Google đã đề xuất loại bỏ hỗ trợ XSLT (Extensible Stylesheet Language Transformations) khỏi các trình duyệt web, làm bùng phát lại các cuộc thảo luận về ảnh hưởng của công ty đối với các tiêu chuẩn web. Đề xuất này sẽ ảnh hưởng đến cách các tài liệu XML được chuyển đổi và hiển thị trong trình duyệt, đã thu hút những phản ứng trái chiều từ cộng đồng phát triển.
Mối lo ngại về bảo mật thúc đẩy đề xuất
Google nêu ra các lỗ hổng bảo mật là lý do chính để muốn loại bỏ hỗ trợ XSLT . Công nghệ này đã là một bề mặt tấn công được biết đến trong nhiều năm, với các nhà nghiên cứu gần đây đã phát hiện ra nhiều lỗ hổng trên tất cả các trình duyệt chính. Một số lỗ hổng bảo mật này đã ẩn giấu trong hơn 20 năm, tạo ra những rủi ro tiềm ẩn cho người dùng. Các thư viện XSLT lỗi thời được sử dụng bởi các trình duyệt chưa được nâng cấp lên các phiên bản mới hơn, an toàn hơn, góp phần vào những thách thức bảo mật đang diễn ra.
Các vấn đề bảo mật của XSLT:
- Phát hiện nhiều lỗ hổng bảo mật trên tất cả các trình duyệt chính
- Một số lỗ hổng bảo mật vẫn chưa được phát hiện trong hơn 20 năm
- Các triển khai trình duyệt hiện tại sử dụng thư viện XSLT lỗi thời
- Các giải pháp thay thế hiện đại như triển khai dựa trên Rust đã có sẵn nhưng bị bỏ qua
Cộng đồng chia rẽ về giá trị của XSLT
Cộng đồng phát triển vẫn chia rẽ về tầm quan trọng của XSLT . Những người chỉ trích cho rằng công nghệ này đã lỗi thời và quá phức tạp đối với phát triển web hiện đại. Họ chỉ ra rằng các tác vụ đơn giản trong XSLT đòi hỏi mã dài dòng, khó đọc, khiến việc gỡ lỗi và bảo trì trở nên khó khăn. Nhiều nhà phát triển đã chuyển sang các giải pháp dựa trên JSON và các framework JavaScript cho các tác vụ chuyển đổi dữ liệu.
Tuy nhiên, những người ủng hộ nhấn mạnh tính liên quan tiếp tục của XSLT đối với các trường hợp sử dụng cụ thể. Công nghệ này vẫn thiết yếu cho các nguồn cấp RSS , xử lý tài liệu và các ứng dụng doanh nghiệp dựa vào các tiêu chuẩn dựa trên XML . Một số người cho rằng việc loại bỏ XSLT sẽ xóa bỏ các khả năng quan trọng cho việc trích xuất dữ liệu và xử lý web ngữ nghĩa.
Các công nghệ bị ảnh hưởng bởi việc loại bỏ XSLT:
- Định dạng và hiển thị nguồn cấp dữ liệu RSS
- Chuyển đổi tài liệu XML
- Hệ thống xử lý tài liệu doanh nghiệp
- Các ứng dụng web cũ sử dụng xử lý XML phía máy khách
- Công cụ trích xuất dữ liệu web ngữ nghĩa
Mối lo ngại rộng hơn về kiểm soát tiêu chuẩn web
Đề xuất loại bỏ XSLT đã khơi dậy những lo ngại rộng hơn về ảnh hưởng của Google đối với các tiêu chuẩn web. Những người chỉ trích lo ngại rằng sự thống trị của Google trong thị phần trình duyệt cho phép công ty đơn phương quyết định công nghệ nào tồn tại trên web. Mô hình này mở rộng ra ngoài XSLT đến các công nghệ khác mà Google đã ngừng hỗ trợ hoặc từ bỏ qua các năm.
Lý do các triển khai đầy rẫy CVE là do sự bỏ bê. Bởi vì những người bỏ bê nó cũng chính là những người muốn loại bỏ nó.
Các triển khai XSLT thay thế, bao gồm các phiên bản hiện đại được viết bằng Rust sẽ ít dễ bị tổn thương hơn đối với các vấn đề bảo mật liên quan đến bộ nhớ, đã được đề xuất nhưng phần lớn bị bỏ qua trong cuộc thảo luận. Điều này đã khiến một số người đặt câu hỏi liệu mối lo ngại về bảo mật có phải là động cơ thực sự đằng sau đề xuất loại bỏ hay không.
Tác động đến nội dung web hiện có
Việc loại bỏ hỗ trợ XSLT sẽ ảnh hưởng đến các trang web và ứng dụng hiện có dựa vào chuyển đổi XML phía máy khách. Các nguồn cấp RSS , mà nhiều người dùng vẫn truy cập thông qua trình duyệt web, có thể mất khả năng định dạng. Các ứng dụng doanh nghiệp và hệ thống cũ phụ thuộc vào XSLT để xử lý tài liệu có thể cần cập nhật đáng kể hoặc các giải pháp thay thế.
Đề xuất này phản ánh một sự thay đổi rộng hơn trong cách nhìn về web - từ một nền tảng tập trung vào tài liệu thành một môi trường chạy ứng dụng. Sự thay đổi quan điểm này ảnh hưởng đến việc công nghệ nào được coi là thiết yếu và công nghệ nào được xem là gánh nặng lỗi thời.
Cuộc tranh luận về việc loại bỏ XSLT làm nổi bật căng thẳng đang diễn ra giữa bảo mật, chức năng và tính chất mở của các tiêu chuẩn web. Trong khi mối lo ngại về bảo mật của Google là có cơ sở, phản ứng trái chiều của cộng đồng cho thấy quyết định này ảnh hưởng đến nhiều hơn chỉ các cân nhắc kỹ thuật - nó chạm đến những câu hỏi cơ bản về ai kiểm soát tương lai của công nghệ web.
Tham khảo: Google is killing the open web