Google ได้เสนอให้ยกเลิกการรองรับ XSLT (Extensible Stylesheet Language Transformations) จากเว็บเบราว์เซอร์ ซึ่งจุดประกายการถ่ายเทเกี่ยวกับอิทธิพลของบริษัทต่อมาตรฐานเว็บอีกครั้ง ข้อเสนอนี้จะส่งผลกระทบต่อการแปลงและแสดงผลเอกสาร XML ในเบราว์เซอร์ และได้รับปฏิกิริยาที่หลากหลายจากชุมชนนักพัฒนา
ข้อกังวลด้านความปลอดภัยเป็นแรงผลักดันของข้อเสนอ
Google อ้างถึงช่องโหว่ด้านความปลอดภัยเป็นเหตุผลหลักในการต้องการยกเลิกการรองรับ XSLT เทคโนโลยีนี้เป็นพื้นผิวการโจมตีที่เป็นที่รู้จักมาหลายปี โดยนักวิจัยเพิ่งค้นพบช่องโหว่หลายจุดในเบราว์เซอร์หลักทั้งหมด ช่องโหว่ด้านความปลอดภัยบางส่วนเหล่านี้ถูกซ่อนไว้มานานกว่า 20 ปี ทำให้เกิดความเสี่ยงที่อาจเกิดขึ้นกับผู้ใช้ ไลบรารี XSLT ที่ล้าสมัยซึ่งใช้โดยเบราว์เซอร์ยังไม่ได้รับการอัปเกรดเป็นเวอร์ชันใหม่ที่ปลอดภัยกว่า ซึ่งส่งผลให้เกิดความท้าทายด้านความปลอดภัยอย่างต่อเนื่อง
ปัญหาความปลอดภัยของ XSLT:
- พบช่องโหว่หลายจุดในเบราว์เซอร์หลักทุกตัว
- ข้อบกพร่องด้านความปลอดภัยบางอย่างไม่ถูกค้นพบมานานกว่า 20 ปี
- การใช้งาน XSLT ในเบราว์เซอร์ปัจจุบันใช้ไลบรารีที่ล้าสมัย
- มีทางเลือกใหม่อย่างการใช้งานที่พัฒนาด้วย Rust แต่ถูกเพิกเฉย
ชุมชนแบ่งแยกเรื่องคุณค่าของ XSLT
ชุมชนนักพัฒนายังคงแบ่งแยกเกี่ยวกับความสำคัญของ XSLT ผู้วิพากษ์วิจารณ์โต้แย้งว่าเทคโนโลยีนี้ล้าสมัยและซับซ้อนเกินไปสำหรับการพัฒนาเว็บสมัยใหม่ พวกเขาชี้ให้เห็นว่างานง่าย ๆ ใน XSLT ต้องใช้โค้ดที่ยาวและอ่านยาก ทำให้ยากต่อการดีบักและบำรุงรักษา นักพัฒนาหลายคนได้เปลี่ยนไปใช้โซลูชันที่ใช้ JSON และ JavaScript frameworks สำหรับงานการแปลงข้อมูลแล้ว
อย่างไรก็ตาม ผู้สนับสนุนเน้นย้ำถึงความเกี่ยวข้องอย่างต่อเนื่องของ XSLT สำหรับกรณีการใช้งานเฉพาะ เทคโนโลยีนี้ยังคงมีความสำคัญสำหรับ RSS feeds การประมวลผลเอกสาร และแอปพลิเคชันองค์กรที่พึ่งพามาตรฐานที่ใช้ XML บางคนโต้แย้งว่าการยกเลิก XSLT จะขจัดความสามารถที่สำคัญสำหรับการสกัดข้อมูลและการประมวลผลเว็บเชิงความหมาย
เทคโนโลยีที่ได้รับผลกระทบจากการยกเลิก XSLT:
- การจัดรูปแบบและแสดงผล RSS feed
- การแปลงเอกสาร XML
- ระบบประมวลผลเอกสารในองค์กร
- เว็บแอปพลิเคชันเก่าที่ใช้การประมวลผล XML ฝั่งไคลเอนต์
- เครื่องมือสกัดข้อมูล semantic web
ข้อกังวลที่กว้างขึ้นเกี่ยวกับการควบคุมมาตรฐานเว็บ
ข้อเสนอการยกเลิก XSLT ได้จุดประกายความกังวลที่กว้างขึ้นเกี่ยวกับอิทธิพลของ Google ต่อมาตรฐานเว็บ ผู้วิพากษ์วิจารณ์กังวลว่าการครอบงำของ Google ในส่วนแบ่งตลาดเบราว์เซอร์ทำให้บริษัทสามารถตัดสินใจเพียงฝ่ายเดียวว่าเทคโนโลยีใดจะอยู่รอดบนเว็บ รูปแบบนี้ขยายไปไกลกว่า XSLT ไปยังเทคโนโลยีอื่น ๆ ที่ Google ได้เลิกใช้หรือละทิ้งไปตลอดหลายปีที่ผ่านมา
เหตุผลที่การใช้งานเต็มไปด้วย CVEs คือการละเลย เพราะผู้ที่ละเลยมันคือคนเดียวกันที่ต้องการลบมันออก
การใช้งาน XSLT ทางเลือก รวมถึงเวอร์ชันสมัยใหม่ที่เขียนด้วย Rust ซึ่งจะมีความเสี่ยงต่อปัญหาความปลอดภัยที่เกี่ยวข้องกับหน่วยความจำน้อยกว่า ได้รับการเสนอแต่ถูกเพิกเฉยส่วนใหญ่ในการอภิปราย สิ่งนี้ทำให้บางคนตั้งคำถามว่าข้อกังวลด้านความปลอดภัยเป็นแรงจูงใจที่แท้จริงเบื้องหลังข้อเสนอการยกเลิกหรือไม่
ผลกระทบต่อเนื้อหาเว็บที่มีอยู่
การยกเลิกการรองรับ XSLT จะส่งผลกระทบต่อเว็บไซต์และแอปพลิเคชันที่มีอยู่ซึ่งพึ่งพาการแปลง XML ฝั่งไคลเอนต์ RSS feeds ซึ่งผู้ใช้หลายคนยังคงเข้าถึงผ่านเว็บเบราว์เซอร์ อาจสูญเสียความสามารถในการจัดรูปแบบ แอปพลิเคชันองค์กรและระบบเก่าที่พึ่งพา XSLT สำหรับการประมวลผลเอกสารอาจต้องการการอัปเดตหรือวิธีแก้ปัญหาอย่างมีนัยสำคัญ
ข้อเสนอนี้สะท้อนให้เห็นการเปลี่ยนแปลงที่กว้างขึ้นในวิธีการมองเว็บ - จากแพลตฟอร์มที่เน้นเอกสารไปสู่สภาพแวดล้อมรันไทม์แอปพลิเคชัน การเปลี่ยนแปลงมุมมองนี้มีอิทธิพลต่อเทคโนโลยีใดที่ถือว่าจำเป็นและเทคโนโลยีใดที่ถูกมองว่าเป็นภาระที่ล้าสมัย
การถ่ายเทเรื่องการยกเลิก XSLT เน้นย้ำถึงความตึงเครียดอย่างต่อเนื่องระหว่างความปลอดภัย การทำงาน และลักษณะเปิดของมาตรฐานเว็บ แม้ว่าข้อกังวลด้านความปลอดภัยของ Google จะสมเหตุสมผล แต่การตอบสนองที่หลากหลายของชุมชนแสดงให้เห็นว่าการตัดสินใจนี้ส่งผลกระทบมากกว่าแค่การพิจารณาทางเทคนิค - มันสัมผัสกับคำถามพื้นฐานเกี่ยวกับใครที่ควบคุมอนาคตของเทคโนโลยีเว็บ
อ้างอิง: Google is killing the open web