Инженеры Cloudflare и Apple создали новый интернет-протокол, призванный заполнить один из серьезнейших пробелов в интернет-безопасности, о существовании которого многие даже не догадываются. Протокол, получивший название Oblivious DNS-over-HTTPS или сокращенно ODoH, существенно усложнит интернет-провайдерам процесс отслеживания активности пользователей в Сети.
При каждом посещении пользователем сайта в интернете браузер с помощью DNS-резолвера конвертирует web-адрес в IP-адрес, по которому находит запрашиваемую страницу в интернете. Однако этот процесс не шифруется, а значит, при каждой загрузке сайта DNS-запрос отправляется в открытом виде, и DNS-резолвер (интернет-провайдер, если пользователь не выбрал другой DNS-резолвер) может видеть, какой ресурс посещается.
Новые протоколы наподобие DNS-over-HTTPS (DoH) шифруют DNS-запросы, затрудняя злоумышленникам процесс их перехвата и переадресации пользователей на вредоносные сайты вместо легитимных. Однако DNS-запросы все равно видны интернет-провайдерам, которые могут продавать историю браузера рекламодателям и другим заинтересованным лицам.
Представленный инженерами Cloudflare и Apple протокол ODoH базируется на предыдущих разработках специалистов Принстонского университета. Если говорить коротко, ODoH отвязывает DNS-запрос от пользователя, и DNS-резолверу не видно, какой сайт он посещает.
Как это работает? ODoH заворачивает DNS-запрос в слой шифрования и отправляет его через прокси-сервер, играющий роль промежуточного звена между пользователем и запрашиваемым им сайтом. Поскольку DNS-запрос зашифрован, его содержимое не видно прокси-серверу. В то же время прокси-сервер выступает своеобразным щитом, который не позволяет DNS-резолверу видеть, кто изначально отправил DNS-запрос. Другими словами, отправившего запрос пользователя знает только прокси-сервер, а DNS-резолверу известен только запрашиваемый сайт.
По словам разработчиков, на скорость загрузки страниц ODoH практически не влияет.
Несколько партнерских организаций уже используют прокси-серверы, позволяющие некоторым пользователям уже использовать новую технологию через существующий DNS-резолвер Cloudflare 1.1.1.1. Но большинству придется подождать, пока ODoH не будет встроен в браузеры и операционные системы. На это могут уйти месяцы или годы, в зависимости от того, сколько времени потребуется на сертификацию ODoH в качестве стандарта Инженерным советом интернета.
• Source: https://arxiv.org/pdf/2011.10121.pdf
• Source: https://odns.cs.princeton.edu/pdf/pets.pdf
При каждом посещении пользователем сайта в интернете браузер с помощью DNS-резолвера конвертирует web-адрес в IP-адрес, по которому находит запрашиваемую страницу в интернете. Однако этот процесс не шифруется, а значит, при каждой загрузке сайта DNS-запрос отправляется в открытом виде, и DNS-резолвер (интернет-провайдер, если пользователь не выбрал другой DNS-резолвер) может видеть, какой ресурс посещается.
Новые протоколы наподобие DNS-over-HTTPS (DoH) шифруют DNS-запросы, затрудняя злоумышленникам процесс их перехвата и переадресации пользователей на вредоносные сайты вместо легитимных. Однако DNS-запросы все равно видны интернет-провайдерам, которые могут продавать историю браузера рекламодателям и другим заинтересованным лицам.
Представленный инженерами Cloudflare и Apple протокол ODoH базируется на предыдущих разработках специалистов Принстонского университета. Если говорить коротко, ODoH отвязывает DNS-запрос от пользователя, и DNS-резолверу не видно, какой сайт он посещает.
Как это работает? ODoH заворачивает DNS-запрос в слой шифрования и отправляет его через прокси-сервер, играющий роль промежуточного звена между пользователем и запрашиваемым им сайтом. Поскольку DNS-запрос зашифрован, его содержимое не видно прокси-серверу. В то же время прокси-сервер выступает своеобразным щитом, который не позволяет DNS-резолверу видеть, кто изначально отправил DNS-запрос. Другими словами, отправившего запрос пользователя знает только прокси-сервер, а DNS-резолверу известен только запрашиваемый сайт.
По словам разработчиков, на скорость загрузки страниц ODoH практически не влияет.
Несколько партнерских организаций уже используют прокси-серверы, позволяющие некоторым пользователям уже использовать новую технологию через существующий DNS-резолвер Cloudflare 1.1.1.1. Но большинству придется подождать, пока ODoH не будет встроен в браузеры и операционные системы. На это могут уйти месяцы или годы, в зависимости от того, сколько времени потребуется на сертификацию ODoH в качестве стандарта Инженерным советом интернета.
• Source: https://arxiv.org/pdf/2011.10121.pdf
• Source: https://odns.cs.princeton.edu/pdf/pets.pdf
