Solo proporciona navegación basada en texto de bajo ancho de banda
Más de seis años después de que Facebook lanzó su ambicioso programa Free Basics para llevar Internet a las masas, la red social ha lanzado una nueva iniciativa de calificación cero llamada Discover.
El servicio, disponible como una web móvil y una aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.
Facebook Discover se está probando actualmente en Perú en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.
A diferencia de la navegación regular con rico contenido, el último proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda, lo que significa que no se admiten otras formas de contenido intensivo en datos, como audio y vídeo.
Otro diferenciador clave es que trata a todos los sitios web por igual, mientras que los usuarios de Free Basics están limitados a un puñado de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.
La medida, en última instancia, generó críticas por violar los principios de neutralidad de la red, lo que llevó a su prohibición en la India en 2016.
Un proxy seguro basado en la web
Pero, ¿cómo funciona realmente Discover? Es muy similar a Free Basics en que todo el tráfico se enruta a través de un proxy. Como resultado, el dispositivo solo interactúa con los servidores proxy, que actúan como un "cliente" para el sitio web que los usuarios han solicitado.
Este servicio proxy basado en la web se ejecuta dentro de un dominio incluido en la lista blanca en "freebasics.com" en el que el operador pone a disposición el servicio de forma gratuita (por ejemplo, "https://example.com" se reescribe como "https:// https-example-com .0.freebasics.com "), que luego busca las páginas web en nombre del usuario y las entrega a su dispositivo.
"Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente", dijo la compañía. "Esta misma lógica ayuda a garantizar que en Free Basics incluso los sitios solo HTTP se entreguen de forma segura a través de HTTPS entre el cliente y el proxy".
Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor para evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o "ick") se almacena en el cliente para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.
"Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin haber sido registrado", señaló Facebook.
Pero permitir el contenido de JavaScript de sitios web de terceros también abre caminos para que los atacantes puedan inyectar código malicioso y, lo que es peor, incluso conducir a la fijación de la sesión.
Para mitigar este ataque, Facebook Discover utiliza una etiqueta de autenticación (llamada "ickt") que se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada "datr"), que se almacena en el cliente.
La etiqueta, que está incrustada en cada respuesta de proxy, se compara con el 'ickt' en el lado del cliente para verificar cualquier signo de alteración. Si hay una falta de coincidencia, las cookies se eliminan. También hace uso de una "solución de dos frames" que integra el sitio de terceros dentro de un iframe que está asegurado por un frame externo, que hace uso de la etiqueta antes mencionada para garantizar la integridad del contenido.
Pero para los sitios web que deshabilitan la carga de la página en un frame para contrarrestar los ataques de clickjacking, Discover funciona eliminando ese encabezado de la respuesta HTTP, pero no antes de validar el frame interno.
Además, para evitar la suplantación del dominio Discover por sitios de suplantación de identidad (phishing), el servicio bloquea los intentos de navegación a dichos enlaces mediante el sandboxing del iframe, evitando así que ejecute código no confiable.
"Esta arquitectura ha sido sometida a importantes pruebas de seguridad internas y externas", concluyó el equipo de ingeniería de Facebook. "Creemos que hemos desarrollado un diseño que es lo suficientemente robusto como para resistir los tipos de ataques a aplicaciones web que vemos en la naturaleza y ofrecer de forma segura la conectividad que es sostenible para los operadores móviles".