Google o el garante de la privacidad mundial. ¿Lo sabes?

Un informático en el lado del mal: Google o el garante de la privacidad mundial. ¿Lo sabes?

No sé cuántos estáis al día de los movimientos de Google para implantar SDPY Proxy en el funcionamiento natural de toda la navegación web que venga en HTTP2.0. Como sabéis, aún se está discutiendo el estándar en IETF, y parte de la culpa la tiene la definición de qué y cómo hacer el cifrado de las conexiones HTTP que no están cifradas. Vamos por pasos para desgranarlo.

Figura 1: Google o el garante del privacidad mundial

Hoy en día, la guerra es tan encarnizada, que incluso la Wikipedia ha puesto una alerta sobre la posible No neutralidad de los contenidos y afirmaciones que se pueden ver en la entrada sobre HTTP2, así que lo mejor es que te hagas tu propia opinión.

Figura 2: Alerta de posible No Neutralidad en los contenidos de HTTP/2 en Wikipedia

El principio de esta historia comienza con HTTP/1 y el funcionamiento de las conexiones HTTP y HTTPs de forma natural. En este esquema tanto, si la conexión va cifrada como si no, va desde el navegador hasta el servidor web.

Figura 3: Esquema de conexión tradicional (sin usar un Proxy HTTP) en HTTP/1

En el caso de que la conexión no vaya cifrada, entonces el contenido del tráfico puede ser visto por cualquiera que acceda a la red WiFi o a cualquiera de las redes por las que pase. Es decisión del servidor web elegir qué datos debe cifrar y cuáles no para generar un equilibrio entre privacidad y optimización, teniendo en cuenta en la parte de optimización la velocidad y el ancho de banda que es especialmente crítico en las conexiones móviles de pago.

Google, de forma individual, comenzó a desplegar SPDY Proxy, un servidor Proxy que, haciendo compresión del tráfico HTTP y cifrando la información, envía todos los datos de las conexiones HTTP sin cifrar a los servidores SPDY Proxy de Google que, después, son enviados sin cifrar por HTTP al servidor web que realmente el usuario estaba conectándose.

Figura 4: Esquema de conexión con SPDY Proxy de Google. Todo el tráfico HTTP es suyo

Es decir, que maximizando públicamente una de las características de un Servidor Proxy - la caché para hacer aceleración de navegación -, y dando una capa de cifrado en la conexión local - como hacen las VPNs -, se hace con el tráfico de los clientes. Esto no tiene que ser malo, si el usuario es consciente y tiene la opción de activarlo él manualmente, es decir, si es un Opt-in.

Quiero recordar en este punto que un Servidor Proxy, o un Servidor VPN trabajan bajo un esquema de Man in The Middle, y que con él se pueden hacer mil cosas, como ya os publiqué en "Owning bad guys {and mafia} using JavaScript Botnets" que se aprovechaba de un esquema de Rogue Proxy para ello.


Figura 5: Conferencia sobre ataques a clientes con un Rogue Proxy


Además, en el estándar HTTP existe desde siempre el concepto de HTTP Proxy Explícito, donde el usuario, al igual que con una conexión VPN, puede elegir de forma libre a qué Servidor Proxy desea conectarse, ya que a él le va a nombrar garante de su privacidad y le va a hacer entrega de la responsabilidad de velar por la seguridad de sus datos. En mi caso personal, yo utilizo solo esquemas de servidores VPN propios montados en Eleven Paths, que es de quién más me fío.

Figura 6: Servidores Proxy como addons de Google Chrome.

Con la llegada de HTTP/2, en los comités se está hablando de implantar un solución de SPDY Proxy como Opt-Out por defecto. Eso significaría que los clientes de navegación, como Google Chrome enviarían todo el tráfico de conexiones HTTP sin cifrar contra un Servidor Proxy que haría como VPN - cifraría la conexión entre el navegador y el servidor web - y de caché. La pregunta es ...¿a qué servidor?. La pregunta es importante, porque alerta cuando instalas uno de forma explícita es suficientemente clara.

Figura 7: Alerta de seguridad en Google Chrome cuando instalas un servidor Proxy

Y aquí llega la guerra, porque por defecto a día de hoy no se puede elegir. Si tu activas SPDY en tu navegador cliente Google Chrome, o si Google lo activa - como puede hacer en breve - sin decirle nada a los usurarios aprovechando su posicionamiento con Android en los terminales móviles y lo convierte en un Opt-out, entonces todo el tráfico HTTP se irá de tu navegador HTTP al SPDY Proxy de Google.

Y eso es lo que se está peleando. ¿Quién debe ser el garante de la privacidad de los datos de un cliente de Internet? ¿Debe ser Google? ¿Deben dejar los gobiernos que esto pase así después de las filtraciones de Edward Snowden sobre las prácticas de la NSA? ¿Deben nuestros gobiernos en Europa decir algo? ¿Debe ser consciente el usuario de en qué compañía confía y poder elegir a qué servidor HTTP2 PROXY desea conectarse?


Figura 8: Diapositiva de PRISM en la NSA filtrada por Edward Snowden

En mi opinión, lo ideal sería un esquema como el siguiente, donde el usuario pudiera decidir quién debe ser el garante de la privacidad de sus conexiones. Mozilla Firefox y Opera ya han anunciado que no van a poner como Opt-out, sino como Opt-in cualquier implementación de HTTP/2 en conexiones HTTP sin cifrar por medio de un Servidor Proxy, pero Google no tiene esa opinión, y si lo hace aprovechando la cuota de mercado de Android y de Google Chrome en OSX, Windows, Linux e incluso iOS, podría hacerse con casi todo el tráfico mundial HTTP.

Figura 9: Un esquema deseable con elección

Eso significaría que Google se llevaría a sus servidores, sin que muchos usuarios lo sepan, una buena cantidad de datos que a día de hoy no ve, y que de seguro le daría una posición dominante en nuevos servicios, en optimización de sus recursos, en competitividad, etcétera. Eso sí, todo vestido de que su objetivo es "la privacidad del usuario". ¿Tú qué opinas? ¿Deben ser ellos los garantes de la privacidad mundial?

Saludos Malignos!

RIP SPDY, we hardly knew ye: Google to retire next-gen web protocol • The Register

Paso atrás?

Googliano... ::

RIP SPDY, que apenas conocía vosotros: Google de retirarse de próxima generación de protocolo web

09 de febrero 2015 a las 21:28, Neil McAllister

Google ha decidido mothball su SPDY protocolo de capa de aplicación de Internet de cosecha propia en futuras versiones de su navegador Chrome, a favor de HTTP / 2 especificaciones del Internet Engineering Taskforce.

"Chrome ha apoyado SPDY desde Chrome 6, pero como la mayoría de los beneficios que están presentes en HTTP / 2, es el momento de decir adiós", ingeniero de Google Chris Bentzel escribió en un blog el lunes.

No es que hay algún uvas agrias o nada. Bentzel no se molestó en toot propio cuerno de Google en su cargo, observando sólo eso, "Algunas características clave [de HTTP / 2], tales como la multiplexación, la compresión de cabecera, la priorización y la negociación del protocolo evolucionaron de trabajo realizado en una anterior abierta, pero no protocolo -de serie nombrado SPDY ".

Para la mayoría de nosotros, eso sería "SPDY de Google," incluso si Bentzel no mencionó el hecho. La fábrica de chocolate dio a conocer el protocolo en 2009, alegando que sería llegar a representar hasta un aumento del 55 por ciento de velocidad para los sitios de mayor tráfico de la web.

Ideas introducidas por primera vez en SPDY fueron a informar a la labor de la IETF en la especificación HTTP / 2, que se encuentra actualmente en fase de proyecto y se espera que sea publicado como RFC este mes.

Pero no todos los involucrados en el trabajo de HTTP / 2 acordó que SPDY fue el punto de partida correcto. En 2014, el desarrollador de FreeBSD Poul-Henning Kamp recomienda notorio que el IETF "tirar" SPDY, diciendo que el grupo HTTP / 2 trabajo había "perdido mucho tiempo y esfuerzo tratando de Goldplate sobre las verrugas y errores en él."

"Nos enteramos de que hay numerosos problemas difíciles que SPDY ni siquiera acercarse a la solución," Kamp escribió, "y que tendremos que hacer algunas simplificaciones en el concepto HTTP evolucionada si alguna vez queremos resolverlos."

Entre las quejas de Kamp fueron que la especificación SPDY emplea "cifrado sin sentido", incluso para aplicaciones que no lo necesitan - o, tal vez, estén legalmente prohibido usarlo - mientras que hace poco para mejorar las protecciones de privacidad para los individuos.

A pesar de estas quejas, el trabajo en HTTP / 2 basado en SPDY continuó, con algunos mirando a HTTP / 3 como el lugar para abordar algunas de las deficiencias del protocolo actual.

La decisión de Google para apiolar SPDY en Chrome pasará desapercibido por la mayoría de los usuarios. Tanto el navegador web y el servidor debe ser compatible con el protocolo para que tenga algún efecto, y unos pocos servidores web habilitados que - Google es una notable excepción, naturalmente.

Además de eliminar el soporte para SPDY, Google dice que también nix una extensión del protocolo tras*port Layer Security (TLS) llamado Siguiente Protocolo de Negociación (NPN) a favor de la nueva Protocolo de capa de aplicación Negociación (ALPN) especificación de extensión.

"Los desarrolladores de servidor se recomienda encarecidamente a trasladarse a HTTP / 2 y ALPN" Bentzel de Google escribió. "Estamos felices de haber contribuido al proceso de estándares abiertos que llevó a HTTP / 2, y esperamos ver una amplia adopción dada la amplia participación de la industria en materia de normalización y puesta en práctica."

Si eres un fan de SPDY, sin embargo, usted no necesita preocuparse por ahora. Google dice que no va a eliminar el soporte para la especificación de Chrome hasta "principios de 2016" Mientras tanto, una versión de Chrome que soporta HTTP / 2 lanzará al canal versión estable del navegador en las próximas semanas.

Hacer clic para expandir...