Протокол HTTP-over-QUIC официально становится HTTP/3

    С момента принятия стандарта HTTP/2 прошло три с половиной года: спецификация RFC 7540 опубликована в мае 2015-го, но пока не используется повсеместно. Протокол реализован во всех браузерах ещё с конца 2015 года, а спустя три года только 31,2% из 10 млн самых популярных интернет-сайтов поддерживают HTTP/2. Из самых популярных сайтов на него перешли Google, Youtube, Wikipedia, Twitter, Vk.com и другие.

    Тем не менее, прогресс не стоит на месте — и уже идёт работа над следующей версией HTTP/3. Как сейчас стало известно, разработчики двух альтернативных вариантов достигли совместимости, а протокол HTTP-over-QUIC теперь меняет название и официально именуется HTTP/3. Соответственно, в будущей версии HTTP транспорт TCP заменят на QUIC.

    Путаница с разными вариантами QUIC


    QUIC представляет собой замену TCP, которая работает поверх UDP. Изначально эта технология была создана инженерами Google, как и предыдущий протокол SPDY, который стал основой HTTP/2. В первое время QUIC именовали “HTTP/2-encrypted-over-UDP”.

    Затем разработку QUIC передали в IETF для стандартизации. Здесь он разделилcя на две части: транспорт и HTTP. Идея в том, что транспортный протокол можно использовать также для передачи других данных, а не только эксклюзивно для HTTP или HTTP-подобных протоколов. Однако название осталось таким же: QUIC. Разработкой транспортного протокола занимается рабочая группа QUIC Working Group в Инженерном совета интернета (IETF).

    В то же время Google продолжила работу над своей собственной реализацией — и внедрила её в браузер Chrome. Хотя тесты показывают, что реализация QUIC от Google работает существенно хуже TCP, если сеть не гарантирует порядок доставки пакетов.


    Разница в производительности между QUIC с TCP (в процентах) в сети с RTT 112 мс и джиттером 10 мс, источник


    Разница в производительности между QUIC с TCP (в процентах) в сети с RTT 112 мс и джиттером 10 мс, который меняет порядок пакетов, источник

    Некоторые разработчики вообще любые версии QUIC на UDP называют «дичайшим экспериментом».

    Разноголосицу в версиях и именованиях QUIC объясняет Дэниель Стенберг, ведущий разработчик curl, работающий в Mozilla, который давно следит за этой историей.

    По его словам, в кругу разработчиков получили распространения неформальные названия двух версий QUIC, поскольку варианты от IETF и Google значительно различаются в деталях реализации:

    • iQUIC (версия IETF)
    • gQUIC (версия Google)

    Протокол для передачи HTTP по iQUIC (версия IETF) долгое время называли “hq” (HTTP-over-QUIC).

    В общем, устоявшегося названия для разных версий не было. На семинаре рабочей группы QUIC Майк Бишоп напугал всех собравшихся таким слайдом, как будто это логотип.


    Слайд из презентации Майка Бишопа

    Ведущие семинара попросили Майка больше никогда это не показывать.

    Тем не менее, 7 ноября 2018 года один из ведущих разработчиков протокола Дмитрий Тихонов объявил, что LiteSpeed Tech и Facebook достигли совместимости протоколов, и теперь разработка продолжится в общем русле.

    Объединить iQUIC и gQUIC под названием HTTP/3 в сентябре предложил Марк Ноттингем, один из самых влиятельных инженеров IETF, соавтор нескольких веб-стандартов. По его словам, это поможет устранить путаницу между QIUC-транспортом и QUIC-оболочкой для HTTP.

    Таким образом, HTTP/3 — это новая версия HTTP, которая будет использовать транспорт QUIC.

    Транспорт QUIC


    В чём преимущества транспортного протокола QUIC перед TCP? Преимуществ очень много, и по словам самого Марк Ноттингема, переход от устаревшего TCP на новые протоколы просто неизбежен, поскольку сейчас очевидно, что TCP страдает от проблем неэффективности.

    «Поскольку TCP — протокол доставки пакетов по порядку, то потеря одного пакета может помешать доставке приложению последующих пакетов из буфера. В мультиплексированном протоколе это может привести к большой потере производительности, — объясняет Марк Ноттингем. — QUIC пытается решить эту проблему с помощью эффективной перестройки семантики TCP (вместе с некоторыми аспектами потоковой модели HTTP/2) поверх UDP».



    Кроме перехода значительного объёма трафика с TCP на UDP, и Google QUIC (gQUIC), и IETF QUIC (iQUIC) требуют обязательного шифрования: нешифрованного QUIC не существует вообще. iQUIC использует TLS 1.3 для установки ключей сессии, а затем шифрования каждого пакета. Но поскольку он основан на UDP, значительная часть информации о сессии и метаданных, открытых в TCP, шифруется в QUIC.

    В статье «Будущее интернет-протоколов» Марк Ноттингем говорит о значительных улучшениях в безопасности с переходом на QUIC:

    На самом деле текущий «короткий заголовок» iQUIC — который используется для всех пакетов, кроме рукопожатия — выдаёт только номер пакета, необязательный идентификатор соединения и байт состояния, необходимый для процессов вроде смены ключей шифрования и типа пакета (который тоже может быть зашифрован). Всё остальное зашифровано — включая пакеты ACK, что значительно повышает планку для проведения атак с анализом трафика.

    Кроме того, становится невозможна пассивная оценка RTT и потерь пакетов путём простого наблюдения за соединением; там недостаточно информации для этого.

    Отсутствие наблюдаемости вызвало серьёзную озабоченность у некоторых представителей сообщества операторов связи. Они говорят, что такие пассивные измерения критически важны для отладки и анализа их сетей.

    Одно из предложений для решения этой проблемы — введение спин-бита. Это бит в заголовке, который меняет своё значение один раз по пути туда-обратно, так что наблюдатель может оценить RTT. Поскольку он не привязан к состоянию приложения, то не должен выдавать никакой информации о конечных точках, кроме примерной оценки местоположения сети.

    Возможно, принятие стандарта QUIC произошло бы и раньше, если бы компания Google не поспешила внедрить свою реализацию в браузер Chrome, так что сейчас на проприетарную версию iQUIC приходится более 7% трафика в интернете.

    Тем не менее, прогресс неизбежен — и в ближайшие годы обязательно продолжится стандартизация и повсеместное внедрение различных протоколов нового поколения, в том числе HTTP/3 на транспорте QUIC.




    СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
    GlobalSign
    136,31
    Компания
    Поделиться публикацией

    Комментарии 92

      +7
      сейчас на проприетарную версию iQUIC приходится более 7% трафика в интернете.

      Любопытно… То есть уже довольно много сайтов внедрили этот протокол? А можно поподробнее?
      Я, к своему стыду, первый раз об этом протоколе слышу и даже HTTP/2 еще не успел попробовать, а уже, оказывается третий приходит. Пожалуй подожду еще пару лет пока HTTP/X(SE) выйдет.
        +2
        Скорее всего, его внедрил гугл, а он один много трафика генерирует со своими сервисами.
          0
          Вроде как фейсбук еще этот протокол использует
            –1
            В одной из ссылок рассказывают, что идет поток откатов от протоколов нового интернета. И, в частности, http/2 работает только у компаний, со своими облаками (гугл и фейсбук).
              +1
              Ютуб использует QUIC по умолчанию. Это значимая доля трафика.
                +1

                HTTP/2 внедрили у себя уже года 2 назад, все работает шикарно. Одни только плюсы, минусов за все время работы никаких не увидел.

                  0
                  Если какой-нибудь CDN, типа Cloudflare, его реализует, то протокол будет доступен сразу для многих сайтов…

                  blog.cloudflare.com/tag/quic

                  +9
                  Одному мне кажется, что абзацы
                  • iQUIC (версия IETF)
                  • gQUIC (версия Google)
                  и
                  если бы компания Google не поспешила внедрить свою реализацию в браузер Chrome, так что сейчас на проприетарную версию iQUIC
                  противоречат друг другу?
                    +1
                    Я один вижу главную цель протокола — переход на UDP? случайно не для того чтобы вбить большущий гвоздь в текущее оборудование для фильтрации трафика?

                    Это хорошо.
                      –27
                      TCP работает поверх UDP
                      Неужели Вы могли подумать, что гугл против фильтрации трафика?
                      Все мегакорпорации управляются «нужными людьми» как и сами правительства.
                        +30
                        С каких пор? Во времена моего детства TCP работал прямо по верх IP. Когда все поменялось?
                          +5
                          оО
                            0

                            Чего? Да, можно конечно гонять TCP через UDP/IP, но только зачем если теряется его главная особенность быть синхронным и гарантированно доставляемым. (Если я ничего не путаю.)

                            –1
                            Главная цель протокола — продавить гуглоспецифичные плюшки для снижения нагрузки на гуглосервера во все браузеры. Такое себе достижение, мягко говоря.
                              –1

                              Почему? Шифрование на уровне протокола -то отлично же, совсем скоро будет совершенно непонятно что идёт в трубе под именем HTTP /3 там будет и DNS и весь остальной трафик.

                                +3
                                Вкупе с повальным использованием cdn скоро локальный посредник (вида wifi роутер в кафешке или провайдер последней мили и прочее) не будет понимать куда именно зашел клиент и что он там делает.

                                ЭТО ХОРОШО!
                                  +4
                                  Для шифрования на уровне протокола у нас уже есть https. А вот тот факт, что гугл продавливает в IETF фичи, выгодные только ему — это вообще не здоровая ситуация, попахивающая разворачивающимся маховиком тоталитаризма корпораций.

                                  Кроме того, гуглу-то выгоды от quic понятны — снижение нагрузки на сервера и возможность приоритетно пихать свою рекламу. А что получает пользователь? Худшую производительность на мобильных сетях. Владельцы серверов — трудности в отладке.

                                  Причем на безопасность среднестатистического пользователя сети все эти новомодные тенденции вообще никак не влияют. Раньше был сниф — сейчас фишинг, скупка аддонов, прохачивание популярных библиотек, трояны в приложениях плеймаркета, затрояненные с завода смартфоны, полностью автономная IME с кучей дыр, утечки с серверов (про фейсбук и сбербанк все слышали).

                                  Все эти пляски с бубном TLS лишь создают ощущение защищенности и безопасности, не более того. В реальности же мир скатывается в корпоратократию, в рамках которой каждый пользователь должен пользоваться продуктами корпораций, протоколами корпораций, серверами корпораций и экосистемой корпораций. И конечно же, всё это исключительно ради добра и безопасности.
                                    0
                                    QUIC шифрует заголовки и даже client hello, в отличии от HTTPS, намного труднее (практически невозможно) проводить сигнатурных анализ трафика (привет DPI)

                                    Проблемы в мобильных сетях — надуманы и могут возникать только в плохих сетях (пинги больше 100 и плохим jitter) когда на горизонте маячит 5G с пигами 5 мс а почти везде есть 4G с пингами менее 50, об этом можно практические не думать.

                                    С другой стороны — quic сохраняет соединение при движении между сетями, например смена WiFi или переключение на мобильную сеть — не вызовет пересоздание подключения, что ускоряет работу.

                                    А почему (и как?) quic поможет:
                                    и возможность приоритетно пихать свою рекламу


                                    А что в этом плохого? думаете обладатели серверов (например яндекс) не хочет понизить нагрузку?
                                    Кроме того, гуглу-то выгоды от quic понятны — снижение нагрузки на сервера


                                    Все эти пляски с бубном TLS лишь создают ощущение защищенности и безопасности, не более того.

                                    Не стоит смешивать всё вкучу, TLS, DoH, eSNI — призваны защитить от MITM, защиту от других атак (соц-инженеринг, фишинг) никто и не обещал, они реализуются немного иначе.
                                      +3
                                      а почти везде есть 4G

                                      о_О, вы правда так думаете? :) Нет, серьёзно…

                                        0
                                        Там где есть много людей — да, я о городах. Если взять другие страны, там с LTE местами все еще лучше. В конечном итоге так будет и в РФ при леквидации 3G в пользу LTE и использовании частот от 3G в 4G.
                                          +1
                                          Там где есть много людей — да, я о городах.

                                          А там где мало людей? Вот стоит мне в какой-нибудь посёлок отъехать и хорошо если вообще edge-связь есть, какой уж там 4G.

                                            0
                                            Желающие в таких местах ставят себе направленные антены котоые бьют до ближайшей БС или проводят себе оптику. Не ведут операторы сеть туда, где она будет не рентабельна. Однако там очень маленький % жителей и с каждым годом он падает => зачем строить?
                                              +1
                                              Проблемы в мобильных сетях — надуманы
                                              … почти везде есть 4G
                                              … об этом можно практические не думать
                                              Там где есть много людей — да, я о городах
                                              Желающие в таких местах ставят себе направленные антены

                                              Скажите честно, вы издеваетесь? :) Я уж не знаю насколько QUIC плох в этих самых 2G сетях, судить не берусь, но вот эти ваши сообщения, они немного… ну вы поняли.

                                                0
                                                А в чем проблема? почему вы думаете, что оператор будет каждый посёлок к 5G подключать?
                                                  +1

                                                  Я как раз думаю о том, что надо думать и о тех, к кому эти самые 5G никто подключать не собирается. Не пренебрегать ими в стиле, ну они же за МКАД-ом, стало быть "можно практически не думать", а опираться во многом именно на них, как на слабое звено.

                                                    +1
                                                    Причем тут МКАД? откройте любой город или большой ПГТ — там есть 4G хотя бы от одного оператора.
                                                      +3
                                                      Ну тогда так бы и писали — «почти везде есть 4G, если „везде“ — места, где 4G есть, и у людей есть симка оператора, который ловится».
                                                        +2
                                                        Приезжайте ко мне в гости. Город на 500к жителей. 4Г? нет, не слышали. 3Г? нет, не слышали. 2Г? нууу, местами даже работает…
                                                          –2

                                                          Стало даже интересно, а давайте название, посмотрим покрытие по операторам, уверен, что 1 из всех хотя бы там есть с LTE

                                                            –2
                                                            Давайте. Луганск.

                                                            ЗЫ. Вообще в моем профиле все прописано )
                                                              0

                                                              Гм, это примерно как удивляться почему в Абхазий связь плохо работает.

                                                                0
                                                                А что вас удивляет? Или у нас в городе интернетом никто не пользуется? Я работаю на провайдере, и могу вас убедить — пользуются и достаточно активно. Но вот с мобильным интернетом есть определенные сложности.
                                                                И поэтому ваше утверждение — в любом крупном городе есть 3G\4G — мягко говоря притянуто за уши.
                                                0
                                                1. Где QUIC будет работать плохо, там никто не мешает использовать предыдущие версии HTTP. Ну или сам QUIC можно как-то доработать.
                                                2. Со временем современные стандарты связи дотянутся и туда, где их сейчас нет. Хотя бы в рамках замены оборудования, выходящего из строя, а также улучшения эффективности использования радиодиапазона.
                                                +1
                                                Даже в крупных городах из-за архитектуры или рельефа — хорошо, если edge ловить будет.
                                                Так что не надо быть столь категоричным.
                                                  0
                                                  Тут опять же вопрос к оператору и клиентскому устройству, что я делаю не так, если у меня в городе часто скорость больше 100 мегабит?


                                                    0
                                                    что я делаю не так, если у меня в городе часто скорость больше 100 мегабит?


                                                    Живете в Москве.
                                              +2
                                              И всё это никак не влияет на безопасность пользователя. Зато изрядно помогает гуглу, чью рекламу админы отфильтровывают. На дворе 2018-ый год, а в новом протоколе в принципе не предусмотрен возможность проксирования, надо же, какое досадное недоразумение.
                                                0
                                                а зачем вам проксирование в HTTP? есть socks, vpn
                                                  +2
                                                  А как вы организуете фильтрацию трафика в компаниях и госучреждениях? И почему пользователи вдруг должны потерять возможность прогонять http через прокси и ограничиваться только socks только потому, что гуглу хочется состричь больше бабла?
                                                    –1
                                                    в компаниях используются прокси более промышленного уровня нежели HTTP — что бы другие приложения так же попадали в них.
                                                      +1
                                                      В куче компании используются (сюрприз-сюрприз!) вполне себе обычные прокси-сервера, начиная от pfSense и заканчивая Kerio Control, зачастую в режиме прозрачного проксирования.
                                                        0

                                                        И что? А до HTTPS у них ещё проще системы были, HTTPS вынудил обновится

                                                          0
                                                          HTTPS появился в 1994-ом году, лол.
                                                            –1

                                                            Внедрение систем анализирующих HTTPS активно было начато после того, как % HTTPS стал значимым. В не в 1994

                                                              0
                                                              Squid как минимум в 99-ом умел проксировать https. И фильтровать соответственно.
                                                                0

                                                                Т.е между 94 и 99 — не было ничего? Вот за 5 лет компании точно научатся в фильтрацию на основе VPN/DPI. Либо же полностью перестанут это делать, посмотрев на затраты. Не стоит забывать TLS 1.3 с его Perfect Forward Security, вот из-за него корп.отделы ИБ уже панику разводили. (И тут, на хабре) в том числе

                                                                  +1
                                                                  Ну вот мы и пришли к тому, с чего начали — новые протоколы пилятся для гуглофейсбуков, которым главное поубирать фильтра для их реклам/трекеров и не дать другим снять сливки с бигдаты, а не для пользователей, админов, компаний или организаций.
                                                                    –1

                                                                    Так как от фильтров то поможет? Рекламные фильтры работают в браузере пользователя, а не на уровне «между» экзотические варианты есть, но надо быть достаточно храбрыми, что бы дать блокировщику рекламы права просмотра всего своего трафика (установка корневого сертификата)


                                                                    Я вот как пользователь как раз рад — вероятность трекинга уменьшится со стороны 3-их лиц, а для защиты от трекинга через метрики и аналитику — давно уже есть расширения.

                                                                      +1
                                                                      >надо быть достаточно храбрыми
                                                                      Надо просто сесть и почитать, как работает проксирование https хотя бы на примере сквида.

                                                                      И сейчас всю эту огромную махину фильтров гуглофейсбучной рекламы/трекеров, раскиданных по миллионам компаний, пытаются прикрыть всеми возможными путями — quic, doh, етс. Чтобы ни один человек не обошелся без рекламы гугла, чтобы ни один хомячок не был обделен доступом к уютному фейсбучку в рабочее время.
                                                                        0

                                                                        Так вы не ответили, зачем squid для фильтрации, когда есть Adblock?

                                                                          +1
                                                                          У вас дальше частного применения мысль вообще идет? Ну, там, регламент ИБ, распоряжения правительства, етс? Что не на всех предприятиях не у всех сотрудников должен быть доступ к чему-то большему, чем whitelist? Что есть системы контентной фильтрации в детских учреждениях? Что бывает и так, что канал 1 мбит со спутника и лаг 0.5 сек, и тут каждый левый скрипт и левый сайт — это тормоза для всей организации?
                                                                            0
                                                                            Чем легче возможность блокировки, тем чаще она будет применятся.

                                                                            На моц взгляд — блокировок не должно быть нигде.

                                                                            В случае с работой, чаще всего используется два варианта — Интранет только или Интранет + интернет, при наличии дорогих комплексов по расшифровке трафика — продвинутые списки и анализ по ключевым словам.

                                                                            Собственнл эволюция протоколов к тому и ведёт, при попытке какой-либо блокировки с большой долей вероятностью заденет ещё неизвестно сколько лишнего, и это прекрасно, цену атаки нужно повышать.

                                                                            Вашу позицию по допустимости блокировок я понял, продолжать смысла не вижу.
                                                                              +1
                                                                              Спасибо за ликбез, конечно, только я лучше вас знаю, какие варианты используются на работе. Но то, что фильтрацию на работе/в школе и контентную фильтрацию в детских учреждениях вы упорно продолжаете называть атакой — это в мемориз, однозначно.
                                                                                0
                                                                                А что же это тогда как не MITM?

                                                                                  +1
                                                                                  Это называется «фильтрация». Но если вам больше по душе термины с негативными коннотациями для восстановления душевного равновесия и повышения градуса пафоса — пользуйтесь на здоровье.
                                                                                    +1

                                                                                    а почему, собственно, это не должно характеризоваться терминами с негативной коннотацией, если оно таковым и является?
                                                                                    Любые попытки "внешней" цензуры, даже из благих побуждений — зло и предмет злоупотребления. И при лёгкой экстраполяции превращаются в текущий ахтунг, творимый роскомнадзором.


                                                                                    Правильно не резать весь контент в школе, а учить детей ИБ на уроках информатики. И объяснять какой контент плохой, а какой — нет.
                                                                                    Правильно не резать фейсбук-гугл-whatever всем подряд на работе, а прописывать в трудовом договоре запрет на использование соцсетей не для работы в рабочее время.


                                                                                    // И да, чтобы не было попыток ответов в стиле "спердобейся":
                                                                                    1) директор-IT-фирмы-кун
                                                                                    2) отец-троих-детей-кун

                                                                                      0
                                                                                      >Правильно не резать весь контент в школе, а учить детей ИБ

                                                                                      А еще правильно не запрещать наркотики, а учить детей наркобезопасности. А сами наркотики надо разрешить, потому что запрет наркотиков — зло и предмет злоупотребления.

                                                                                      >Правильно не резать фейсбук-гугл-whatever всем подряд на работе

                                                                                      А кто сказал, что всем подряд? Да и даже если всем подряд? Ситуации бывают разные, компании разные, уровень секретности разный, ширина канала разная. Откуда в вас эта тяга свое видение считать истиной в последней инстанции — непонятно.
                                                                                        0
                                                                                        А еще правильно не запрещать наркотики, а учить детей наркобезопасности.

                                                                                        Истинно так.


                                                                                        А сами наркотики надо разрешить,

                                                                                        не так. Не "разрешить", а "не привлекать к ним внимание усиленными попытками запретить".


                                                                                        Во-первых, наркотики от лекарств отличаются, в большинстве, только дозировкой.
                                                                                        Во-вторых, любые попытки "полного запрета" чего-либо всегда бьют больше по честным людям (см. наличие "марганцовки" в аптеках или возможность купить спирт для протирки печатных плат).
                                                                                        В-третьих, если вы не будете объяснять ребёнку вред наркотических веществ, а просто тоталитарно молча запрещать — он всё равно их "попробует" так или иначе.
                                                                                        И вам очень повезёт, если не за гаражами с местной гопотой.


                                                                                        потому что запрет наркотиков — зло и предмет злоупотребления.

                                                                                        Истинно так. И открыв новостную хронику и найдя любую новость про приключения сотрудников госнаркоконтроля вы можете прекрасно в этом убедиться.




                                                                                        Теперь про корпоративные ограничения:




                                                                                        А кто сказал, что всем подряд

                                                                                        Это типа "я директор/админ, а вы все говно и недостойны"? Ну, таких даже не жалко, если они потеряют возможность так делать.


                                                                                        Ситуации бывают разные, компании разные, уровень секретности разный, ширина канала разная.

                                                                                        Кто-то с этим спорит?
                                                                                        Более того, выше озвучивался правильный вариант построения сети для компаний с повышенным уровнем секретности или узким каналом в интернет: интранет-онли. И, если уж очень нужно — один (или несколько) компьютер без доступа в интранет, но с доступом в интернет. Собственно, если честно, то, на самом деле, именно так и делается в серьёзных компаниях с высокими требованиями ИБ в связи с "секретностью" (наименования называть не буду чтобы не разглашать аффилированность с ними).


                                                                                        И при малой ширине канала (без повышенной секретности) — всё прекрасно решается на административном уровне.


                                                                                        Откуда в вас эта тяга свое видение считать истиной в последней инстанции — непонятно.

                                                                                        Переадресую этот вопрос вам, т.к. я выше обосновал минимальную субъективность своего взгляда, в то время как вы такового не сделали и ваша точка зрения наоборот выглядит более субъективной нежели моя.

                                                                                          0
                                                                                          >не так. Не «разрешить», а «не привлекать к ним внимание усиленными попытками запретить».

                                                                                          Так вы согласны или нет с тем, чтобы в городах продавали ассортимент наркотиков — спиды, марки, герыч, галлюциногены? Без рекламы и без возрастных ограничений?

                                                                                          >ваша точка зрения наоборот выглядит более субъективной

                                                                                          Вся дискуссия началась с фразы shifttstas «блокировок не должно быть нигде». Моя точка зрения — фильтрация допустима, если того требуют обстоятельства. С чем вы спорите, соглашаясь со мной — не очень понятно.
                                                                                            –1
                                                                                            Нет смысла иметь ограничение которое работает очень плохо. Как уже выше озвучили — ограничение должно быть административное, в случае со школами, смысла в запретах нет никакого, ребёнок на телефоне/дома/у друзей всё посмотрит что ему нужно.
                                                                                              0
                                                                                              В случае со школами государство выполняет свою часть общественного договора по защите детей. То, что родители не исполняют свою часть, говорит не о «плохой работе», а о том, что родители — долбоклюи.

                                                                                              Причем когда дитятко вдруг подсаживается на таблетосы или пытается порезать себе вены — что-то никто не говорит «Да, я мудак», все гневно смотрят в сторону государства — чаму, мол, не обеспечило безопасностью наших детей, не воспитало их правильно, за что мы налоги платим, кококо.
                                                                                        –2
                                                                                        И добавлю, если очень хочется фильтровать — есть расширения которые прекрасно с этим справятся, а их иконка будет говорить пользователю — что фильтрация есть.
                                                  0
                                                  Проблемы в мобильных сетях — надуманы и могут возникать только в плохих сетях (пинги больше 100 и плохим jitter) когда на горизонте маячит 5G с пигами 5 мс а почти везде есть 4G с пингами менее 50

                                                  И что у вас в 4G не бывает reorderingа пакетов
                                                  А именно в этом случае имплементация Гугла сливает TCp

                                            0
                                            и не только, уже писали о «закостенении» TLS что тормозит обновление криптографии в вебе, впиливание криптографии в протокол от google — скорее всего вызовет его часто обновление QUIC 1/2/3.84 И так далее, и на каждой смене может менятся часть отвечающая за шифрование, что вкупе с первичной кардинальной сменой протокола, заставит привыкнуть к частым обновлениям не только пользоваетелей браузера, но и держателей сервера. Что в конечном итоге повысит суммарную безопаснось.
                                              +1
                                              Интересно вы придумали решить проблему закостенения, объединив два стандарта в один. Теперь они будут друг друга тормозить и зависеть друг от друга, а, как известно, транспортный уровень обновляется очень медленно. Зато TLS вполне себе исправно выпускает новые версии, постоянно улучшая безопасность, и ни от кого не зависит. Решаем проблему, делая еще хуже.

                                              Не место криптографии в транспортном уровне. Как минимум, стоит выносить эту часть протокола в отдельный стандарт или полностью переиспользовать TLS (что, собственно, QUIC похоже и делает), чтобы он мог влить в себя поддержку QUIC и продолжать развиваться независимо от него. DTLS и так есть, почему бы его не взять за основу handshake QUIC и не выдумывать велосипеды. Собственно, я тут похоже не одинок, нагуглил черновик именно такого предложения от мозилы. Мол, DTLS 1.3 дает тот же самый профит скорости подключения в отличии от DTLS 1.2.

                                              И даже в этом случае нужно будет задуматься о последствиях включения TLS прямо в транспортный протокол. Если этот кусок протокола будет постоянно обновляться, то что делать промежуточным узлам, которые на этом уровне свои задачи выполняют? Глупо ожидать, что они будут на новых версиях этого QUIC. Он и так создает новые проблемы тому же ECMP.
                                                0

                                                Не могу сказать, что TLS обновляется быстро, проникновение последней версии — низкое, а все из-за разрозненных настроек, tls отдельно, http/2 отдельно, я догадываюсь, в случае с quic будет список шифров для использования без возможности модификации (что было бы логично) и при обновлении веб-сервер — автоматически список будет обновляться, без какого либо действия со стороны администратора...


                                                А кто такие — промежуточные узлы?

                                                  +1
                                                  Относительно остальных протоколов его уровня распространения — быстро. Именно из-за гибкости самого протокола. Обновил свои фреймворки, библиотеки, подкрутил может минимальную версию и забыл. Протокол сам договорится, какую ему версию использовать.

                                                  Список шифров, автоматическое обновление… Речь о правках самого протокола. Они неизбежно будут, а с этим пойдут теже самые проблемы, когда весь софт надо обновить, чтобы он поддерживал новую версию, а протокол поддерживал обмен версиями, чтобы договориться о том, что поддерживают обе стороны. Можно конечно захардкодить туда один cipher suite нынешнего TLS, но только такое никто не примет. Это вон внутри гугла такое прокатит. Собственно, от QUIC за версту веет именно почерком гугла — сделать все по-своему, переизобрести половину по-пути, и доказывать, что и все остальные так же жить должны. Эта культура просачивается и в другие их продукты. За тем же Go наблюдаешь и точно так же видишь как внутренняя кухня гугла диктует дизайн. И кухня эта совсем не ложится на мир вокруг.

                                                  Да кто угодно. Прокси, свитчи, роутеры. Все, кто лезет на этот уровень сетевой модели и пытается решать какие-то свои задачи. Сейчас у них есть TCP, который один на всех и не меняется. А с QUIC им что делать, когда неизбежно начнутся правки, потому что какой-то новый шифр или оптимизацию не сделать без правки протокола? Переносить всю эту нестабильность на такой низкий уровень это фейл.
                                                    0
                                                    А давно свичи и роутеры лезут в HTTP/TLS?

                                                    Собственно говоря делать им там нечего, ни свичам ни тем более прокси, смысл то в шифрованной E2E трубе. А роутеры, кстати, как им привычно, будут с UDP работать.

                                                    А почему фейл то? Letsencrypt приучил всех раз в пару месяцев обновлять сертификат на сервере (чаще всего в автоматическом режиме) quic приучит устанавливать новый релиз протокола каждую неделю/месяц.
                                                      +1
                                                      Они давно лезут в TCP, а QUIC это именно его замена и вынос всей этой логики на уровень выше. Значит придется лезть в QUIC, чтобы искать где у него там сессии и трекать их состояние. Чтобы это все взлетело, протокол должен быть стабильный как сейчас TCP.

                                                      quic приучит устанавливать новый релиз протокола каждую неделю/месяц.

                                                      Хорошая шутка, да. Пойду обновлю версию TCP что ли.
                                                        0
                                                        Сравнивать его с TCP не совсем корректно, он работает поверх UDP. Собственно свичи и будут оперировать UDP.

                                                        И кстати, трекать сессии так же не выйдет, это тоже зашифровано.
                                                          +1
                                                          Им вполне может понадобиться поток, а не порты, которые могут меняться как вздумается, что в QUIC сразу и задумывается. Для этого и подойдет connection ID, который летает в открытом виде. В открытой части пакетов никто его не шифрует. Да и при хэндшейке он в любом случае в открытом виде будет.
                                                            0
                                                            Так это может понадобится только для load balancing, но никак не свичам/роутерам
                                                              +1
                                                              ECMP на свитчах реализуется, и они лезут на этот уровень, т.к. им важно сохранять постоянство маршрута для логического потока данных. Роутерам для NAT может понадобиться. Любому фаерволлу это нужно будет, чтобы состояния трекать. Если QUIC превращается в настолько базовый протокол, то все это так или иначе понадобится.
                                                                0

                                                                А зачем сохранять постоянство маршрута в случае quic?

                                                                  +1
                                                                  Подозреваю, что затем же, зачем это делается для TCP. Чтобы не портить порядок пакетов на ровном месте. Собственно, то, что похоже на QUIC сказывается еще хуже, чем на TCP.

                                                                  Но даже если мы опустим ECMP как довольно специфическую штуку, у нас остаются наты, фаерволы и все что угодно, что хочет контролировать состояние этой самой QUIC сессии. Ожидать, что вся эта связка так вот просто будет обновляться, глупо.
                                                                    –1

                                                                    Но тот же телеграмм голос в случае P2P шлёт своим протоколом через UDP, и ничего, на проблемы как то никто не жалуется

                                                                      0
                                                                      И? При чем здесь какой-то левый протокол на UDP? Во-первых, VoIP плевать на порядок и целостность. Ему все равно как, по какому маршруту, сколько пакетов потеряется. Как дойдет так и дойдет. QUIC же заткнется в момент, если в сети будет плохо. Во-вторых, на него всем плевать, а QUIC, если примут как HTTP3, станет неотъемлемой частью сетевого стека, а значит всем придется внедрять его поддержку, считаться с логикой его работы, парсить его пакеты и пытаться выудить оттуда информацию какую-то. В этих условиях речи о динамично развивающемся протоколе быть не может. И скорее всего тот самый connection ID придется слать в каждом пакете в открытой его части, а не как сейчас — хрен знает по какой логике какие-то пакеты его содержат, а какие-то нет.
                                            +1
                                            Расскажите, можно ли (и как) это поднять на апаче?
                                              0

                                              Версии 1.3, надеюсь? ;-)

                                              +2

                                              Не очень понимаю, зачем все переносить на UDP?
                                              Есть протокол SCTPStream Control Transmission Protocol, который как раз должен нормально подойти под этот вариант. В двух словах — "надежный UDP": протокол ориентированный на сообщения, с гарантией доставки, но без гарантии порядка. Вместо коннектов, есть ассоциации — фактически несколько одновременных коннектов через разные интерфейсы/адреса между хостами.
                                              Для веб TCP дает слишком жесткие гарантии — гарантию порядка, которая вебу не нужна, но за которую приходится платить на плохих нестабильных сетях ненужными перепосылками, снижение скорости и пр.
                                              Для веб не важно, в каком порядке загрузятся картинки на странице, важно, чтобы они все дошли.

                                                0
                                                Они на разных уровнях сетевой модели лежат. QUIC как-то проще принять, все таки знакомый UDP. С другой стороны, можно было попробовать перетащить SCTP реализацию поверх UDP. Готовых драйверов полно.
                                                +1

                                                Если есть желание поиграть с негугловым QUIC. Есть реализация без использования либ от хромиума https://github.com/lucas-clemente/quic-go
                                                Пример эхо сервера и клиента — https://github.com/lucas-clemente/quic-go/blob/master/example/echo/echo.go
                                                Вот где взять нормальный клиент, чтобы удобно смотреть? Chromium?

                                                  0
                                                  Вот как раз и пытаюсь поиграться — клиент из репозитория работает, но хром упорно пишет «ERR_CONNECTION_REFUSED».
                                                    0

                                                    Эти реализации как раз сильно разные и несовместимые.
                                                    Увы, негуловый quic-браузер я пока не видел.

                                                  0
                                                  У меня в первую очередь возникает один вопрос: зачем поверх UDP? Мы говорим что TCP плохо и его надо заменить. Ну так и меняйте как ещё один протокол над IP. Любят же они городить стек решений по принципу: решение А плохое, напишем решение Б поверх решения А, а не вместо него. Это как-бы главное.

                                                  А так, последнее время любая инициатива Гугла — та ещё дрянь. Кажется они там в гугле решили что гугл и HTTP это и есть весь интернет.
                                                    –1

                                                    Предположу, что бы не ждать реализации в свичах, т.к все что ниже UDP/TCP требует доработки на железе которое ох как медленно дорабатывается и обновляется, пример — IPv6

                                                      0
                                                      Есть свитчи не поддерживающие IP?
                                                        –1
                                                        V6 — да
                                                          0
                                                          А они UDP/IP6 при этом поддерживают?
                                                        0
                                                        Хм… лично мне кажется что если проблема фундаментальная, то решать её надо фундаментально, а не «тяп-ляп и в продакшен». А вот спешка в стиле «да мы в юзер-спейс реализуем то, что должно быть в ядре» ничего хорошего в долгосрочной перспективе не принесёт.

                                                        Другое дело что Гугл, кмк, просто хочет сделать всё по своему (а для фундаментального решения нужна работа с и учёт интересов всех заинтересованных групп) и как ему удобно. Вот только при этом он пытается продавить это как якобы «стандарт интернета». Хотя стандарт должен быть для всех (в том числе разработчики железа, разработчики ОС, разработчики софта, администраторы сетей), а не только для крупных интернет компаний определённого профиля.
                                                          0

                                                          Я думаю его и в ядро включат со временем...

                                                        +1
                                                        TCP и UDP уже есть и они вполне ходят. В большинстве сетей левые протоколы просто режутся. Если создавать новый протокол, то это потребует не только реализации с доступом к сетевым интерфейсам ОС, но и того, чтобы банально пакеты не резались и проходили все уровни NAT. С UDP за много лет это научились худо-бедно добиваться, а вот с другим протоколом это будет очень сложно.

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое