Yalıtılmış Web Uygulamaları: Web Uygulaması Açığı Bir Zamanda ve Tamamen Kapatılacak mı?
Son yıllarda Web çok daha güçlü hale geldi: Son olarak, Progresif Web Uygulamaları (PWA) uygulama modeli ve Chromium Project Fugu girişimi, artan sayıda uygulamanın doğrudan Web için yazılabildiği ve Photoshop veya Visual Studio Code gibi tarayıcınızda çalıştırılan oluşturulmuş.
Duyuru
Christian Liebel (@christianliebel) Karlsruhe'deki Thinktecture'da bir yazılım geliştiricisidir. İş uygulamalarının dijitalleşme ve modernizasyon projeleriyle müşterilerine destek vermektedir. Güçlü yanı, Angular, Progressive Web Apps, Project Fugu ve Web Components gibi modern web teknolojilerine dayalı çok platformlu uygulamalardır. Topluluğa yaptığı katkılardan dolayı Microsoft MVP'si ve Google GDE olarak tanındı.
Ancak webin güvenlik mimarisi nedeniyle web app açığı, yani platforma özel uygulamalar ile web uygulamalarının olanakları arasındaki fark hiçbir zaman tam olarak kapanmayacaktır.
Soket erişiminin olmaması tartışmayı alevlendirdi
Doğrudan web üzerinde kullanıma sunulamayan arayüzlerden biri, geliştiricilere HTTPS, WebSockets ve WebRTC'nin ötesinde herhangi bir sunucu bağlantı noktasını hedefleme yeteneği vermesi gereken Direct Sockets API'dir.
Bu, Web'in Aynı Köken Politikasını (SOP) ve dolayısıyla Web'de temel bir güvenlik engelini aşacağından, W3C'nin Teknik Mimari Grubu (TAG) açık endişelerini dile getirdi. W3C içindeki bu seçilmiş organ, yeni arayüzlerin World Wide Web'e duyarlı bir şekilde uyum sağlamasını sağlamayı amaçlamaktadır.
Web daha güçlü hale gelmeli
Ancak aynı zamanda yazılım geliştiricileri de bu becerilerden faydalanmak ister. Tamamen temel bazı arayüzler Web'de veya en azından tüm tarayıcılarda mevcut değildir.
Eylül 2023'te, bu yıl Sevilla'da düzenlenen W3C TPAC yıllık konferansında TAG, bu tür arayüzleri web'e getirebilecek bir görev gücü kurulduğunu duyurdu.
Amaç, kullanıcının soket erişimi gibi ek işlevlerin kilidini açmak için bir uygulamanın kurulumunu seçebileceği olası bir “güçlü bağlamı” incelemektir.
Olası bir çıkış yolu olarak yalıtılmış web uygulamaları
Google geçmişte bu kadar güçlü bir bağlam için olası bir öneri sunmuştu: Yalıtılmış Web Uygulamaları (IWA). Bu uygulama modeli web uygulamalarını da içeriyor ancak bu kez uygulama mağazaları, kurulum paketleri veya kurumsal dağıtımlar gibi klasik dağıtım kanalları üzerinden imzalı paketler halinde dağıtılıyorlar. Paketi doğrudan kurarak yan yükleme yapmak da mümkün olacaktır.
Buna karşılık, bu ek güven dayanağı, web uygulamalarının daha geniş bir arayüz yelpazesine erişmesini sağlar. Bunlar yine de bir tarayıcı tarafından yürütülür.
Kod imzalama web ile buluşuyor
İmza, uygulama sunucusundaki ortadaki adam saldırılarını veya kaynak kodu manipülasyonunu çok daha zorlaştırır. Bu endişeler nedeniyle Messenger Signal yalnızca Electron uygulaması olarak yayınlanıyor, ilerici bir web uygulaması olarak yayınlanmıyor.
Sonraki tüm sürümler aynı anahtarla imzalanmalıdır. Sürüm düşürme saldırılarından kaçınmak için yükseltmeler yalnızca daha yüksek bir sürüm numarasına yapılabilir. Kaynak kodunun uygulama bağlamı dışında yüklenmesini engeller, dolayısıyla İzole Web Uygulaması adı verilir. Bu amaç için ayrı bir URI şeması tanıtılacaktır: isolated-app://signed-web-bundle-id/path/foo.js?query#fragment
THE signed-web-bundle-id Base32 ile kodlanmış genel anahtara karşılık gelir.
IWA modelinin avantajları
IWA'larda uygulamalar kullanıcının aşina olduğu klasik dağıtım kanalları aracılığıyla iletilir. Uygulama geliştiricileri mevcut web bilgilerini yanlarında taşıyabilir, ancak ek Güven Bağlantısı sayesinde daha da güçlü arayüzlere erişebilirler. Bunlar W3C tarafından açıkça standartlaştırılmaya devam edecek.
Uygulamalar hâlâ web teknolojilerini temel alıyor ve örneğin bir PWA ile kod paylaşabiliyor. Ve tüm bunlar, Electron, Tauri, Cordova veya Capacitor gibi klasik sarma yaklaşımlarının ek yükü olmadan.
Akıllı kart demosu uygulama modelini gösterir
Chrome ekibinin Web Akıllı Kart API demosu, paketlenmiş web uygulamasına kişileri tanımlamak için akıllı kartlara erişim sağlayarak IWA uygulama modelini göstermeyi amaçlıyor. Ancak bunun için bir ChromeOS cihazının ve birden fazla özellik işaretinin etkinleştirilmesi gerekir. Web Akıllı Kart API desteğinin 2024 yılında Windows, macOS ve Linux için Chromium'a eklenmesi bekleniyor.
Çözüm
Özetle, yalıtılmış web uygulamaları aslında web uygulamaları arasındaki boşluğu önemli ölçüde daraltabilir ve platformlar arası alanı sarsabilir. Ancak tüm çabalar henüz başlangıç aşamasındadır. Eylül ayında açıklanan görev gücü henüz oluşturulmadı. Ve şu anda Mozilla veya Apple'dan herhangi bir taahhüt yok.
(kendim)
Haberin Sonu