Publicado por Peter Birk Pakkenberg, ingeniero de software
X-Requested-With (XRW) es un no estándar encabezamiento.
Cuando un usuario instala y ejecuta una aplicación que usa WebView para incrustar contenido web, WebView agregará el encabezado X-Requested-With en cada solicitud enviada a los servidores, con un valor del nombre APK de la aplicación. Luego se deja que el servidor web receptor determine si y cómo usar esta información.
Queremos proteger la privacidad del usuario enviando este encabezado solo en las solicitudes si el desarrollador de la aplicación opta explícitamente por compartir con los servicios integrados en WebView. Estamos introduciendo métodos nuevos y especialmente diseñados de atestación de clientes que resuelven casos de uso de seguridad importantes de manera sensible a la privacidad.
Para permitir que los servicios en línea actuales que dependen de este encabezado dejen de usarlo, ejecutaremos un Prueba de origen de desaprobación, mientras elimina el encabezado para el tráfico general.
¿Por qué estamos haciendo este cambio?
En los primeros casos de uso, el encabezado X-Requested-With se utilizó para detectar el fraude de clics de aplicaciones maliciosas. Fue También usado para que un servidor sepa que está interactuando con solicitudes AJAX y no necesita responder con HTML. El encabezado fue adoptado rápidamente por marcos comunes (jQuery, Dojo, Django) como defensa contra Ataques CSRF. Sin embargo, varias vulnerabilidades (como extensiones de navegador que se hacen pasar por sitios web) apareció en torno a su uso.
Android WebView adoptó X-Requested-Header con el nombre de la aplicación como valor, como una forma de permitir que los servicios en línea detecten aplicaciones engañosas que usaban vistas web ocultas para generar tráfico falso. Si bien este problema aún existe hoy en día, el encabezado tal como está implementado actualmente no resuelve el problema por completo, ya que las aplicaciones pueden fácilmente cambiar el valor que se envía en algunas solicitudes en versiones posteriores de Android.
El encabezado, como se implementa actualmente de forma predeterminada en Android WebView, no sigue el principio de consentimiento significativo de todas las partes que intercambian la información y la Definición de consentimiento de múltiples partes del modelo de seguridad de la plataforma Android.
El nombre del APK también contiene información específica sobre el contexto en el que el usuario consume el contenido web y puede filtrar la identidad de la aplicación al servicio en línea.
¿Cómo afecta esta propuesta a la cabecera?
Es importante tener en cuenta que los casos de uso que no son de WebView no cambiarán debido a esta propuesta, ya que los clientes y servidores aún pueden configurar el encabezado en entornos JavaScript normales.
Incluso hoy en día, WebView no sobrescribirá el encabezado si el encabezado ya se ha configurado en una solicitud AJAX mediante un marco de JavaScript.
Esta eliminación solo se enfoca en el caso de uso de WebView, que agrega el encabezado a cada solicitud HTTP realizada por el navegador (es decir, no el XMLHttpSolicitud caso de uso).
¿Cuál es el impacto de eliminar esta característica?
Hoy en día, los propietarios de contenido pueden decidir confiar en X-Solicitado-Con para atribuir el tráfico y controlar el acceso sin emplear su propia autenticación. Otros servicios lo usan para informar sobre patrones agregados sobre su base de usuarios.
Todos estos casos de uso se verán afectados por la eliminación del encabezado en las solicitudes y, en la mayoría de los casos en los que el encabezado no se modifica mediante aplicaciones deshonestas, proporciona información útil para los servicios en línea.
Dado esto, planeamos limitar la interrupción durante la desactivación y la transición a señales de reemplazo especialmente diseñadas ofreciendo una prueba de origen de desactivación para mantener el comportamiento existente.
Solicitamos comentarios sobre los casos de uso existentes que actualmente dependen y pueden verse afectados por estos cambios.
Próximos pasos y el futuro de XRW
A medida que implementemos la eliminación gradualmente, los orígenes que participen en la prueba quedarán exentos (es decir, WebView continuará enviando el encabezado a estos orígenes mientras dure la prueba). Se espera que la prueba de desaprobación permanezca activa durante al menos un año para que los socios tengan tiempo de adaptarse al cambio.
Además, durante la prueba de origen de obsolescencia, desarrollaremos nuevas API que preservan la privacidad para que coincidan con los casos de uso en los que se usa el encabezado XRW hoy en día, como las API de atestación de clientes.
Aparte de la prueba de desaprobación, proporcionaremos una API opcional para desarrolladores de aplicaciones. Esta API permitirá que las aplicaciones individuales envíen selectivamente el encabezado a los orígenes elegidos, lo que se puede usar para mantener la funcionalidad de los sitios heredados que no se están migrando, y la API permanecerá después de que finalice la prueba de obsolescencia.
Recursos útiles
Áreas clave en las que buscamos comentarios
- Casos de uso clave para el encabezado XRW en la actualidad (p. ej., autenticación de pago, fraude de apropiación de cuenta)
- Qué tan importante es el encabezado XRW para cada uno de estos casos de uso
- Capacidades deseadas que cualquier nueva alternativa de preservación de la privacidad tendría idealmente
