Комментарии 92
сейчас на проприетарную версию iQUIC приходится более 7% трафика в интернете.
Любопытно… То есть уже довольно много сайтов внедрили этот протокол? А можно поподробнее?
Я, к своему стыду, первый раз об этом протоколе слышу и даже HTTP/2 еще не успел попробовать, а уже, оказывается третий приходит. Пожалуй подожду еще пару лет пока HTTP/X(SE) выйдет.
HTTP/2 внедрили у себя уже года 2 назад, все работает шикарно. Одни только плюсы, минусов за все время работы никаких не увидел.
blog.cloudflare.com/tag/quic
и
- iQUIC (версия IETF)
- gQUIC (версия Google)
если бы компания Google не поспешила внедрить свою реализацию в браузер Chrome, так что сейчас на проприетарную версию iQUICпротиворечат друг другу?
Это хорошо.
Неужели Вы могли подумать, что гугл против фильтрации трафика?
Все мегакорпорации управляются «нужными людьми» как и сами правительства.
Чего? Да, можно конечно гонять TCP через UDP/IP, но только зачем если теряется его главная особенность быть синхронным и гарантированно доставляемым. (Если я ничего не путаю.)
Почему? Шифрование на уровне протокола -то отлично же, совсем скоро будет совершенно непонятно что идёт в трубе под именем HTTP /3 там будет и DNS и весь остальной трафик.
ЭТО ХОРОШО!
Кроме того, гуглу-то выгоды от quic понятны — снижение нагрузки на сервера и возможность приоритетно пихать свою рекламу. А что получает пользователь? Худшую производительность на мобильных сетях. Владельцы серверов — трудности в отладке.
Причем на безопасность среднестатистического пользователя сети все эти новомодные тенденции вообще никак не влияют. Раньше был сниф — сейчас фишинг, скупка аддонов, прохачивание популярных библиотек, трояны в приложениях плеймаркета, затрояненные с завода смартфоны, полностью автономная IME с кучей дыр, утечки с серверов (про фейсбук и сбербанк все слышали).
Все эти пляски с бубном TLS лишь создают ощущение защищенности и безопасности, не более того. В реальности же мир скатывается в корпоратократию, в рамках которой каждый пользователь должен пользоваться продуктами корпораций, протоколами корпораций, серверами корпораций и экосистемой корпораций. И конечно же, всё это исключительно ради добра и безопасности.
Проблемы в мобильных сетях — надуманы и могут возникать только в плохих сетях (пинги больше 100 и плохим jitter) когда на горизонте маячит 5G с пигами 5 мс а почти везде есть 4G с пингами менее 50, об этом можно практические не думать.
С другой стороны — quic сохраняет соединение при движении между сетями, например смена WiFi или переключение на мобильную сеть — не вызовет пересоздание подключения, что ускоряет работу.
А почему (и как?) quic поможет:
и возможность приоритетно пихать свою рекламу
А что в этом плохого? думаете обладатели серверов (например яндекс) не хочет понизить нагрузку?
Кроме того, гуглу-то выгоды от quic понятны — снижение нагрузки на сервера
Все эти пляски с бубном TLS лишь создают ощущение защищенности и безопасности, не более того.
Не стоит смешивать всё вкучу, TLS, DoH, eSNI — призваны защитить от MITM, защиту от других атак (соц-инженеринг, фишинг) никто и не обещал, они реализуются немного иначе.
а почти везде есть 4G
о_О, вы правда так думаете? :) Нет, серьёзно…
Там где есть много людей — да, я о городах.
А там где мало людей? Вот стоит мне в какой-нибудь посёлок отъехать и хорошо если вообще edge-связь есть, какой уж там 4G.
Проблемы в мобильных сетях — надуманы
… почти везде есть 4G
… об этом можно практические не думать
Там где есть много людей — да, я о городах
Желающие в таких местах ставят себе направленные антены
Скажите честно, вы издеваетесь? :) Я уж не знаю насколько QUIC плох в этих самых 2G сетях, судить не берусь, но вот эти ваши сообщения, они немного… ну вы поняли.
Я как раз думаю о том, что надо думать и о тех, к кому эти самые 5G никто подключать не собирается. Не пренебрегать ими в стиле, ну они же за МКАД-ом, стало быть "можно практически не думать", а опираться во многом именно на них, как на слабое звено.
Стало даже интересно, а давайте название, посмотрим покрытие по операторам, уверен, что 1 из всех хотя бы там есть с LTE
ЗЫ. Вообще в моем профиле все прописано )
Гм, это примерно как удивляться почему в Абхазий связь плохо работает.
И поэтому ваше утверждение — в любом крупном городе есть 3G\4G — мягко говоря притянуто за уши.
2. Со временем современные стандарты связи дотянутся и туда, где их сейчас нет. Хотя бы в рамках замены оборудования, выходящего из строя, а также улучшения эффективности использования радиодиапазона.
Так что не надо быть столь категоричным.
И что? А до HTTPS у них ещё проще системы были, HTTPS вынудил обновится
Внедрение систем анализирующих HTTPS активно было начато после того, как % HTTPS стал значимым. В не в 1994
Т.е между 94 и 99 — не было ничего? Вот за 5 лет компании точно научатся в фильтрацию на основе VPN/DPI. Либо же полностью перестанут это делать, посмотрев на затраты. Не стоит забывать TLS 1.3 с его Perfect Forward Security, вот из-за него корп.отделы ИБ уже панику разводили. (И тут, на хабре) в том числе
Так как от фильтров то поможет? Рекламные фильтры работают в браузере пользователя, а не на уровне «между» экзотические варианты есть, но надо быть достаточно храбрыми, что бы дать блокировщику рекламы права просмотра всего своего трафика (установка корневого сертификата)
Я вот как пользователь как раз рад — вероятность трекинга уменьшится со стороны 3-их лиц, а для защиты от трекинга через метрики и аналитику — давно уже есть расширения.
Надо просто сесть и почитать, как работает проксирование https хотя бы на примере сквида.
И сейчас всю эту огромную махину фильтров гуглофейсбучной рекламы/трекеров, раскиданных по миллионам компаний, пытаются прикрыть всеми возможными путями — quic, doh, етс. Чтобы ни один человек не обошелся без рекламы гугла, чтобы ни один хомячок не был обделен доступом к уютному фейсбучку в рабочее время.
Так вы не ответили, зачем squid для фильтрации, когда есть Adblock?
На моц взгляд — блокировок не должно быть нигде.
В случае с работой, чаще всего используется два варианта — Интранет только или Интранет + интернет, при наличии дорогих комплексов по расшифровке трафика — продвинутые списки и анализ по ключевым словам.
Собственнл эволюция протоколов к тому и ведёт, при попытке какой-либо блокировки с большой долей вероятностью заденет ещё неизвестно сколько лишнего, и это прекрасно, цену атаки нужно повышать.
Вашу позицию по допустимости блокировок я понял, продолжать смысла не вижу.
а почему, собственно, это не должно характеризоваться терминами с негативной коннотацией, если оно таковым и является?
Любые попытки "внешней" цензуры, даже из благих побуждений — зло и предмет злоупотребления. И при лёгкой экстраполяции превращаются в текущий ахтунг, творимый роскомнадзором.
Правильно не резать весь контент в школе, а учить детей ИБ на уроках информатики. И объяснять какой контент плохой, а какой — нет.
Правильно не резать фейсбук-гугл-whatever всем подряд на работе, а прописывать в трудовом договоре запрет на использование соцсетей не для работы в рабочее время.
// И да, чтобы не было попыток ответов в стиле "спердобейся":
1) директор-IT-фирмы-кун
2) отец-троих-детей-кун
А еще правильно не запрещать наркотики, а учить детей наркобезопасности. А сами наркотики надо разрешить, потому что запрет наркотиков — зло и предмет злоупотребления.
>Правильно не резать фейсбук-гугл-whatever всем подряд на работе
А кто сказал, что всем подряд? Да и даже если всем подряд? Ситуации бывают разные, компании разные, уровень секретности разный, ширина канала разная. Откуда в вас эта тяга свое видение считать истиной в последней инстанции — непонятно.
А еще правильно не запрещать наркотики, а учить детей наркобезопасности.
Истинно так.
А сами наркотики надо разрешить,
не так. Не "разрешить", а "не привлекать к ним внимание усиленными попытками запретить".
Во-первых, наркотики от лекарств отличаются, в большинстве, только дозировкой.
Во-вторых, любые попытки "полного запрета" чего-либо всегда бьют больше по честным людям (см. наличие "марганцовки" в аптеках или возможность купить спирт для протирки печатных плат).
В-третьих, если вы не будете объяснять ребёнку вред наркотических веществ, а просто тоталитарно молча запрещать — он всё равно их "попробует" так или иначе.
И вам очень повезёт, если не за гаражами с местной гопотой.
потому что запрет наркотиков — зло и предмет злоупотребления.
Истинно так. И открыв новостную хронику и найдя любую новость про приключения сотрудников госнаркоконтроля вы можете прекрасно в этом убедиться.
Теперь про корпоративные ограничения:
А кто сказал, что всем подряд
Это типа "я директор/админ, а вы все говно и недостойны"? Ну, таких даже не жалко, если они потеряют возможность так делать.
Ситуации бывают разные, компании разные, уровень секретности разный, ширина канала разная.
Кто-то с этим спорит?
Более того, выше озвучивался правильный вариант построения сети для компаний с повышенным уровнем секретности или узким каналом в интернет: интранет-онли. И, если уж очень нужно — один (или несколько) компьютер без доступа в интранет, но с доступом в интернет. Собственно, если честно, то, на самом деле, именно так и делается в серьёзных компаниях с высокими требованиями ИБ в связи с "секретностью" (наименования называть не буду чтобы не разглашать аффилированность с ними).
И при малой ширине канала (без повышенной секретности) — всё прекрасно решается на административном уровне.
Откуда в вас эта тяга свое видение считать истиной в последней инстанции — непонятно.
Переадресую этот вопрос вам, т.к. я выше обосновал минимальную субъективность своего взгляда, в то время как вы такового не сделали и ваша точка зрения наоборот выглядит более субъективной нежели моя.
Так вы согласны или нет с тем, чтобы в городах продавали ассортимент наркотиков — спиды, марки, герыч, галлюциногены? Без рекламы и без возрастных ограничений?
>ваша точка зрения наоборот выглядит более субъективной
Вся дискуссия началась с фразы shifttstas «блокировок не должно быть нигде». Моя точка зрения — фильтрация допустима, если того требуют обстоятельства. С чем вы спорите, соглашаясь со мной — не очень понятно.
Причем когда дитятко вдруг подсаживается на таблетосы или пытается порезать себе вены — что-то никто не говорит «Да, я мудак», все гневно смотрят в сторону государства — чаму, мол, не обеспечило безопасностью наших детей, не воспитало их правильно, за что мы налоги платим, кококо.
Проблемы в мобильных сетях — надуманы и могут возникать только в плохих сетях (пинги больше 100 и плохим jitter) когда на горизонте маячит 5G с пигами 5 мс а почти везде есть 4G с пингами менее 50
И что у вас в 4G не бывает reorderingа пакетов
А именно в этом случае имплементация Гугла сливает TCp
Не место криптографии в транспортном уровне. Как минимум, стоит выносить эту часть протокола в отдельный стандарт или полностью переиспользовать TLS (что, собственно, QUIC похоже и делает), чтобы он мог влить в себя поддержку QUIC и продолжать развиваться независимо от него. DTLS и так есть, почему бы его не взять за основу handshake QUIC и не выдумывать велосипеды. Собственно, я тут похоже не одинок, нагуглил черновик именно такого предложения от мозилы. Мол, DTLS 1.3 дает тот же самый профит скорости подключения в отличии от DTLS 1.2.
И даже в этом случае нужно будет задуматься о последствиях включения TLS прямо в транспортный протокол. Если этот кусок протокола будет постоянно обновляться, то что делать промежуточным узлам, которые на этом уровне свои задачи выполняют? Глупо ожидать, что они будут на новых версиях этого QUIC. Он и так создает новые проблемы тому же ECMP.
Не могу сказать, что TLS обновляется быстро, проникновение последней версии — низкое, а все из-за разрозненных настроек, tls отдельно, http/2 отдельно, я догадываюсь, в случае с quic будет список шифров для использования без возможности модификации (что было бы логично) и при обновлении веб-сервер — автоматически список будет обновляться, без какого либо действия со стороны администратора...
А кто такие — промежуточные узлы?
Список шифров, автоматическое обновление… Речь о правках самого протокола. Они неизбежно будут, а с этим пойдут теже самые проблемы, когда весь софт надо обновить, чтобы он поддерживал новую версию, а протокол поддерживал обмен версиями, чтобы договориться о том, что поддерживают обе стороны. Можно конечно захардкодить туда один cipher suite нынешнего TLS, но только такое никто не примет. Это вон внутри гугла такое прокатит. Собственно, от QUIC за версту веет именно почерком гугла — сделать все по-своему, переизобрести половину по-пути, и доказывать, что и все остальные так же жить должны. Эта культура просачивается и в другие их продукты. За тем же Go наблюдаешь и точно так же видишь как внутренняя кухня гугла диктует дизайн. И кухня эта совсем не ложится на мир вокруг.
Да кто угодно. Прокси, свитчи, роутеры. Все, кто лезет на этот уровень сетевой модели и пытается решать какие-то свои задачи. Сейчас у них есть TCP, который один на всех и не меняется. А с QUIC им что делать, когда неизбежно начнутся правки, потому что какой-то новый шифр или оптимизацию не сделать без правки протокола? Переносить всю эту нестабильность на такой низкий уровень это фейл.
Собственно говоря делать им там нечего, ни свичам ни тем более прокси, смысл то в шифрованной E2E трубе. А роутеры, кстати, как им привычно, будут с UDP работать.
А почему фейл то? Letsencrypt приучил всех раз в пару месяцев обновлять сертификат на сервере (чаще всего в автоматическом режиме) quic приучит устанавливать новый релиз протокола каждую неделю/месяц.
quic приучит устанавливать новый релиз протокола каждую неделю/месяц.
Хорошая шутка, да. Пойду обновлю версию TCP что ли.
И кстати, трекать сессии так же не выйдет, это тоже зашифровано.
А зачем сохранять постоянство маршрута в случае quic?
Но даже если мы опустим ECMP как довольно специфическую штуку, у нас остаются наты, фаерволы и все что угодно, что хочет контролировать состояние этой самой QUIC сессии. Ожидать, что вся эта связка так вот просто будет обновляться, глупо.
Но тот же телеграмм голос в случае P2P шлёт своим протоколом через UDP, и ничего, на проблемы как то никто не жалуется
Не очень понимаю, зачем все переносить на UDP?
Есть протокол SCTP — Stream Control Transmission Protocol, который как раз должен нормально подойти под этот вариант. В двух словах — "надежный UDP": протокол ориентированный на сообщения, с гарантией доставки, но без гарантии порядка. Вместо коннектов, есть ассоциации — фактически несколько одновременных коннектов через разные интерфейсы/адреса между хостами.
Для веб TCP дает слишком жесткие гарантии — гарантию порядка, которая вебу не нужна, но за которую приходится платить на плохих нестабильных сетях ненужными перепосылками, снижение скорости и пр.
Для веб не важно, в каком порядке загрузятся картинки на странице, важно, чтобы они все дошли.
Если есть желание поиграть с негугловым QUIC. Есть реализация без использования либ от хромиума https://github.com/lucas-clemente/quic-go
Пример эхо сервера и клиента — https://github.com/lucas-clemente/quic-go/blob/master/example/echo/echo.go
Вот где взять нормальный клиент, чтобы удобно смотреть? Chromium?
А так, последнее время любая инициатива Гугла — та ещё дрянь. Кажется они там в гугле решили что гугл и HTTP это и есть весь интернет.
Предположу, что бы не ждать реализации в свичах, т.к все что ниже UDP/TCP требует доработки на железе которое ох как медленно дорабатывается и обновляется, пример — IPv6
Другое дело что Гугл, кмк, просто хочет сделать всё по своему (а для фундаментального решения нужна работа с и учёт интересов всех заинтересованных групп) и как ему удобно. Вот только при этом он пытается продавить это как якобы «стандарт интернета». Хотя стандарт должен быть для всех (в том числе разработчики железа, разработчики ОС, разработчики софта, администраторы сетей), а не только для крупных интернет компаний определённого профиля.
Протокол HTTP-over-QUIC официально становится HTTP/3