Todos os Padrões e Minutas: Segurança para Aplicações Web

A linha fundamental da confiança na Web se encontra entre o usuário final e a aplicação Web: as pessoas que visitam um website dependem do HTTPS para terem a confiança de que estão acessando a página ou a aplicação que de fato tenha sido disponibilizada pelo proprietário do site. As funcionalidades da Segurança de Aplicações Web são projetadas para sustentar tal confiança, proporcionando proteção contra ataques de cross-site scripting e de injeção de conteúdo de espionagem indesejada no tráfego da Web. No entanto, caso a aplicação Web inclua recursos de terceiros ela poderá delegar de forma efetiva sua confiabilidade a todos os recursos incluídos, sendo que qualquer um destes poderia de forma maliciosa ou descuidada comprometer a segurança geral das aplicações e dados Web com ele compartilhados.

• O Grupo de Trabalho de Autenticação Web lançou e publicou a Primeira Minuta de Trabalho Público de sua WebAuthn API, trazendo desta forma uma forte autenticação criptográfica à plataforma Web (para diminuir  a dependência na autenticação baseada em senhas).
• O Grupo de Trabalho WebAppSec  continuou seu trabalho de aperfeiçoamento da segurança acessível a desenvolvedores e usuários de aplicações web e facilitação da transição do HTTPS. O Grupo de Trabalho publicou a Recomendação de Subresource Integrity, e as Candidatas às Recomendações CSP Nível 2, Upgrade Insecure Requests  e Mixed Content.

A Recomendação de Integridade de Subrecurso (SRI), que acabou de alcançar o status de Recomendação do W3C, oferece uma forma de incluir recursos sem uma delegação indeterminada, permitindo que navegadores – na qualidade de usuários agentes – verifiquem criptograficamente se a integridade dos subrecursos incluídos – tais como roteiros e estilos – ao serem entregues estão em conformidade  com o que era esperado pela aplicação de requerimento.

Internet das Coisas

Existem grandes oportunidades comerciais e sociais para a Internet das Coisas (IoT), mas elas vêm sendo dificultadas pela fragmentação, com um conjunto confuso de plataformas, padrões e tecnologias não interoperacionais. Sem a devida atenção, quaisquer novos padrões apenas agravariam à fragmentação.

A solução para superar a fragmentação da IoT e catalisar o crescimento exponencial em serviços será a viabilização da interoperabilidade de ponta a ponta nas diferentes plataformas. Isto requer padrões abertos de metadados que definam os modelos de dados e de interação expostos a aplicações, os padrões de protocolos e comunicações que podem ser usados, as políticas de segurança e privacidade, e descrições dos tipos de coisas envolvidas e as relações entre elas. Em resumo, viabilizar a Internet das Coisas e expandir a Web -da web de páginas para a web das coisas.

O Grupo de Interesses da Internet das Coisas está construindo esse caminho por meio de seu trabalho sobre casos de usos e requisitos, estudos de cenários de tecnologia e a ênfase na prática da implementação.

As coisas possuem URIs para seus nomes, que podem ser desreferenciados para acessar metadados que por sua vez descrevem alguma coisa. A base formal desses metadados é o quadro de descrição de recursos (RDF – Resource Description Framework) do W3C, mas a sintaxe pode variar de acordo com o contexto, por exemplo, JSON, XML e outros formatos.  Por analogia com o cross platform API para sockets da Internet, observamos a necessidade de haver uma cross platform API para as coisas. Isso tem como base o êxito da programação guiada por eventos ao tratar as coisas em termos de suas propriedades, ações e eventos.

• Trabalho em andamento:
• Buscamos ajuda no que se refere aos vocábulos definidores de padrões, APIs e ligação de protocolos, segurança, privacidade e resiliência, junto com facilitadores de mercados dinâmicos abertos de serviços, entre os quais os processos de descoberta, negociação automatizada de preços, termos e condições, provisionamento, pagamentos e suporte  em todo o ciclo de vida dos produtos do projeto à obsolescência.
• Próximos desafios:

• Como fomentar a convergência em um conjunto comum de modelos das coisas, por exemplo, casas inteligentes. Propostas neste sentido poderiam ajudar bastante a atingir esse objetivo.
• Um desafio correlacionado é como dar apoio a um processo rápido de modelos de padronização, com progressão clara para aumentar o grau de maturidade partindo de modelos experimentais, passando a modelos implantados comercialmente, a modelos implantados de forma massiva. Neste caso, pensamos em uma semântica leve, proporcionando uma maneira fácil com a qual das as pessoas possam buscar vocábulos (a fim de reencorajar o reuso), registrar seu apoio, estabelecer links a implementações, e assim por diante.
• Próximos projetos:

• O Grupo de Interesse está no processo de constituição de um Grupo de Trabalho.
• Buscamos formar alianças no setor e organizações de desenvolvimento de padrões, visando o estabelecimento de um entendimento compartilhado e a clarificação do papel complementar que o W3C busca desempenhar em colaboração com essas organizações. Alguns exemplos disso são a Open Connectivity Foundation, o Industrial Internet Consortium, a Industry 4.0, a OPC Foundation, a ETSI e oneM2M, IETF e IRTF, GSMA, Hypercat, o Open Group, além de inúmeras outras. Ao colaborar na construção de uma compreensão compartilhada dessas metas, é possível construir pontes nessas diferentes comunidades para facilitar o trabalho de coleta dos principais casos de uso em uma ampla gama de domínios, identificando e analisando requisitos, criando os padrões que faltavam e promovendo melhores práticas.

Blockchains

Muitos projetos e empresas estão buscando maneiras para usar o Bitcoin blockchain ou outros ledgers distribuídos de forma pública ou privada, a fim de registrar um registro de tempo invariável que possa ser verificado de forma independente por qualquer parte interessada .

Não está claro como esses blockchains deverão interagir uns com os outros no futuro para que seus benefícios possam vir a ser comprovados. Mas existe consenso de que alguns padrões são necessários para promover a competição enquanto as redundâncias são eliminadas. O W3C realizou dias 29 e 30 de junho de 2016 o evento Blockchain e a Web, um Workshop do W3C sobre Ledgers Distribuídos na Web.

Conclusões importantes do workshop:

• A maior parte dos participantes estava interessada em desenvolver APIs padrão e formatos de dados iniciais para permitir que tanto aplicações novas quanto aplicações legadas possam contar com abordagens consistentes de comunicação com os blockchains.
• Motivados pelas necessidades dos negócios, os primeiros objetivos nesta área incluíam protocolos fundamentais de gestão e pagamento, sendo que a maior parte destes pertence à camadas acima do blockchain que utilizam abordagens criptográficas.
• A autenticação de hardware também se mostrou uma área de interesse significativo.
• A realização de transações com uma chave dupla público/privado sob um blockchain é mais conveniente e segura do que os atuais esquemas de identidade nome de usuário/senha.
• Proveniência: licenciamento de IP, ativos e serviços.
• Impacto sobre aplicações blockchain não financeiras (sobre criadores de conteúdo, sobre ativos digitais, como coordenadores de um ambiente centrado no usuário para a Internet das Coisas).

Próximos passos:

• A organização de workshops de acompanhamento mais focados nos fornecedores de navegadores.
• A criação de diversos Grupos Comunitários do W3C.
• O Grupo Comunitário de Blockchain inicial continuará expandindo seu escopo e mantendo os diálogos em aberto.