Selon Peter Snyder, chercheur principal sur la protection de la vie privée chez Brave Software, une proposition de spécification web de Google menace de transformer les sites web en blobs numériques impénétrables qui résistent au blocage de contenu et à l'examen de leur code.
Mardi, M. Snyder a publié un mémo avertissant que les "Web Bundles" menacent le rendu du contenu Web et l'examen des codes web. Il avait déjà soulevé cette problématique en février dernier, notant que les Web Bundles empêcheraient les bloqueurs de publicités de bloquer les sous-ressources non désirées. Il a déclaré qu'à l'époque, il essayait de travailler avec les auteurs des spécifications pour répondre à ces inquiétudes, mais qu'à l'évidence, peu de progrès avaient été réalisés.
Sa société développe le navigateur web Brave, qui est basé sur le projet open-source Chromium de Google, mais qui propose des protections de la vie privée, par ajout ou omission, non disponibles dans la version commerciale de Chromium de Google, connue sous le nom de Chrome.
The Register a demandé à Google de faire des commentaires. Ses porte-parole n'ont pas répondu.
L'API Web Bundles est une spécification web soutenue par Google pour regrouper la multitude de fichiers qui composent un site web en un seul fichier .wbn, qui peut ensuite être partagé ou diffusé à partir d'un nœud de réseau de diffusion de contenu plutôt que d'un serveur plus distant. Il s'agit de l'une des nombreuses spécifications connexes pour le regroupement de sites web.
Le problème, selon Snyder, est que les Web Bundles enlèvent l'essence même du web, l'URL.
"À la base, ce qui rend le web différent, plus ouvert, plus centré sur l'utilisateur que les autres systèmes d'application, c'est l'URL", a-t-il écrit. "Comme les URL orientent (généralement) vers quelque chose, les chercheurs et les militants peuvent mesurer, analyser et raisonner à l'avance à propos de ces URL ; les autres utilisateurs peuvent ensuite utiliser cette information pour décider s'ils souhaitent consulter la ressource vers laquelle l'URL pointe, et de quelle manière".
Une personne soucieuse de la sécurité ou de la vie privée, par exemple, peut examiner un fichier JavaScript associé à une URL particulière et prendre des mesures si elle semble abusive.
Cela devient difficile lorsque le fichier n'est pas facile à extraire d'un ensemble plus vaste. Les "Web Bundles" mettent en place des espaces de noms privés pour les URL, de sorte que les outils de protection de la vie privée qui s'appuient sur les URL ne fonctionnent pas.
"La crainte est qu'en rendant les URL insignifiantes, comme ces index arbitraires dans un paquet, les sites web deviennent des choses comme des fichiers .SWF ou des fichiers PDF, juste un gros blob sur lequel vous ne pouvez pas réfléchir indépendamment, et cela deviendra un marché de tout ou rien", a expliqué M. Snyder dans un entretien téléphonique avec The Register.
Commandes Omnibox
Par ailleurs, Google s'est efforcé de cacher les URL complètes dans l'omnibox de Chrome.
M. Snyder admet que certains des objectifs que ces outils visent à concrétiser peuvent être précieux, comme les affirmations d'intégrité des ressources par le biais de signatures, mais il s'oppose aux méthodes employés pour y parvenir.
"Je pense que certains des objectifs visés par ces outils sont précieux", a-t-il déclaré. "Je pense que la façon dont ces outils sont utilisés n'a pas de valeur et a un effet secondaire insidieux qui consiste à permettre d'autres choses qui sont hostiles à l'utilisateur".
Snyder n'est pas le seul à avoir des doutes sur la spécification. L'ingénieur John Wilander, du WebKit d'Apple, a déposé deux dossiers en faisant valoir que les entreprises de publicité pourraient utiliser le packaging des sites web pour contourner les décisions de confidentialité des utilisateurs.
Et Maciej Stachowiak, un ingénieur logiciel qui dirige le développement du WebKit d'Apple, a également exprimé son opposition aux Web Bundles.
Malgré le refus de Google de répondre officiellement, plusieurs ingénieurs de Google ont contesté les affirmations de Snyder et ont défendu la technologie sur Twitter.
Alex Russell, ingénieur logiciel senior chez Google, soutient que Snyder a mal compris les différentes propositions de packaging web, peut-être délibérément. Et il insiste sur le fait qu'elles ne cassent pas les URL.
Ce qui est clair, c'est que ces propositions soulèvent plus que quelques questions ouvertes sur la protection de la vie privée ; ce qui est moins évident, c'est de savoir si Google, en tant qu'acteur dominant sur le web, tiendra compte des critiques ou les ignorera.
Le déclin du rendu web se poursuit depuis des années, sous l'impulsion de géants technologiques soucieux de rentabilité, de conceptions matérielles hostiles à la réparation et de la prise de conscience que l'ouverture de l'ère des PC poserait des problèmes à mesure que les téléphones et les appareils ménagers deviendraient plus dépendants de logiciels et de processeurs vulnérables.
Dans son livre de 2008 [PDF], The Future of the Internet - And How to Stop It, Jonathan Zittrain a désigné l'iPhone "stérile" comme la fin du jeu, citant le rejet par Steve Job de l'innovation tierce sur le nouveau smartphone :
Nous définissons tout ce qui est sur le téléphone . . . Vous ne voulez pas que votre téléphone soit comme un PC. La dernière chose que vous voulez, c'est d'avoir chargé trois applications sur votre téléphone et puis vous allez passer un appel et qu'il ne fonctionne plus. Ces applications ressemblent plus à des iPods qu'à des ordinateurs.
Apple a cependant renoncé à un modèle d'appareil strict. Comme Zittrain l'a mentionné au passage, un kit de développement logiciel promis - non publié à l'époque - pourrait permettre à des tiers de créer des applications iPhone avec l'autorisation d'Apple. Et c'est ce qui s'est produit, créant le modèle de l'App Store, désormais sur la défensive contre les trublions et les développeurs mécontents dans le monde entier.
Le web est resté ouvert, au moins sur le plan technique, alors que les smartphones ont proliféré au cours de la dernière décennie. Cela a été une petite consolation pour ceux qui étaient agacés par le paternalisme d'Apple et de Google, qui, chacun à leur manière, limitent les logiciels natifs dans leurs plateformes de smartphones respectives.
Mais les sociétés de publicité ont montré qu'elles n'étaient pas ravies que les gens puissent bloquer leurs publicités. Regardez comment Facebook, qui se vante de son engagement en faveur des logiciels libres, obscurcit régulièrement la structure du code de ses pages web pour empêcher les bloqueurs de contenu de fonctionner.
Google est en train d'apporter des modifications à son écosystème de navigateurs qui affectent la liberté de code et la vie privée. Le secteur de la publicité s'efforce de résoudre un large éventail de problèmes de sécurité et de confidentialité sur le web - dont beaucoup doivent réellement être résolus - tout en cherchant à savoir comment son modèle commercial basé sur la publicité peut prospérer lorsqu'il est privé de cookies. Mais en mettant de l'ordre dans sa maison, l'entreprise a réussi à marcher sur quelques orteils.
Peut-être que les motivations de Google sont pures et qu'elle ne veut que le meilleur pour le web. Peut-être que la devise obsolète de l'entreprise, "Don't be evil", motive encore ses employés. Si c'est le cas, le secteur de la publicité a clairement plus de travail à faire pour convaincre les gens qu'il n'essaie pas de privatiser le web et d'imposer des publicités à ceux qui ne le souhaitent pas.
"L'argument de Google est, à mon avis, absurde", a déclaré M. Snyder dans un courriel. "Cela revient à dire que ce service est déjà disponible si vous achetez le service XYZ ; je veux dire que payer pour XYZ est un moyen de dissuasion utile et significatif ! Ou bien ils diront "le blocage par URL est déjà imparfait à cause de l'ABC" ; mon point de vue est que les WebBundles érodent encore plus l'efficacité d'un outil imparfait mais non moins extrêmement utile, le blocage par URL".
source :
https://www.theregister.com/2020/08/27/brave_webbundles_google/
Miroir :
https://app.sigle.io/linkzilla1.id.blockstack/262NI65zLUclIrG-I3r3b