Когато доверието се разбива: Защо уеб сигурността иска проверяем код

В сърцевината на съвременната уеб сигурност се крие сериозен проблем, който тревожи разработчиците.

Използваш Signal или ProtonMail, за да си сигурен, че съобщенията ти са защитени с end-to-end encryption. Нищо не може да ги прочете, дори собствениците на сървърите. Но ето къде е капанът: тази защита зависи от JavaScript кода в браузъра ти. А този код идва от сървър, на който трябва да разчиташ напълно.

Ако сървъра бъде пробит, принуден от власти или саботиран отвътре, някой може да ти подхвърли модифициран код. Той ще открадне криптографските ти ключове. И най-лошото? Никога няма да разбереш.

Моделът на доверие, който не издържа

Класическата уеб сигурност работи на принципа "сървърът е авторитет". Браузърът ти получава код от domain-а, стартира го в изолирана среда и му вярва. Това е ОК за обикновени сайтове. Но за сериозни данни рухва.

Погледни примерите:

• Банкови приложения за сметките ти
• Платформи за здравни данни
• Защитени чатове за журналисти
• Password managers с паролите ти

Всички са уязвими. Компрометиран сървър може да подаде лош код само на теб. Никой няма да го усети – нито аудиторите, нито разработчиците. End-to-end encryption губи смисъл, ако самият код е слабото звено.

Проблемът е липсата на видимост. Атаката остава скрита.

Решение: Криптографски ангажименти и публична проверка

Ами ако направим всяко извращение на сървъра невъзможно за криене?

Ето как: уеб приложението криптографски свързва клиентския си код с публичен manifest. Този manifest отива в append-only лог, който всеки може да провери. Браузърът отказва код, който не съвпада.

Резултатът?

• Браузърът хваща промяната веднага
• Остава следа за разследване
• Може да се проследи до сървъра и времето

Това вече не е теория. Инициативата Web Application Integrity, Consistency and Transparency (WAICT) я носи в уеб платформата.

Как WAICT променя правилата

WAICT добавя две ключови неща:

Integrity: Кодът в браузъра ти съвпада с committed manifest-а. Няма изненади или целеви атаки.

Transparency: Всичко е в публичен лог. Security researchers, журналисти и регулатори могат да проверят. Лошите действия излизат наяве.

Когато сайтът активира WAICT, браузърът става страж. Неотписан код? Отхвърлен. Атакуващият губи прикритието си.

За критични приложения това е революция. Encrypted чат може да обещае: "Кодът ни е публичен, проверяем и браузърът ти ще блокира промени."

Сътрудничество и първи тестове

WAICT не е идея на една фирма. Mozilla, Cloudflare, Meta, Freedom of the Press Foundation и други работят заедно. Спецификациите са open source, развитието – прозрачно.

Прототипи работят във Firefox Nightly. Има демо за encrypted video calls с WAICT. Тествай на waict.dev.

Какво значи за твоите приложения

Ако правиш сайтове с чувствителни данни, WAICT е голямо подобрение. Не молиш потребителите да ти вярват на сървъра. Даваш крипто доказателство, че кодът е както е обявен.

За разработчици:

• Добави manifest в deployment-а
• Активирай за ключови функции
• Получавай автоматична публична проверка
• Давай на user-ите реална прозрачност

За потребителите: сигурността става факт, не обещание.

По-широко значение: Доверие чрез видимост

WAICT е повече от spec. Това е визия за уеб-а. В свят на пробиви и компромети, платформата ни прави лошото видимо и скъпо.

Няма нужда от слепо доверие. Искаме крипто проверка и публична отговорност.

Прототипите са готови. Сътрудниците – единни. Spec-овете – отворени. Сега зависи от екосистемата да ги приеме бързо.

За приложения с твоите лични данни – колкото по-скоро, толкова по-добре.

Искаш да тестваш WAICT? Виж open spec-овете и пробвай прототипа във Firefox Nightly. Ако управляваш domain или hosting, следи тези стандарти – за защитата на user-ите ти.