Pourquoi les espaces de nom XML sont-ils cassés ?

mars 14, 2019 18:00:00

Pourquoi à l’ère de l’ « https everywhere », on inclut (même dans les pages qui se vantent d’être sécurisées) des espaces de noms en http ?

mars 14, 2019 18:00:10

En continuant mes développements, j’ai retrouvé ces en-têtes dans des flux RSS (donc en pur xml), et, toujours la même chose, pas de « s ».

mars 14, 2019 18:00:20

J’ai constaté, en suivant ces liens, que je ne tombais, en plus, pas sur des fichiers XSD, des fichiers de définitions xml.

mars 14, 2019 18:00:30

Par exemple, en suivant Purl on tombe sur un beau 404, alors que cet espace de nom est utilisé.

mars 14, 2019 18:00:40

En fait, actuellement, les espaces de noms en xml et html sont utilisés comme des identifiants de définitions que les lecteurs (navigateurs…) de la ressource ont déjà inclus.

mars 14, 2019 18:00:50

Ça me dérange à plusieurs niveaux. Le principe des espaces de noms en xml était de fournir la définition des balises du document directement depuis celui-ci, ce qui permettait une grande flexibilité.

mars 14, 2019 18:01:00

Ce principe est mort. Maintenant, les espaces de noms sont juste des indicateurs de définitions que les lecteurs (navigateurs…) ont inclus dans leurs bases. Comme expliqué ici (en anglais) Stackoverflow

mars 14, 2019 18:01:10

Comme les définitions ne sont même plus accessibles, un nouveau lecteur (navigateur…) ne peut plus apprendre ces définitions facilement et il est obligé de se reposer sur la doc (parfois mal conçue, cf : Opengraph) des fournisseurs de définitions.

mars 14, 2019 18:01:20

Alors qu’avant, une simple mise à jour du XSD permettait au lecteur d’obtenir les nouvelles définitions, maintenant c’est beaucoup moins automatique.

mars 14, 2019 18:01:30

De plus, comme le comportement attendu (en xml) des espaces de noms est de pouvoir être atteints pour donner les définitions, les lecteurs qui respectent la norme xml se trouvent incapables de lire correctement ces fichiers (html, ou RSS, par exemple…)

mars 14, 2019 18:01:40

Bon, il n’y en a plus beaucoup de lecteurs qui respectent la norme complètement, c’est vrai.

mars 14, 2019 18:01:50

Enfin, dans le cas où la ressource est quand même présente, elle est en http et rarement accessible directement. C’est problématique.

mars 14, 2019 18:02:00

Http ne fournit aucune protection contre l’interception éventuelle du XSD et sa modification, ce qui permet à un hacker de modifier le comportement attendu d’un lecteur (navigateur).

mars 14, 2019 18:02:10

Le XSD est parfois précédé d’une jolie page sans moyen automatique d’accéder au fichier de définitions correct. Donc pas d’automatisation possible, ce qui supprime l’avantage des espaces de noms en URI.

mars 14, 2019 18:02:20

Par exemple, la définition xml pour les vidéos chez Google est Google Video sitemap.

mars 14, 2019 18:02:30

Selon la doc, l’espace de nom est en http. Pas de « s ». Doc Google.

mars 14, 2019 18:02:40

Comment, si on respecte la norme xml, on peut être sûr de tomber sur la bonne page en https ? Et ensuite, comment automatiquement accéder au fichier de définitions lui-même qui est Google Video sitemap XSD ?

mars 14, 2019 18:02:50

Et ce n’est pas le seul. En conclusion, le système des espaces de noms xml est complètement cassé à l’heure actuelle ce qui amène à une perte considérable de flexibilité et d’évolution d’usage de la norme.

mars 14, 2019 18:03:00

Et, en plus, quand on respecte la norme, on a un système moins sécurisé (à cause de l’absence de « s »).

mars 14, 2019 18:03:10

On commence à voir que les gestionnaires de paquets feraient mieux de passer en https NextImpact

mars 14, 2019 18:03:20

Il serait bien de se poser la question pour les espaces de noms en URI pour xml et html.

mars 14, 2019 18:03:30

On peut aussi considérer les espaces de noms comme de simples identifiants (ce que je ne souhaite pas) mais dans ce cas, il faudrait pouvoir les identifier autrement que par des URI, ce qui est trompeur.

mars 14, 2019 18:03:40

Vous êtes arrivé au bout du thread, merci. Si vous voulez sécuriser le réseau entre vos appareils, jetez un œil à MyCrypNet.