Facebook lanza Discover, un proxy para navegar gratis por Internet
Facebook anunció el lanzamiento de Discover, un proxy seguro para brindar Internet gratuito a comunidades de bajos recursos
Facebook anunció el lanzamiento de Discover, un proxy seguro para brindar Internet gratuito a comunidades de bajos recursos
Después de 6 años de que Facebook lanzó su programa Free Basics para llevar Internet a todo el mundo, la red social anunció una nueva iniciativa de calificación cero llamada Discover.
El servicio, disponible como un sitio web móvil y aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.
Facebook Discover se está probando ahora en Perú, en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.
A diferencia de la navegación regular de contenido enriquecido, el último proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda, lo que significa que no se admiten otras formas de contenido intensivo en datos, como audio y video.
Otro diferenciados clave es que trata a todos los sitios web por igual, mientras que los usuarios de Free Basics están limitados a cierto número de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.
Esta medida ha generado críticas por violar los principios de neutralidad de la red, lo que llevó a su prohibición en la India en 2016.
Funcionamiento de Discover
El funcionamiento de Discover es similar a Free Basics, todo el tráfico se enruta a través de un proxy. Como resultado, el dispositivo solo interactúa con los servidores proxy que actúan como «cliente» para el sitio web que los usuarios solicitaron.
Este servicio de proxy basado en la web se ejecuta dentro de un dominio incluido en la lista blanca en «freebasics.com» en el que el operador pone a disposición el servicio de forma gratuita, que luego busca las páginas web en nombre del usuario y las entrega al dispositivo.
«Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente. Esta misma lógica de garantizar que incluso los sitios solo HTTP se entreguen de forma segura por medio de HTTPS en Free Basics entre el cliente y el proxy», dijo la compañía.
Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor par evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o «ick»), se almacena en el cliente para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.
«Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin haber registrado», dijo Facebook.
Pero permitir el contenido de JavaScript de sitios web de terceros también abre caminos para que los atacantes puedan inyectar código malicioso, y peor aún, conducir a la fijación de la sesión.
Para mitigar el ataque, Facebook Discover utiliza una etiqueta de autenticación que se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada «datr»), que se almacena en el cliente.
La etiqueta, que está incrustada en cada respuesta de proxy, se compara con el ‘ickt’ en el lado del cliente para verificar si existen signos de manipulación. Si hay una falta de coincidencia, las cookies se eliminan. También hace uso de una «solución de dos cuadros» que incorpora el sitio de terceros dentro de un iframe que está asegurado por un marco externo, que hace uso de la etiqueta antes mencionada para garantizar la integridad del contenido.
Pero para los sitios web que deshabilitan la carga de la página en un marco para contrarrestar los ataques de clickjacking, Discover funciona eliminando el encabezado de la respuesta HTTP, pero no antes de validar el marco interno.
Además, para evitar la suplantación del dominio Discover por los sitios de phishing, el servicio bloquea los intentos de navegación a dichos enlaces mediante el sandboxing del iframe, evitando de este modo que se ejecute código no confiable.
«Esta arquitectura ha sido sometida a importantes pruebas de seguridad internas y externas. Creemos que hemos desarrollado un diseño que es lo suficientemente robusto como para resistir los tipos de ataques a aplicaciones web que vemos en la naturaleza y ofrecer de forma segura la conectividad que es sostenible para los operadores móviles», concluyó el equipo de ingeniería de Facebook.
