Más de seis años después de que Facebook lanzara su ambicioso programa Free Basics para llevar Internet a las masas, la red social vuelve a la carga con una nueva iniciativa de calificación cero llamada Discover.
El servicio, disponible como web móvil y aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.
Facebook Discover se está probando actualmente en Perú en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.
A diferencia de la navegación regular de contenido enriquecido, el último proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda, lo que significa que no se admiten otras formas de contenido intensivo en datos, como audio y video.
Otro diferenciador clave es que trata a todos los sitios web por igual, los usuarios de Free Basics se limitan a un puñado de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.
La medida, en última instancia, generó críticas por violar los principios de neutralidad de la red, lo que llevó a su prohibición en India en 2016.
Un proxy seguro basado en la web
Pero, ¿cómo funciona realmente Discover? Es muy similar a Free Basics en que todo el tráfico se enruta a través de un proxy. Como resultado, el dispositivo solo interactúa con los servidores proxy, que actúan como un «cliente» del sitio web que los usuarios han solicitado.
Este servicio de proxy basado en la web se ejecuta dentro de un dominio incluido en la lista blanca bajo «freebasics.com» que el operador hace que el servicio esté disponible de forma gratuita (por ejemplo, «https://example.com» se reescribe como «https: // https-example-com .0.freebasics.com «), que luego obtiene las páginas web en nombre del usuario y las envía a su dispositivo.
«Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente», dijo la compañía. «Esta misma lógica ayuda a garantizar que incluso los sitios solo HTTP se entreguen de forma segura a través de HTTPS en Free Basics entre el cliente y el proxy».
Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor para evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o «ick») se almacena en el cliente para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.
«Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin que se haya registrado», señaló Facebook.
Pero permitir el contenido de JavaScript de sitios web de terceros también abre vías para que los atacantes inyecten código malicioso y, lo que es peor, incluso conduzca a la fijación de la sesión.
Para mitigar este ataque, Facebook Discover utiliza una etiqueta de autenticación (llamada «ickt») que se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada «datr»), que se almacena en el cliente.
La etiqueta, que está incrustada en cada respuesta de proxy, luego se compara con el ‘ickt’ en el lado del cliente para verificar si hay signos de manipulación. Si hay una discrepancia, las cookies se eliminan. También hace uso de una «solución de dos marcos» que incrusta el sitio de terceros dentro de un iframe protegido por un marco externo, que utiliza la etiqueta antes mencionada para garantizar la integridad del contenido.
Pero para los sitios web que deshabilitan la carga de la página en un marco para contrarrestar los ataques de secuestro de clics, Discover funciona eliminando ese encabezado de la respuesta HTTP, pero no antes de validar el marco interno.
Además, para evitar la suplantación del dominio Discover por parte de sitios de phishing, el servicio bloquea los intentos de navegación a dichos enlaces al aislar el iframe, evitando así que ejecute código no confiable.
«Esta arquitectura ha pasado por pruebas de seguridad internas y externas sustanciales», concluyó el equipo de ingeniería de Facebook. «Creemos que hemos desarrollado un diseño que es lo suficientemente robusto para resistir los tipos de ataques de aplicaciones web que vemos en la naturaleza y brindar de manera segura la conectividad que es sostenible para los operadores móviles».
