Новый протокол ODoH скроет от интернет-провайдеров посещаемые пользователями сайты

Новый протокол ODoH скроет от интернет-провайдеров посещаемые пользователями сайты

Разработанный Cloudflare и Apple протокол отвязывает DNS-запрос от пользователя, и DNS-резолверу не видно, какой сайт он посещает.

Инженеры Cloudflare и Apple создали новый интернет-протокол, призванный заполнить один из серьезнейших пробелов в интернет-безопасности, о существовании которого многие даже не догадываются. Протокол, получивший название Oblivious DNS-over-HTTPS или сокращенно ODoH, существенно усложнит интернет-провайдерам процесс отслеживания активности пользователей в Сети.

При каждом посещении пользователем сайта в интернете браузер с помощью DNS-резолвера конвертирует web-адрес в IP-адрес, по которому находит запрашиваемую страницу в интернете. Однако этот процесс не шифруется, а значит, при каждой загрузке сайта DNS-запрос отправляется в открытом виде, и DNS-резолвер (интернет-провайдер, если пользователь не выбрал другой DNS-резолвер) может видеть, какой ресурс посещается.

Новые протоколы наподобие DNS-over-HTTPS (DoH) шифруют DNS-запросы, затрудняя злоумышленникам процесс их перехвата и переадресации пользователей на вредоносные сайты вместо легитимных. Однако DNS-запросы все равно видны интернет-провайдерам, которые могут продавать историю браузера рекламодателям и другим заинтересованным лицам.

Представленный инженерами Cloudflare и Apple протокол ODoH базируется на предыдущих разработках специалистов Принстонского университета. Если говорить коротко, ODoH отвязывает DNS-запрос от пользователя, и DNS-резолверу не видно, какой сайт он посещает.

Как это работает? ODoH заворачивает DNS-запрос в слой шифрования и отправляет его через прокси-сервер, играющий роль промежуточного звена между пользователем и запрашиваемым им сайтом. Поскольку DNS-запрос зашифрован, его содержимое не видно прокси-серверу. В то же время прокси-сервер выступает своеобразным щитом, который не позволяет DNS-резолверу видеть, кто изначально отправил DNS-запрос. Другими словами, отправившего запрос пользователя знает только прокси-сервер, а DNS-резолверу известен только запрашиваемый сайт.

По словам разработчиков, на скорость загрузки страниц ODoH практически не влияет.

Несколько партнерских организаций уже используют прокси-серверы, позволяющие некоторым пользователям уже использовать новую технологию через существующий DNS-резолвер Cloudflare 1.1.1.1. Но большинству придется подождать, пока ODoH не будет встроен в браузеры и операционные системы. На это могут уйти месяцы или годы, в зависимости от того, сколько времени потребуется на сертификацию ODoH в качестве стандарта Инженерным советом интернета.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий