Hơn sáu năm sau khi Facebook ra mắt tham vọng Thông tin cơ bản miễn phí chương trình đưa Internet đến với công chúng, mạng xã hội trở lại một lần nữa với một sáng kiến không xếp hạng mới được gọi là Khám phá.
Dịch vụ, có sẵn dưới dạng web di động và ứng dụng Android, cho phép người dùng duyệt Internet bằng cách sử dụng giới hạn dữ liệu hàng ngày miễn phí.
Facebook Discover hiện đang được thử nghiệm ở Peru hợp tác với các công ty viễn thông địa phương như Bitel, Claro, Entel và Movistar.
Không giống như trình duyệt nội dung phong phú thông thường, dự án kết nối mới nhất của Facebook chỉ cung cấp trình duyệt dựa trên văn bản băng thông thấp, nghĩa là các dạng nội dung thâm dụng dữ liệu khác như âm thanh và video không được hỗ trợ.
Một điểm khác biệt quan trọng khác là nó đối xử bình đẳng với tất cả các trang web, trong khi người dùng Free Basics bị giới hạn ở một số ít các trang web được gửi bởi các nhà phát triển và gặp tiêu chí kỹ thuật do Facebook thiết lập.
Việc di chuyển, cuối cùng, đã vẽ sự chỉ trích vì vi phạm nguyên tắc trung lập ròng, dẫn đến lệnh cấm của nó ở Ấn Độ vào năm 2016.
Proxy dựa trên web an toàn
Nhưng Discover thực sự hoạt động như thế nào? Nó rất giống với Khái niệm cơ bản miễn phí ở chỗ tất cả lưu lượng truy cập là chuyển qua proxy. Kết quả là, thiết bị chỉ tương tác với proxy các máy chủ hoạt động như một “máy khách” cho trang web mà người dùng đã yêu cầu.
Dịch vụ proxy dựa trên web này chạy trong một tên miền được liệt kê trong “freebasics.com” mà nhà điều hành cung cấp dịch vụ miễn phí (ví dụ: “https://example.com” được viết lại thành “https: // https-example-com .0.freebasics.com “), sau đó tìm nạp các trang web thay mặt cho người dùng và gửi chúng đến thiết bị của họ.
“Có logic phía máy chủ rộng rãi để đảm bảo các liên kết và href được chuyển đổi chính xác”, công ty cho biết. “Logic tương tự này giúp đảm bảo rằng ngay cả các trang web chỉ có HTTP được phân phối an toàn qua HTTPS trên các Thông tin cơ bản miễn phí giữa máy khách và proxy.”
Ngoài ra, các cookie được sử dụng bởi các trang web được lưu trữ theo kiểu được mã hóa trên máy chủ để ngăn trình duyệt di động đạt giới hạn lưu trữ cookie. Khóa mã hóa (được gọi là khóa cookie internet hoặc “ick”) được lưu trữ trên máy khách để không thể đọc được nội dung của khóa mà không cần biết khóa của người dùng.
“Khi khách hàng cung cấp ick, máy chủ sẽ bị quên trong mỗi yêu cầu mà không bao giờ được đăng nhập”, Facebook lưu ý.
Nhưng việc cho phép nội dung JavaScript từ các trang web của bên thứ ba cũng mở ra con đường cho những kẻ tấn công tiêm mã độc và tệ hơn, thậm chí dẫn đến phiên cố định.
Để giảm thiểu cuộc tấn công này, Facebook Discover sử dụng một thẻ xác thực (được gọi là “ickt”) có nguồn gốc từ khóa mã hóa và cookie định danh trình duyệt thứ hai (có tên là “datr”), được lưu trữ trên máy khách.
Thẻ, được nhúng trong mọi phản hồi proxy, sau đó được so sánh với ‘ickt’ ở phía máy khách để kiểm tra xem có bất kỳ dấu hiệu giả mạo nào không. Nếu có sự không phù hợp, cookie sẽ bị xóa. Nó cũng sử dụng “giải pháp hai khung” nhúng trang web của bên thứ ba trong khung nội tuyến được bảo mật bởi khung bên ngoài, sử dụng thẻ đã nói ở trên để đảm bảo tính toàn vẹn của nội dung.
Nhưng đối với các trang web đó vô hiệu hóa tải của trang trong một khung để chống lại các cuộc tấn công nhấp chuột, Discover hoạt động bằng cách xóa tiêu đề đó khỏi phản hồi HTTP, nhưng không phải trước khi xác thực khung bên trong.
Hơn nữa, để ngăn chặn mạo danh miền Khám phá bằng các trang web lừa đảo, dịch vụ chặn các điều hướng cố gắng đến các liên kết đó bằng cách hộp cát iframe, do đó ngăn không cho nó thực thi mã không tin cậy.
“Kiến trúc này đã được thông qua thử nghiệm bảo mật bên trong và bên ngoài đáng kể”, nhóm kỹ thuật của Facebook kết luận. “Chúng tôi tin rằng chúng tôi đã phát triển một thiết kế đủ mạnh để chống lại các kiểu tấn công ứng dụng web mà chúng tôi thấy trong tự nhiên và cung cấp kết nối bền vững cho các nhà khai thác di động.”
