Блог

Web server quic

А в чём тут простите счастье Я понимаю когда речь идёт о конфиденциальных дан Блин, ну зачем срываешь покровы раньше времени Я-то это прекрасно понимаю, т к Ага, при этом ненужное примерно в 90 случаев Ага, ну конечно, с массовым пере Ладно если только прочитает, а вот если подсунет вам вместо котиков майнер К вашему сведению покупка кружевных трусиков на алиэкспрессе требует перед Вот для этого и нужна нормально продуманная архитектура в которой мухи от котлет Которое отлично утекает в сеть и с этим вашим хвалёным SSL Регулярные скандалы Ну вот смотри, мобильный пров например врезал знакомому юзеру свой контент И ма Ещё раз - для этого существуют другие методы решения Юридические Или смена про Это не работает Каждого гамнюка не построишь Так же как не поймаешь и не накаж Вот именно из-за такого подхода это и не работает как врочем и мне то че - это В общем да Другое дело что сейчас даже если ты знаешь что ты не лох, то помочь Очень интенесно, как на практике мог бы работать например отлов каждого кулхацке Что не работает, смена провайдера Тады ой, совсем дело плохо И да, давайте уж Иди скажи это другим знакомым, из села, у которых 2 едва ловящихся oпcoca и фига Опеннет - форум контрастов Одновременно жалуются на модное молодёжное и отрицаю Я вообще на гмыле POP3 использую, никаких проблем Поздно, чувак Сегодня хорошим тоном стало иметь на визитке личное гугломыло Вот уже несколько лет актуальнее иметь красивое имя на Пейсбуке, Вко И о почте тоже Свой домен в большинстве случаев иметь нынче незачем, на твой са Gmail таки как раз застрял на гугле либах от года Оттуда такой дикий разме Да ну бросьте вы Windows поддерживает обратную совместимость без всяких тормозо Не тупи, это про загрузку самого видео, вся остальная мишура потребляет считаные Лучше уж поверх UDP.

Ну уж не академический, всё-таки гугл его гонял в практическом плане Вот только Потому что суть этой инновации в превращении Интернета в Гуглонет Г Мы стоим на пороге большого шухера И самое мерзкое в этом то, что некому воспре С инженерной точки зрения гугл по своему прекрасен - они эффективны и работают н Но делают они только то и обычно только так, как нужно только им Что в реаль Было бы странно если бы они делали как это надо кому-то еще А может и не означа Если его протокол будет лучше работать - гугл таки им воспользуется, пожалуй Пр Полно rfc которые не взлетели или устарели и не используются Посмотрим, если у Просто сделают ipv8, нормально обратно совместимый с v4, и не переусложнённый на Хорошие сети - повсеместны, неубиваемы и конфигурируются сами Сюрприз Так долж Сложно понять, к чему тут протокол IP Домашний роутер и человек без техническог Да он везде такой, хоть в в6, хоть в в4 Просто в в6 академики опять постаралис Я бы не сказал, что оно хентайное, потому что самый мерзкий хентай с понями и ра И это были очень правильные слова Нат всего лишь куча костылей Протоколы семей И в результате приходится или сдаваться в рабство облачному сервису хрен знает к Инфраструктура гугля по состоянию на сейчас просто не заметит попадание метеорит А ты убеди майкрософт внедрить его потом Желательно не через 20 лет В случае U В типичном сценарии шифрование потока данных расширение ключа выполняется 1 ра Брутфорс ключа малой длины на миллионе-другом нод в итоге будет не менее свистящ Современное крипто держится на большом количестве вариантов перебора Даже если CPU usage это действительно самый большой concern в данный момент Практически, От "0-RTT".

И чем это плохо Когда все равны, хреновый трафик забьет все остальное Гуглу по Ну вот вижу, чего реально не хватает TCP из всего, что в квике предлагается Ко Иначе опять академический оверблоатед оверинжениред шит, который юзать себе дороже. Если, допустим, TTL у подписи 10 минут, то каждых 10 минут на самом деле чаще вам нужен будет приватный ключ, чтобы сделать новую подпись. Если TTL у подписи один месяц, то конечно можно хранить ключ и оффлайн. Но за месяц всякое может произойти… Вот что говорит ICS: However, we do not suggest longer than a week nor shorter than an hour for most TTL values which are not expected to change rapidly Каждую неделю возится с оффлайновым хранилищем… Ну не знаю… DNS иерархичен но децентрализован.

Если у меня домен в зоне. И если я смогу сменить CА, если меня не будет устраивать текущий, то провайдера зоны. Не надо передёргивать. Вы и сейчас никуда не денетесь.

Если регистратор сменил NS, то все пойдет коту под хвост. Но уже от CA мы избавились. Пока что придется поддерживать оба механизма. Прямо сейчас есть две уязвимых точки: Короче, им есть чем дорожить. Теперь мы исключаем CA, зато вместо него вводим регистратора. Чем регистратор лучше СА в данном случае — непонятно. Мы в любом случае должны доверять или одному или другому. Но теперь мы должны доверять еще и оператору домена например.

Экспериментальный протокол QUIC от Google в S3R

И мы должны доверять корневой зоне. Короче, мы заменяем СА на регистратора и добавляем еще несколько организаций в цепочку. В чем же профит? В возможности использовать самоподписанный сертификат на сервере? Конечно да, можно купить свою зону и укоротить chain of trust до одного элемента. Сколько компаний в мире может позволить себе такое? Читаем внимательно, ну… или гуглим. Но регистратор не сможет скомпрометировать соединение клиента с сервером.

Что-то вы недопонимаете. Регистратор меняет ваши NS на свои и делает что хочет. TLS-сертификат тут не поможет — выпустит новый. DNS то под контролем. Всё точно так же, только не надо обращаться к стороннему CA за сертификатом. Ничего не меняется, за исключением выпадания CA из процесса.

Да. О том что контролируя DNS можно получить сертификат я не подумал. Кратно и ясно передана мысль. Тем самым остается хостер высшая точка доверия и контроляследом root DNS и…. Если злоумышленник сможет подменять DNS-ответы, то он сможет делегировать домен себе подменить NS-записиа затем поставить свои A-записи и выписать сертификат у любого CA пройдёт domain validation.

Про корневые сервера — хороший поинт. DANE с запасным сертификатом x — безопасность в два раза ниже достаточно подделать что-то одно из двух. Мне кажется, что уже прошло время революций в интернете. Ну и к процессу создания очень много людей приложило руку, вроде Стефана Борцмайера, никакого отношения к Google не имеющих.

Процитирую цели документа: No special effort has been taken to enable or prevent application to other use cases. This document focuses on communication between DNS clients such as operating system stub resolvers and recursive resolvers. Так как голое socket API в Quantum дополнениям недоступно, то это, фактически, был единственный способ это реализовать старый плагин от CZ. NIC Labs больше не работает. Efirion 10 июля в DNSCrypt После изучения этого протокола у меня возникло стойкое ощущение, что его лепили из того, что было на тот момент под рукой.

Банкир порадовал! Пихать последовательность октетов, может, и можно, но совершенно неподдерживаемо. Начиная с Windows Server R2. DaemonGloom 10 июля в И свои зоны подписывать, и чужие проверять. НЛО прилетело и опубликовало эту надпись. Я присоединяюсь, читается очень интересно, интересные цитаты и примеры. Archon 10 июля в Если абстрагироваться от технических аспектов, можно прийти к интересному выводу, что QUIC — это отличный способ для Гугла полностью исключить возможность какой-либо выборочной приоритизации трафика к своим сервисам, поскольку для провайдера это просто поток шифрованного UDP-мусора, и никакого хостнейма в текстовом виде там не передаётся.

Более того, даже если кто-то всё-таки научится определять категорию QUIC-трафика или выцарапывать хостнейм, Гугл может просто обновить протокол, обновить все Хромы и андроидные приложения в течение пары недель, и снова обломать кайф операторам связи. И это ещё сейчас обыгрывается упрощённая ситуация, когда QUIC-трафик может ходить только по порту не пытайтесь поднимать тестовые серверы на других портах, в Хроме это ограничение прибито гвоздями. Когда они уберут это ограничение, будет гораздо веселее.

В принципе ничего, кроме того, что при этом могут отвалиться другие более важные сервисы, типа Gmail или Google Play. Только вряд ли это будет именно шейпинг по IP сервиса, так как владелец сервиса может перенаправлять клиента куда угодно, и связать два подключения друг с другом провайдер не сможет.

Скорее уж будут ограничивать весь трафик пользователя целиком. А это уже серьёзный костыль, который испортит жизнь массе людей. А что отвалятся? Письмам много не нужно, а что софт по часу обновляется, так это сам гугл обвинять будут, ведь у пользователя 5G и 4 палки. Archon 11 июля в Да, тут была моя ошибка, основанная на вере в какие-то ранние статьи про QUIC. Послушал tcpdump, действительно, есть и хостнейм в открытом виде один раз на соединениеи даже полный юзерагент.

И даже в v1. Насколько я понимаю, одна из основных целей QUIC на этот год — сделать поддержку одновременного использования нескольких каналов multipathчтобы на телефонах можно было одновременно обращаться по одному соединению и через LTE, и через Wi-Fi. Это же очень медленно. Там же сейчас вроде UDP запрос, ответ. Можно было сразу эти пакеты шифровать, подписывать.

Протокол QUIC: переход Web от TCP к UDP / Блог компании Инфопульс Украина / Хабр

А так нужно будет соединение устанавливать, обмениваться ключами. В десять раз время запроса увеличится. Чтобы начать шифровать пакеты, надо сначала установить общий секрет. Да и аутентифицировать противоположную сторону было бы неплохо.

Поэтому и надо сначала поперекидываться хендшейками. Собственно, TLS стремится свести размер хендшейка к минимуму. Зачем устанавливать общие секреты и аутентифицировать противоположную сторону? Задача DNS — получить из домена IP и тут мы ещё хотим что бы наш айпи не подменили и что бы об этом никто не узнал. Мы имеем сертификат DNS сервера с его открытым ключом. Отправляем серверу запрос шифруя его открытым ключом.

В запросе домен и пароль для ответа. DNS отвечает шифруя пакет полученным ключом и подписывает его своим закрытым ключом. Что ещё нужно? А, я думал вы про QUIC. Если не считать того что он не шифрует данные, только подписывает. Основные протоколы интернета вообще слабо приспособлены для борьбы с намеренными блокировками. Не смог найти информации. Ответил. Chupaka 14 января в Дата основания год Сайт qrator. Блог на Хабре.

What is QUIC?

Архитектура Рунета 13,8k Самое читаемое. Как заменить лампочку на рабочем месте так, чтобы тебя не уволили? Что курил конструктор: Аккаунт Войти Регистрация. Услуги Реклама Тарифы Контент Семинары. Настройка языка. О сайте. Приезжайте ко мне в гости. Город на к жителей. Вообще в моем профиле все прописано. Гм, это примерно как удивляться почему в Абхазий связь плохо работает.

А что вас удивляет? Или у нас в городе интернетом никто не пользуется?

QUIC, TLS , DNS-over-HTTPS, далее везде / Блог компании Qrator Labs / Хабр

Я работаю на провайдере, и могу вас убедить — пользуются и достаточно активно. Но вот с мобильным интернетом есть определенные сложности. Mapaxa 15 ноября в Даже в крупных городах из-за архитектуры или рельефа — хорошо, если edge ловить.

Так что не надо быть столь категоричным. Тут опять же вопрос к оператору и клиентскому устройству, что я делаю не так, если у меня в городе часто скорость больше мегабит? Живете в Москве. И всё это никак не влияет на безопасность пользователя. Зато изрядно помогает гуглу, чью рекламу админы отфильтровывают. На дворе ый год, а в новом протоколе в принципе не предусмотрен возможность проксирования, надо же, какое досадное недоразумение.

А как вы организуете фильтрацию трафика в компаниях и госучреждениях? И почему пользователи вдруг должны потерять возможность прогонять http через прокси и ограничиваться только socks только потому, что гуглу хочется состричь больше бабла? В куче компании используются сюрприз-сюрприз! И что?

перенос сайта с конструктора на хостинг

Squid как минимум в ом умел проксировать https. И фильтровать соответственно. Чтобы ни один человек не обошелся без рекламы гугла, чтобы ни один хомячок не был обделен доступом к уютному фейсбучку в рабочее время. Так вы не ответили, зачем squid для фильтрации, когда есть Adblock? У вас дальше частного применения мысль вообще идет?

Ну, там, регламент ИБ, распоряжения правительства, етс? Что не на всех предприятиях не у всех сотрудников должен быть доступ к чему-то большему, чем whitelist? Что есть системы контентной фильтрации в детских учреждениях? Что бывает и так, что канал 1 мбит со спутника и лаг 0.

Как включить QUIC вместе с http/2

Чем легче возможность блокировки, тем чаще она будет применятся. На моц взгляд — блокировок не должно быть нигде. Собственнл эволюция протоколов к тому и ведёт, при попытке какой-либо блокировки с большой долей вероятностью заденет ещё неизвестно сколько лишнего, и это прекрасно, цену атаки нужно повышать. Вашу позицию по допустимости блокировок я понял, продолжать смысла не вижу.

Спасибо за ликбез, конечно, только я лучше вас знаю, какие варианты используются на работе. Но если вам больше по душе термины с негативными коннотациями для восстановления душевного равновесия и повышения градуса пафоса — пользуйтесь на здоровье. А сами наркотики надо разрешить, потому что запрет наркотиков — зло и предмет злоупотребления. Да и даже если всем подряд? Ситуации бывают разные, компании разные, уровень секретности разный, ширина канала разная. Откуда в вас эта тяга свое видение считать истиной в последней инстанции — непонятно.

А еще правильно не запрещать наркотики, а учить детей наркобезопасности. А сами наркотики надо разрешить, не. Не "разрешить", а "не привлекать к ним внимание усиленными попытками запретить". Теперь про корпоративные ограничения: Так вы согласны или нет с тем, чтобы в городах продавали ассортимент наркотиков — спиды, марки, герыч, галлюциногены? Без рекламы и без возрастных ограничений? Моя точка зрения — фильтрация допустима, если того требуют обстоятельства.

С чем вы спорите, соглашаясь со мной — не очень понятно. Нет смысла иметь ограничение которое работает очень плохо. В случае со школами государство выполняет свою часть общественного договора по защите детей. И добавлю, если очень хочется фильтровать — есть расширения которые прекрасно с этим справятся, а их иконка будет говорить пользователю — что фильтрация. Проблемы в мобильных сетях — надуманы и могут возникать только в плохих сетях пинги больше и плохим jitter когда на горизонте маячит 5G с пигами 5 мс а почти везде есть 4G с пингами менее 50 И что у вас в 4G не бывает reorderingа пакетов А именно в этом случае имплементация Гугла сливает TCp.

Что в конечном итоге повысит суммарную безопаснось. Интересно вы придумали решить проблему закостенения, объединив два стандарта в. Теперь они будут друг друга тормозить и зависеть друг от друга, а, как известно, транспортный уровень обновляется очень медленно.

Зато TLS вполне себе исправно выпускает новые версии, постоянно улучшая безопасность, и ни от кого не зависит. Решаем проблему, делая еще хуже. Не место криптографии в транспортном уровне. Как минимум, стоит выносить эту часть протокола в отдельный стандарт или полностью переиспользовать TLS что, собственно, QUIC похоже и делаетчтобы он мог влить в себя поддержку QUIC и продолжать развиваться независимо от. Которую удалили весной года. Удалили текущую реализацию, которая не дала существенного прироста производительности, но не отказались от самой идеи: Что-то верится с трудом: Не только для инспекции, а для гарантии отгрузки рекламного контента.

Может быть скорость установления соединения и будет выше, но, кажется, производительность не будет увеличена: Старые измерениякогда еще был FEC. Свежие измерения после выключения FEC. Раньше как было: Stray 17 ноября в Интересно насколько безболезненным будет внедрение и не породит ли это новые уязвимости.

Да еще вопрос, как много сайтов возьмутся его внедрять? Спасибо автору за статью перевод. От себя хотел добавить несколько малоизвестных фактов о QUIC которые на мой взгляд могут быть интересны аудитории Хабра. Могу так же скромно упомянуть что имел возможность лично встретится с Джимом и задать ему несколько вопросов. В итоге из-за этого и других внутриполитических баталий Джим недавно ушел из гугла и теперь он в Амазоне. Протокол был изначально разработан внутри Chromium team и по сей день использование его ограничено только хромом с клиентской стороны и гугло-сервисами со стороны бэкенда.

Широкой поддержки за пределами гугла пока не .