



Webバンドルと関連する提案に感謝しますが特定の課題に取り組むことを約束し、ウェブのオープンで透明性のあるユーザー中心の性質を危険にさらすことなく、同じ目標を達成するためのより良い方法があると信じています。考えられる代替案の1つは、個別にダウンロード可能なサブリソースに署名済みコミットメントを使用することです。代替案の説明には別の記事が必要であり、一部はすでに仕様の作成者と共有されています。

ウェブはURLリンクのおかげでユニークなオープンシステムです

Webは、ユーザー中心、ユーザー制御、ユーザー編集であるため、価値があります。経験の少ないユーザーでも、ページにあるWebリソースを把握し、ブラウザーに何をロードするかを決定できます。専門家でなくても、これを使用して適切な拡張機能やツールをインストールし、プライバシーを保護することができます。



Webのユーザーへの焦点は、ほとんどのアプリケーションや情報配信システムの動作とは異なります。ほとんどのアプリケーションは、個別に評価するために互いに分離することが困難または不可能でさえあるコードとリソースのコンパイルされたコレクションです。そして、この重要な違いは、Web用のプライバシー保護ツールが非常に多く、「バイナリ」アプリケーション用のツールが非常に少ない理由を説明しています。



基本的に、Webが他のシステムと異なり、よりオープンで、ユーザー中心であり、他のアプリケーションと異なるのはURLです。 URLは通常、単一のリソースを指しているため、研究者や活動家は、これらのURLについて事前に調査し、結論を出すことができます。他のユーザーは、この情報を使用して、URLが指すものをダウンロードするかどうか、およびその方法を決定できます。さらに重要なことに、専門家はtracker.com/code.jsをダウンロードし、プライバシーを侵害していると判断し、この情報を他の人と共有して、将来このコードをダウンロードしないようにすることができます。



この規則には例外があり、Webプラットフォームにはそのような要件はありませんが、URLは通常、基本的に変更されていないと予想されます。これらの期待は、キャッシュポリシー、コードを展開するためのライブラリ命令などの観点から、Webプラットフォーム全体に散在しています。

WebバンドルはURLを無意味にします

Googleは最近、相互接続された3つの標準、Webバンドル、署名付きHTTP交換（SXGと略されることもあります）、および読み込みを提案しました。基本的に、この記事では、Webバンドルとは3つすべてを意味します。これまでのところ、Webバンドルは、広告システム（TURTLEDOVE、SPARROW）で使用される標準として、またGoogleの将来のAMPシステムの一部として宣伝されてきましたが、これは氷山の一角に過ぎないようです。



大まかに言うと、Webバンドルはアセットをバンドルする方法です。ページ、画像、JavaScriptファイルを個別にダウンロードする代わりに、ブラウザは「バンドル」全体をダウンロードします。このファイルには、ページを読み込むためのすべての情報が含まれています。 URLは、ネットワークリソースへの一般的なグローバルリンクではなくなり、パッケージ内の任意のインデックスになります。



言い換えると、WebバンドルはサイトをPDF（またはFlash SWFファイル）に変換します。 PDFには、PDFのレンダリングに必要なすべての画像、ビデオ、およびスクリプトが含まれています。個別にダウンロードする必要はありません。これには便利な利点がありますが、ファイル全体から独立してPDFの個々の部分を調べることは不可能です。したがって、PDF用のコンテンツブロックツールはありません。 PDFはオールオアナッシングのオファーであり、WebバンドルはWebサイトをこのようなオファリングに変えます。



URLを意味のあるグローバル識別子から任意のパッケージ固有のインデックスに変更することにより、Webバンドルは、広告主とトラッカーにプライバシーとセキュリティツールをバイパスする強力な新しい方法を提供します。次のセクションでは、この点を説明するために選択した例を示します。

Webバンドルにより、サイトはプライバシーおよびセキュリティツールをバイパスできます

Webバンドル内のURLは、バンドル内のリソースへの任意のリンクであり、グローバルにアクセス可能なリソースへのリンクではありません。これにより、サイトはプライバシーおよびセキュリティツールをバイパスするいくつかの方法を利用できます。



もちろん、パッケージ外のリソースを参照することもできますが、この動作によりパッケージシステムが無意味になるため、この問題についてはこの記事では説明しません。



主な回避策は、Webバンドルが、他の地域で見られるものとは関係なく、リソースのローカル名前付けを作成するという事実に起因します。これにより、名前とのあらゆる種類の混乱が発生し、活動家が行ってきたプライバシーとセキュリティの改善に関する長年の作業が無効になります。プライバシーと研究者。以下では、Webバンドル対応のWebサイトがこの混乱を利用する3つの方法について説明します。

URLランダム化によるセキュリティツールのバイパス

以前は、Webサイトがスクリプトを使用してユーザーのアクションを追跡する場合、変更されていないURLを持つ同じスクリプトを指す<script>タグがHTMLページに含まれていました。研究者またはユーザーグループがこのURLをEasyPrivacyリストに追加して、プライバシーの懸念が追跡スクリプトをダウンロードせずにサイトにアクセスできるようにしている可能性があります。これが、今日のほとんどのブロッキングツールの仕組みです。



Webバンドルを使用すると、不要なリソースのURLをランダム化することで、サイトがそのようなツールを簡単にバイパスできるようになります。今日のWebにはグローバル名があります。たとえば、example.org / tracker.jsの場合、1つのWebバンドルでは、1.js、別の2.js、3番目の3.jsなどの名前を付けることができます。Webバンドルは、サイトで無料にすることにより、このプラクティスを促進します。キャッシングは無意味になり（すべてのリソースを各ユーザーに配布し、パッケージ全体をキャッシングするため）、URLマークアップは必要ありません（ユーザーに送信されるパッケージにはすでにランダム化されたURLが含まれているため）。

URLの再利用によるプライバシーツールのバイパス

さらに悪いことに、Webバンドルでは、同じURLが各バンドル内の異なるリソースを指すようにすることで、サイトがブロッキングツールをバイパスできるようになります。現在のWebでは、example.org /ad.jpgがどのユーザーにとっても同じことを指しているとしましょう。 Webサイトが同じURLに2つの異なる画像を返すようにすることは困難です。その結果、ブロックツールは、すべてのユーザーの広告をブロックしていることを認識して、ad.jpgをブロックできます。一部の人にとっては広告になり、他の人にとっては会社のロゴになるリスクは事実上ありません（これは不可能ではありませんが、難しいです。重要なのは、Webバンドルが、今日複雑で壊れやすい回避方法をシンプルで無料に変えることです）。



Webバンドルは、このシステムを危険な方法で変更します。 Example.orgは、パッケージの1つでexample.org/ad.jpgは、広告、別のサイトのロゴ、3番目の広告を指します。これは、研究者がリストを編集することをはるかに困難にするだけでなく、不可能にするだけでなく、サイトにブロックリストを毒殺する新しい方法を提供します。

危険なURLを非表示にしてプライバシーツールをバイパスする

最後に、Webバンドルはさらに危険な回避策を開きます。今日では、このようuBlock起源となどのグループGoogleのセーフブラウジング悪意のあると危険なWebリソースが含まれるリストのURL。このようなプロジェクトでは、URLが危険なリソースの唯一の、または少なくとも最も重要な識別子であると見なされます。 URLの普遍的でグローバルな性質により、これらのリストは便利です。



Webバンドルを使用すると、サイトは検証済みのURLを介して既知の有害なリソースにリンクできるため、この保護を回避できます。 Web上では、治療のためにサイトを取得することは非常に困難であるcdn.example.org/cryptominer.jsを、それがあたかもcdn.example.org/jquery.js（およびその逆）。 Webバンドルでは、これは簡単な作業になります。

Web Bundles ,

Webバンドル仕様の開発者と支持者は、ここに新しいものは何もないと主張しており、保護をバイパスする上記の方法はすべてすでに存在しています。技術的にはこれは真実ですが、本質的に、そのようなステートメントはプロセスの経済性を無視しているため、状況全体を説明していません。 Webバンドルは、これらの高価で信頼性が低く、複雑なテクノロジーを安価または無料にします。



たとえば、Webサイトでは、実際には複数のURLが同じファイルを指すようにして、広告ブロッカーの作業を困難にすることができますが、実際には、サイトがこれを行うことは困難です。 URLのランダム化はキャッシュを損ない、適切なリソースへのランダムなURLマッピングを保存し、その情報をCDNに渡す必要があります。サイトはこれを行うことができますが、費用がかかり困難であるため、行われることはめったにありません。



同様に、今日のサイトでは、Cookieまたは他のユーザー追跡メカニズムを使用して、同じURLをユーザーごとに異なる方法で機能させ、上記のさまざまなURL難読化攻撃を実行する場合があります。ただし、この方法は信頼性が低く（新規訪問者をどうするか）、複雑で（Cookieとリソース値の表示を維持および配布する必要があります）、費用がかかります（ほとんどのWebサーバーとホスティングサービスはキャッシュに依存しているため、大企業が所有していないサイトの同様のテクノロジーは実質的に利用できません）。



一般に、Webバンドルは、安価にすることで不要な動作をはるかに簡単にします。

その他の問題

この記事では、Webバンドルがプライバシーおよびセキュリティツールに与える可能性のある害について説明します。しかし、これと関連する標準には他にも問題があります。特に、これらは次のとおりです。

• SXGにはキックバックシステムがありません。今日、悪意のあるリソースが誤ってサイトに表示された場合、サイトを更新するだけで済みます。サイトがSXGを使用してWebバンドルに署名する場合、署名者が「この特定のパッケージを信頼しなくなった」ことを全員に伝える明確な方法はありません。
• マニフェストv3との相互運用性：マニフェストv3は、ブロックにURLパターンを使用するように拡張機能を制限します。Webバンドルは、これらのURLを無意味にします。これら2つを組み合わせると、サイトはブロッキングを完全にバイパスできます。
• ソースとの混同。Loading + SXGを使用すると、あるサーバーからコンテンツをダウンロードして、別のサーバーのプライバシーとセキュリティの設定で実行できます。ユーザーの混乱の可能性は非常に大きく、Googleの従業員はこの問題に積極的に取り組んでいると確信していますが、ユーザーのリスクは依然として非常に高いままです。

結論

ブレイブは、ブラウザと作成および配布するツールの両方で、また標準化された組織のために作成するアドボカシーにおいて、Webプライバシーの改善に取り組んでいます。この記事は、Web標準がプライバシー、透明性、および説明責任に引き続き焦点を当てることを保証するための私たちの取り組みの一例にすぎません。



私たちは長い間試みましたが、役に立たず、注意を払うためにリストされた問題に関するWebバンドル標準の作成者。この記事で説明されているプラ​​イバシーとセキュリティの問題が解決されるまで、GoogleとWebバンドルにこの提案を保留することをお勧めします。また、Webプライバシーおよびセキュリティコミュニティのメンバーがこのディスカッションに参加し、説明されている問題が解決されるまでこの標準を実装しないことをお勧めします。



これを行う1つの方法は、この記事の作成者がWebバンドルプロジェクトで行った投稿へのコメントでこれらの問題を説明することです。他のオプションは、新しい仕様書を作成し、ブラウザ開発者にプライバシー保護ツールが個人的にどれほど重要であるか、そしてこれらの新しい標準がそれらのツールにどのようなリスクをもたらすかを伝えることです。