4 razões para terceirizar seu DNS
Discussão sobre o Projeto de Internet AT & T-autor de "explicitamente confiável Proxy em HTTP / 2" continua, com comentários unpicking as prováveis implicações do projecto.
Uma questão é se há ou não uma ameaça tão grande para a privacidade do usuário, como foi afirmado por Lauren Weinstein no blog discutido em El Reg ontem. De acordo com Brad Hill, um técnico de segurança e co-presidente do projeto W3C Web Application Security, a resposta é "não".
Colina mira em ambos Weinstein e seu correspondente humilde de Abutre do Sul, afirmando: "Infelizmente, nem Weinstein nem qualquer dos repostagem ele parecia incomodar até mesmo ler e entender o direito abstrato de cinco parágrafos no início do projecto. E se você ler a coisa toda, você encontrar algo importante: Este projecto propõe que tal procuração não interferir com qualquer tráfego que está protegido por https "*.
Enquanto The Register não poderia encontrar esta forma de palavras no Draft, em uma discussão mais aprofundada com Hill, ele nos disse: "Não há nada lá sobre MITM em conexões autenticadas, só no trânsito que de outra forma seriam texto simples ou apenas oportunista criptografada."
"Todo o tráfego com real" "segurança e privacidade, que Weinstein e eu tanto valor, coisas como e-mail, serviços bancários, Facebook, Twitter, etc é completamente afetados por essa proposta" end-to-end, Encosta afirma.
Se o tráfego é sinalizado como uma https:resource, Encosta explicou, o projecto de "Proxy confiável", afirma ele deve passar sem serem molestados - apenas o tráfego não criptografado provocaria o proxy.
(O post é bem vale a pena ler, a propósito, pela sua explicação detalhada dos modos de privacidade propostas no padrão HTTP2, a corrente de que o Projeto de Proxy confiável é parte).
Enquanto desprezando as preocupações sobre o Projeto de Proxy Trusted Hill também conclui que todo o fluxo "criptografia oportunista" em HTTP2 é uma má idéia.
Em resposta, a Weinstein disse ao The Register: "Obviamente, os ISPs não estão em posição de" "existentes fluxos SSL corretamente implementadas crack - mesmo a NSA, GCHQ, Rússia, China, et al. agências são pressionados a fazer isso sem uma quantidade significativa de trabalho.
"Mas o que a proposta faz impulso é o conceito de uma espécie de" falsa segurança ", que seria o benefício de ISPs, mas não para a maioria dos usuários - e não há nada mais perigoso do que neste contexto * pensamento * você está seguro quando você realmente não é. "
"É um conceito confuso e de confusão que não seria nada além de problemas," Weinstein concluiu.
Manipulador SANS Institute Russ McRee é menos otimista e bastante direta: ele acredita que o que está proposto no projecto "amaldiçoa o conceito CA e implementação navegador suficiente para permitir que provedores de internet a levantar-se 'de confiança proxies" para MITM e conteúdo SSL de cache em nome de "aumentar desempenho '. "
Da Columbia U Steven Bellovin acredita que o projecto expressa um desejo de lidar com o tráfego do usuário criptografada. Em um e-mail ao The Register, ele escreveu: "Quer parar com isso para fornecer vários serviços: 'para permitir o armazenamento em cache, para fornecer anonimato para um User-Agent, ou para garantir a segurança por meio de um firewall de camada de aplicação para inspecionar o tráfego HTTP ', mais alguma conversa sobre o desempenho. figura 2 (a partir do URL que você cita) mostra que o tráfego de saída pode ou não pode mesmo ser protegido por TLS. "
Bellovin diz que "há alguns objetivos legítimos aqui", mas "eu também acho que essa é a maneira errada de fazer isso." Ele destacou a proposta do Projeto de que os usuários ser solicitado um consentimento, o que eles podem não ter a capacidade de entender.
Deve-se notar que, como uma representação de Internet, esta não é uma norma. Rascunhos podem ser e são freqüentemente abandonado em face de melhores ideias, ou porque (como qualquer pessoa familiarizada com o endiabrado senso de humor IETF) que estavam de 1 de Abril.
Este vai ter alguma maneira de executar, nós suspeitamos. ®
* Bootnote: Aqui está todo o resumo do Proxy confiável explícita em HTTP/2.0:
O objectivo deste projecto de Internet é para continuar a discussão sobre a procuração explícito e confiável como intermediário de tráfego HTTP2.
O GT httpbis aprovou o uso HTTP2 com HTTP URIs, com ou sem TLS, sem quaisquer restrições do padrão (ver: questão 314).
Para distinguir entre uma conexão HTTP2 significou para transportar recursos "https" URIs e uma conexão HTTP2 destinado a transportar "http" recurso URIs, o projecto propõe a registrar um novo valor na camada de aplicação protocolo de negociação de registro (ALPN) Protocolo IDs específicos para sinalizar o uso de HTTP2 para transportar "http" URIs recursos: h2clr.
Este documento descreve dois métodos alternativos para um user-agent para descobrir automaticamente e para um usuário a dar o consentimento para um Proxy de confiança para estar bem envolvido quando ele ou ela está solicitando um recurso URI HTTP sobre HTTP2 com TLS. O consentimento deve ser por acesso à rede. O projecto também descreve o papel do Proxy Trusted em ajudar o usuário a buscar HTTP URIs de recursos quando o usuário forneceu consentimento para o Proxy de confiança de estar envolvido.
Nós não podemos identificar a forma das palavras "qualquer proxy não interferir com qualquer tráfego que está protegido por https" tanto no abstrato ou de todo o Draft. No entanto, notamos leitura do monte de detalhes do documento, que o tráfego criptografado será deixado sozinho. ®
Nenhum comentário:
Postar um comentário