Facebook lanza 'Discover', un proxy seguro para navegar en Internet gratis

  • 0 Respuestas
  • 474 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1485
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Más de seis años después de que Facebook lanzó su ambicioso programa Free Basics para llevar Internet a las masas, la red social vuelve a funcionar con una nueva iniciativa de calificación cero llamada Discover .

El servicio, disponible como una web móvil y una aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.

Facebook Discover se está probando actualmente en Perú en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.

A diferencia de la navegación regular de contenido enriquecido, el último proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda, lo que significa que no se admiten otras formas de contenido intensivo en datos como audio y video.

Otro diferenciador clave es que trata a todos los sitios web por igual, mientras que los usuarios de Free Basics están limitados a un puñado de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.

La medida, en última instancia, generó críticas por violar los principios de neutralidad de la red , lo que llevó a su prohibición en la India en 2016.

Un proxy seguro basado en la web

Pero, ¿cómo funciona realmente Discover? Es muy similar a Free Basics en que todo el tráfico se enruta a través de un proxy . Como resultado, el dispositivo solo interactúa con los servidores proxy , que actúa como un "cliente" para el sitio web que los usuarios han solicitado.

Este servicio proxy basado en la web se ejecuta dentro de un dominio incluido en la lista blanca en "freebasics.com" en el que el operador pone a disposición el servicio de forma gratuita (por ejemplo, "https://example.com" se reescribe como "https: // https-example-com .0.freebasics.com "), que luego busca las páginas web en nombre del usuario y las entrega a su dispositivo.


"Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente", dijo la compañía . "Esta misma lógica ayuda a garantizar que incluso los sitios solo HTTP se entreguen de forma segura a través de HTTPS en Free Basics entre el cliente y el proxy".

Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor para evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o "ick") se almacena en el cliente para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.

"Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin haber sido registrado", señaló Facebook.

Pero permitir el contenido de JavaScript de sitios web de terceros también abre caminos para que los atacantes puedan inyectar código malicioso y, lo que es peor, incluso conducir a la fijación de la sesión.

Para mitigar este ataque, Facebook Discover utiliza una etiqueta de autenticación (llamada "ickt") que se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada "datr"), que se almacena en el cliente.


La etiqueta, que está incrustada en cada respuesta de proxy, se compara con el 'ickt' en el lado del cliente para verificar si hay signos de manipulación. Si hay una falta de coincidencia, las cookies se eliminan. También hace uso de una "solución de dos cuadros" que integra el sitio de terceros dentro de un iframe que está asegurado por un marco externo, que utiliza la etiqueta antes mencionada para garantizar la integridad del contenido.

Pero para los sitios web que deshabilitan la carga de la página en un marco para contrarrestar los ataques de clickjacking, Discover funciona eliminando ese encabezado de la respuesta HTTP, pero no antes de validar el marco interno.

Además, para evitar la suplantación del dominio Discover por los sitios de phishing, el servicio bloquea los intentos de navegación a dichos enlaces mediante el sandboxing del iframe, evitando así que ejecute código no confiable.

"Esta arquitectura ha sido sometida a importantes pruebas de seguridad internas y externas", concluyó el equipo de ingeniería de Facebook. "Creemos que hemos desarrollado un diseño que es lo suficientemente robusto como para resistir los tipos de ataques a aplicaciones web que vemos en la naturaleza y ofrecer de forma segura la conectividad que es sostenible para los operadores móviles".

Vía: https://thehackernews.com

 

Algoritmos para engañar a algoritmos

Iniciado por Dragora

Respuestas: 0
Vistas: 539
Último mensaje Agosto 06, 2020, 12:46:02 am
por Dragora
"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 3009
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 3185
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 294
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3258
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon