Envoyé par Google
Google rappelle que cette technologie permet à un éditeur de signer un seul échange HTTP (c'est-à-dire une paire requête / réponse), de la manière dont l'échange signé peut être servi à partir de n'importe quel serveur de mise en cache. Lorsque le navigateur charge cet échange signé, il peut afficher en toute sécurité l'URL de l'éditeur dans la barre d'adresse, car la signature de l'échange est une preuve suffisante que le contenu provient à l'origine de l'éditeur.
En clair, les SXG fournissent un moyen de prouver l’authenticité d’une ressource dans les cas où la couche de transport n’est pas suffisante.
Selon un document de travail de l'IETF (Internet Engineering Task Force), publié dans le cadre des efforts continus de l'équipe Chrome, il est expliqué que les échanges HTTP signés peuvent être utilisés pour prouver l’authenticité d’une ressource de plusieurs manières :
- Lorsqu'elle est signée par un certificat qui est approuvé pour une origine, un échange peut être considéré comme faisant autorité pour cette origine, même s'il a été transféré sur une connexion qui ne fait pas autorité
- Une ressource de niveau supérieur peut utiliser une clé publique pour identifier un éditeur attendu pour des sous-ressources particulières, il s’agit là d’un système appelé intégrité de sous-source (SRI - Subresource Integrity). La signature d’un échange fournit la preuve correspondante de l’auteur.
- Une signature peut garantir l'échange d'une certaine manière, par exemple, lorsqu'elle apparaît dans un journal de transparence.
Les avantages à l’utilisation de SXG
Comme indiqué sur la page dédiée aux développeurs pour les produits de Google, l’entreprise cite les utilisations possibles de SXG, notamment :
- Préextraction préservant la confidentialité: Bien que la préextraction de ressources (par exemple, par rel rel = prefetch) pour une navigation ultérieure puisse rendre la navigation plus rapide, elle comporte également des inconvénients en matière de confidentialité. Par exemple, la préextraction de ressources pour les navigations d’origine croisée révélera au site de destination que l’utilisateur est potentiellement intéressé par un élément d’information, même si l’utilisateur n’a finalement pas visité le site. D'autre part, SXG permet de préextraire des ressources d'origine croisée à partir d'un cache rapide sans jamais atteindre le site de destination, ne communiquant ainsi l'intérêt de l'utilisateur que si et quand la navigation a lieu. Google pense que cela peut être utile pour les sites dont le but est d’envoyer leurs utilisateurs sur d’autres sites. Google prévoit notamment de l'utiliser sur les pages de résultats de recherche Google pour améliorer les URL AMP et accélérer les clics sur les résultats de recherche.
- Avantage d’un CDN sans céder le contrôle de la clé privée de votre certificat: un contenu soudainement devenu populaire (par exemple, s’il est publié en une sur un forum spécialisé) surcharge souvent le site sur lequel le contenu est diffusé. Si le site est relativement petit, il a tendance à ralentir ou même devenir temporairement indisponible. Cette situation peut être évitée si le contenu est partagé à l'aide de serveurs de cache rapides et puissants, et que SXG rend cela possible sans partager vos clés TLS.
Selon un billet publié sur le blog dédié au projet AMP, les échanges signés:
Envoyé par projet AMP
À l'heure actuelle, Cloudflare et DigiCert ont déjà ajouté la prise en charge des échanges HTTP signés à leurs plateformes, alors que Protocol Labs en est à la phase de tests.
Selon Protocol Labs
Envoyé par Protocol Labs
Déjà supporté par Opera, considéré comme nuisible par Mozilla
La page Intention de déploiement indique que la fonctionnalité SXG sera disponible sur les six plateformes que sont Windows, Mac, Linux, Chrome OS, Android et Android WebView.
En outre, comme indiqué dans l'entrée SXG du tableau de bord de la plateforme Chrome, la version d'essai de cette fonctionnalité est déjà en cours d'exécution sur les plateformes Chrome 71 pour les ordinateurs de bureau et Android.
Il convient de noter que SXG est déjà pris en charge par le navigateur Web Opera, toujours en cours d’évaluation par l’équipe Microsoft Edge, alors que Mozilla Firefox la considère comme dangereuse et l’équipe Safari a déjà exprimé son scepticisme.
Source : Google, projet AMP, Protocol Labs, IETF, page Intent to ship, Mozilla, Microsoft Edge, Cloudfare, DigiCert
Voir aussi :
OS desktop : Linux a plus de 3 % de parts de marché selon StatCounter et Net Applications, si l'on inclut Chrome OS parmi les distributions Linux
Le navigateur Google Chrome va bientôt intégrer le mode sombre sous Windows 10, à la demande des utilisateurs
Chrome 72 est disponible en version bêta et apporte les champs de classe publique, ainsi qu'une API de requête d'activation utilisateur
Chrome se prépare à mettre fin au hijacking du bouton Retour, le navigateur va bientôt ignorer les redirections louches