Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчики из разных компаний объединили усилия, чтобы создать новый стандарт передачи имени хоста.
Команда программистов Apple, Mozilla, Cloudflare и Fastly разработала новый механизм передачи идентификатора хоста через HTTPS. Это произошло в ходе хакатона, состоявшегося на 102-м Инженерном совете Интернета (IETF) 14–15 июля в Монреале. Специалисты создали Encrypted Server Name Indication (ESNI) — зашифрованный вариант TSL-расширения, содержащего имя веб-ресурса.
Для установки защищенного соединения клиент должен обменяться с сервером сообщениями определенного формата — приветствиями. Если на одном IP-адресе располагается несколько HTTPS-сайтов, то такой пакет содержит имя хоста в незашифрованном виде. Это дает возможность сторонним наблюдателям получать информацию о соединении, а провайдерам — фильтровать трафик.
Проблема существует около десяти лет. Для обхода этой уязвимости некоторые CDN-сети использовали технологию Domain Fronting. Этот метод использует ложное имя хоста для идентификации пакета, а название реального домена размещается уже в зашифрованном заголовке TLS-сеанса. Один из недостатков этого способа — возможность маскировки нелегального трафика внутри таких блоков данных.
В рамках очередной сессии хакатона сборная команда инженеров четырех компаний предложила решение проблемы и даже представила два тестовых сайта, использующих ESNI. Работы над новой технологией велись и до этого, однако на саммите IETF специалисты впервые сумели довести проект до стадии действующего прототипа. Теперь идентификатор хоста передается в зашифрованном виде, а для его декодирования необходимо знать пару закрытых ключей со стороны клиента и сервера.
Бета-версия ESNI уже поддерживается библиотеками браузера Firefox, а также движком Chromium, на котором работают Opera, Яндекс.Браузер и другие интернет-обозреватели.
Хакатоны предоставляют возможность совместной работы специалистов из разных компаний и областей программирования. Обычно в рамках интенсивной сессии группа фокусируется на решении одной проблемы.
Надежность технологии ESNI можно увеличить, скрыв обращения к DNS-серверу в процессе обмена ключами. Один из разработчиков нового стандарта — компания Cloudflare — в апреле представила общедоступный сервис для шифрования подобных запросов. Система позволяет использовать защищенные каналы DNS-over-TLS и DNS-over-HTTPS для предотвращения атак типа “человек посередине”.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |