HTTP/3 προ των πυλών, εμπνευσμένο από Google

[mader]

Στις 18/11/2018 στις 11:49 ΠΜ, EuphangeL είπε

Γιατί ως γνωστόν, σε mitm περιπτώσεις, τα υποκλέβεις τα πακέτα βουτώντας τα. Τα κάνεις δικά σου, τα εξαφανίζεις. Δεν φτάνουν ποτέ στον παραλήπτη. Γιαυτό έχει πολυ μεγάλη σημασία στην αποτροπή υποκλοπών. το εχεις δει στην πράξη, τι να λεμε τωρα//

😂Τι Βαλκάνιοι είστε εσείς, φίλοι μου; Γιατί τέτοια κατάντια αυτό το έθνος ακόμα και σε engineering think tanks?

Πόσες γενιές πρέπει να ψοφολογήσουν για να γίνει το reset? Νόμιζα οτι θα ξεμπερδεύαμε σε 5-10 χρόνια

Καταλαβαίνεις την έννοια της σύμπτυξης; Καταλαβαίνεις την διαφορά 50 TCP handshakes vs 1 QUIC handshake per endpoint? Αν είσαι τόσο low functioning που δεν κουδουνίζει τίποτα στην λογική σου αυτό, άνοιξε έναν Chrome με 10 Google services tabs και πήγαινε στο chrome://net-internals/#quic

Άχου μωλέ μωλέ. Ο author ενός packet sniffing / reporting solution κλαψουρίζει επειδή του χαλάνε την μπίσνα. Δεν θα μπορούν οι Men in the middle να κάνουν inspect το traffic, όπως για παράδειγμα να δουν αναλυτικά την λίστα με τα YouTube video που παρακολούθησε κάποιος. Κλαψ.. τι κρίμα, κακό QUIC protocol

 

, να σε πληροφορήσω οτι εχεις λάθος και δεν εισαι η μετεμψύχωση του Στιβεν Χ.

Μαθε λιγο, κανε το πράξη και μετα μιλάς (και μαλιστα τοσο ειρωνικά) . Ελα και μια βολτα απο εδω για 2-3 χρονάκια μεταπτυχιακό - πρακτικη.

 

οσο για την MiTM το ARP spoofing το εχεις ακουσει ποτε στο καφενειο σου; ή το packet injection (ναι παει και στα αυτοκινητα  χαχαχαχ) Session Hijacking?

ασε... ψιλα γραμματα για σενα....

 

 

[Επισκέπτης]

@mader Πετάς όρους δεξιά κι αριστερά χωρίς να δίνεις μια τεχνική ανάλυση του τι εννοείς. Ακόμα κι αν κάποιος θέλει να δει την κριτική σου καλοπροαίρετα δεν καταλαβαίνει τι ακριβώς θες να πεις.

[Paladin-}LoA{-]

10 ώρες πριν, orgixmh είπε

έτσι είναι, το udp είναι όπως το γράφεις fire n forget (θα στο κλέψω btw  ), αυτό όμως δεν σε αποτρέπει από το να χτίσεις ένα πρωτόκολλο πάνω στο udp.
H google αυτό πάει να κάνει και το άρθρο αυτό γράφει, στην πραγματικότητα το udp είναι αρκετά γρηγορότερο από το tcp και αν σχεδιάσεις ένα πρωτόκολλο πάνω στο udp που να κάνει τους ελέγχους του tcp με λιγότερα πάνε-έλα τότε έχεις πετύχει καλύτερο latency.

Μπορείς να πάρεις σαν παράδειγμα τα games, πχ ο game client του league of legends παίζει στις πόρτες 5000-5500 udp και γενικότερα τα περισσότερα games που απαιτούν γρήγορη απόκριση παίζουν σε udp και για τα χαμένα πακέτα κάνουν erasure.

Σχετικά με το έλεγχο των πακέτων κατά την μεταφορά τους μέσω udp υπάρχουν "κόλπα" όπως το longhair όπου μπορείς να "μαντέψεις" τα περιεχόμενα του πακέτου που χάθηκε διαβάζοντας τα υπόλοιπα πακέτα.

Από την δική μου οπτική γωνία το tcp είναι ασφαλές πρωτόκολλο μεταφοράς δεδομένων τύπου plug n play που μαζί του φέρνει καθυστέρηση λόγο των ελέγχων που κάνει, αντίθετα το udp σου δίνει την ελευθερία να δημιουργήσεις τους ελέγχους που εσύ θέλεις.

Δεν γράφουμε κάτι διαφορετικό. Συμφωνούμε ως προς τη φύση του UDP. Το θέμα είναι ότι μέχρι σήμερα είχε συγκεκριμένες χρήσεις non-business related (ή καλύτερα non-critical) , όπως streaming, games όπως λες etc. Για να καταφέρεις να καθιερώσεις UDP σε τέτοια χρήση, έχεις άμεση εξάρτηση και από την ποιότητα της γραμμής μεταξύ server και client. Υποθέτω ότι για να το καταφέρουν ίσως να εισάγουν στο header των πακέτων κάποια ένδειξη που να δείχνει πχ. όχι μόνο ποιο είναι το τελευταίο πακέτο, αλλά και να δίνει ίσως και κάποιο ID στα υπόλοιπα έτσι ώστε ο client να ξέρει αν λείπει κάποιο. Και αν λείπουν πακέτα, με predictive analysis μπορείς να αντικαταστήσεις μόνο συγκεκριμένα, πάντα σε business related transactions. Δεν αμφιβάλλω για τις ικανότητες των μηχανικών της Google. Πιο πολύ σκέφτομαι την ποιότητα των γραμμών σε υποδεέστερες τεχνολογικά χώρες που θα συνεπάγεται σε requests του client για τα χαμένα πακέτα μέχρι το checksum να είναι ΟΚ. Αναμφίβολα πάντως οι μηχανικοί της Google δεν έχουν αυτές τις χώρες στο μυαλό τους όταν κάνουν develop το HTTP 3.0 Υποθέτω πάντως ότι θα μπορείς να έχεις web server που στο negotiation με τα clients να μπορείς να καθορίσεις και εσύ και ο client ποιο πρωτόκολλο θα χρησιμοποιηθεί. ☺️ Οπότε αν η γραμμή σου είναι μάπα το γυρνάς σε TCP based. Ενδιαφέρον πάντως το όλο εγχείρημα...

Επεξ/σία 18 Νοεμβρίου 2018 από Paladin-}LoA{-

[mader]

5 λεπτά πριν, elorant είπε

@mader Πετάς όρους δεξιά κι αριστερά χωρίς να δίνεις μια τεχνική ανάλυση του τι εννοείς. Ακόμα κι αν κάποιος θέλει να δει την κριτική σου καλοπροαίρετα δεν καταλαβαίνει τι ακριβώς θες να πεις.

Eχεις δικιο, δεν μπορώ ομως να γράφω ολόκληρη έκθεση καθε φορα για τα αυτονόητα. Στο τελος θα τρυπήσει το ταμπλετακι μου...

[Επισκέπτης]

48 λεπτά πριν, EuphangeL είπε

Άχου μωλέ μωλέ. Ο author ενός packet sniffing / reporting solution κλαψουρίζει επειδή του χαλάνε την μπίσνα. Δεν θα μπορούν οι Men in the middle να κάνουν inspect το traffic, όπως για παράδειγμα να δουν αναλυτικά την λίστα με τα YouTube video που παρακολούθησε κάποιος. Κλαψ.. τι κρίμα, κακό QUIC protocol

To πρόβλημα δεν είναι η λίστα των youtube videos, αν διάβασες τα 3 link που παρέθεσα σχετικά με το τρέχων status του QUIC. Υπάρχουν προβλήματα ακόμη που και οι ίδοι παραδέχονται πως υπάρχουν (πχ NAT, ECMP && Load Balancing, UDP amplification/reflection attacks, etc) ενώ κάθε υλοποίηση έχει διαφορετικές κατευθύνσεις για την λύση τους (gCUIC vs iQUIC πχ στο header compression στο multiplexing κομμάτι). Το γεγονός πως σχεδόν όλα τα (γνωστά μεγάλων κατασκευαστών) firewalls, δεν καταλαβαίνουν το xQUIC με συνέπεια να το κάνουν drop μάλλον σου είναι αδιάφορο...ενώ το να μήν έχεις inspection σε web traffic και να περνάνε τα πάντα απο το Internet πρός το δύκτιο σου είναι προφανός enterprise feature. Όπως το να σου κάνει saturate το link τα μεγάλα UDP πακέτα καθώς θα σερφάρεις (και δεν θα μπορείς ας πούμε να κάνεις RED/WRED) για να βλέπεις απλά να φορτώνουν κάποια components μιας σελίδας πιό γρήγορα. 

Ακόμα δεν έχουμε πάει σε πλήρη υιοθέτηση του HTTP/2 ενώ απο bandwidth υπάρχει πάρα πολύ διαθέσιμο (και χρησιμοποιήται εδώ και χρόνια σαν λύση στο θέμα....και μια χαρά μου κάνει μαζί με HTTP/2 για αρκετό καιρό ακόμα):

-- https://www.cloudflare.com/website-optimization/http2/

 

 

[defacer]

12 hours ago, fg9000 said:

Χαχαχαχα γελάνε και τα  mac address tables στα switch .

Αναθεμα και αν κατάλαβες τι έχεις μεταφράσει και τι έχεις γράψει ως απάντηση, μαθε πρώτα τι είναι τα protocols και μετά «αναλύεις» μεσω google translate. Χαχαχαχα 

Casa de arloubacion!!!

Μακάριοι οι πτωχοί τω πνεύματι.

12 hours ago, elorant said:

Γιατί δεν χρησιμοποιούν το SCTP;

Solves a different problem.

[EuphangeL]

2 ώρες πριν, mader είπε

οσο για την MiTM το ARP spoofing το εχεις ακουσει ποτε στο καφενειο σου; ή το packet injection (ναι παει και στα αυτοκινητα  χαχαχαχ) Session Hijacking?

🤔🤔Στα 2 από τα 3 που πέταξες, το QUIC από την φύση του αποτελεί extra αποτρεπτικό παράγοντα λόγω εγκαθίδρυσης encryption σε 1 layer πιο πάνω. Το ARP spoofing δεν έχει καμία σχέση με το layer που συζητάμε, το οποίο είναι below that, το κατανοείς αυτό, σαν επαγγελματίας, σωστά ;

Το καλό με τα forum είναι οτι τα λεγόμενα είναι γραπτά και με χρονολογική σειρά, οπότε κανένας πουθενάς δεν μπορεί να αποχωρήσει νομίζοντας οτι ξέρει τι λέει. Enjoy it. Ίσως υποσεινήδητα αυτό σε παρακινήσει να κάτσεις να βάλεις την πληροφορία που έχεις στο κεφάλι σου στη σειρά, βγάζοντας άκρη. Εύχομαι μόνο μην σου γυρίσει boomerang στον χώρο εργασίας σου και κάποιος πελάτης πονέσει.

[Retromaniac]

Διαβάζω τους "ειδικούς" που δεν έχουν καταλάβει καν ότι το νέο πρωτόκολλο δεν τροποποιεί το udp αλλά το χρησιμοποιεί και που νομίζουν ότι η ασφάλεια των δεδομένων στηρίζεται στο acknowledgment του πακέτου.

Δεν συνεχίζω το flaming αλλά πραγματικά το τι διαβάζω ανά τα χρόνια με έχει κάνει επιφυλακτικό στον καθένα που μου πουλάει expertize ανεξαρτήτου ειδικότητας. 

[nekys]

Το QUIC της google δεν είναι κάτι νέο, αλλιώς HTTP-over-QUIC. Υπάρχει εδώ και αρκετά χρόνια. Απλά τώρα "αποφασίστηκε" να ενσωματωθεί στο HTTP/3 ενώ πριν προοριζόνταν για το HTTP/2. Εκεί που θέλω να καταλήξω, είναι πως τα τελευταία 2-4 χρόνια "ωριμάζει" και προφανώς οι τεχνικές δυσκολίες και τα ζητήματα ασφαλείας έχουν ήδη λυθεί (τουλάχιστον σε επίπεδο σχεδιάσης). Αναμένουμε.

[eliasbats]

1 ώρα πριν, nekys είπε

Το QUIC της google δεν είναι κάτι νέο, αλλιώς HTTP-over-QUIC. Υπάρχει εδώ και αρκετά χρόνια. Απλά τώρα "αποφασίστηκε" να ενσωματωθεί στο HTTP/3 ενώ πριν προοριζόνταν για το HTTP/2. Εκεί που θέλω να καταλήξω, είναι πως τα τελευταία 2-4 χρόνια "ωριμάζει" και προφανώς οι τεχνικές δυσκολίες και τα ζητήματα ασφαλείας έχουν ήδη λυθεί (τουλάχιστον σε επίπεδο σχεδιάσης). Αναμένουμε.

ΑΚΡΙΒΩΣ. Τα ειπες όλα ρε άνθρωπε σε 3 γραμμές. Το QUIC έχει δοκιμασθεί σε εκατοντάδες εκατομμύρια χρήστες εδώ και χρόνια μέσω του browser Chrome, που όταν βλέπει ότι θέλεις να μιλήσεις σε google.com ή youtube.com το γυρνάει σε QUIC για να πάει καλύτερα. Στην ουσία η Google θέλοντας να βελτιώσει τους error detection, error correction μηχανισμούς, εγκατέλειψε το TCP* και έχτισε το QUIC πάνω στο (κατά πολύ) γυμνότερο UDP, ώστε να μετακυλίσει αυτούς τους μηχανισμούς σε ανώτερο layer.

*Η εγκατάλειψη του TCP προφανώς έγινε γιατί η Google δεν μπορεί να επιβάλλει καινούριο TCP, διότι και να ήθελε θα έπαιρνε δεκαετίες μέχρι να γίνει update το TCP/IP stack σε δεκάδες λειτουργικά συστήματα (είναι σχεδόν το ίδιο πρόβλημα που αντιμετωπίζει και η διείσδυση του IPv6).

[defacer]

Παιδιά τι λέτε; Ποιο QUIC που έχει δοκιμαστεί εδώ και χρόνια; Δε βλέπετε τους έμπειρους ειδικούς εδώ στο θρεντ που μας λένε την άποψή τους για το τι πιστεύουν ότι ΘΑ κάνει η Google?

Τς τς τς.

[Επισκέπτης]

6 ώρες πριν, nekys είπε

Εκεί που θέλω να καταλήξω, είναι πως τα τελευταία 2-4 χρόνια "ωριμάζει" και προφανώς οι τεχνικές δυσκολίες και τα ζητήματα ασφαλείας έχουν ήδη λυθεί (τουλάχιστον σε επίπεδο σχεδιάσης).

Ναί προφανώς οριμάζει κα πήρε τον δρόμο για DRAFT σε IETF, μέχρι όμως να γίνει standard και να υιοθετεθεί απο vendors/industry έχει πολύ δουλειά ακόμα (αν λάβουμε στα υπόψιν αρκετές άλλες περιπτώσεις καθώς και το σχετικό impact μιας και επηρεάζει και άλλους τομείς εκτός των web servers/web clients  πχ routing/security  που δεν είναι έτοιμοι προς το παρόν). Δεν την λές και μικρή αλλάγη πώς όλο το WEB traffic του HTTP να γυρίσει απο TCP σε UDP.  Μπορεί να φαίνετε απλό αλλά δεν είναι ακριβώς έτσι. Ας πούμε για να προσαρμοστούν όλα τα modem/router όλων των συνδρομητών ανά τον κόσμο για παράδειγμα για να μπορούν να αναγνωρίζουν το QUIC ή/και να μήν έχουν πρόβλημα με NAT/proxying ή/και με το θέμα mobility βάση connection ID το οποίο εισάγει το QUIC ή και το να μπορούν να κάνουν traffic inspection στο WEB UDP traffic κλπ, ποιός θα αναλάβει το κόστος αυτό αν χρειάζεται αλλαγή h/w  πχ ? Γιατί προς το παρόν ας πούμε λές κάνω bypass το WEB traffic απο inspeciton για να "παίζει" το QUIC (και ότι περάσει πέρασε...) ή το κάνεις block και παίζεις με TCP. Το θέμα επίσης του UDP σε amplification/reflection attacks με το QUIC δεν έχει λυθεί πλήρως (απ' οτι καταλαβαίνω/διαβάζω, απλά λέγεται ότι μπορεί να μειωθεί μέχρι κάποιο βαθμό), φαντάζομαι έχεις ακούσει/διαβάσει για σχετικές επιθέσεις....

 

 

[Επισκέπτης]

Στις 19/11/2018 στις 11:25 ΠΜ, defacer είπε

Παιδιά τι λέτε; Ποιο QUIC που έχει δοκιμαστεί εδώ και χρόνια; Δε βλέπετε τους έμπειρους ειδικούς εδώ στο θρεντ που μας λένε την άποψή τους για το τι πιστεύουν ότι ΘΑ κάνει η Google?

Τς τς τς.

 

Στις 16/11/2018 στις 9:38 ΜΜ, defacer είπε

Αν δεν έχετε δουλέψει επαγγελματικά με το HTTP κατ' ελάχιστο, πλιζ μη προσπαθείτε να βγάλετε συμπέρασμα. Πολλά μίλια άουτ. Το μόνο πράγμα που διάβασα από σχόλια και που ισχύει είναι πως "προ των πυλών" σημαίνει στην πραγματικότητα "σε μερικά χρόνια βλέπουμε αν έχει προχωρήσει καθόλου η εξάπλωση".

Ένα μόνο σχόλιο, όταν λένε "πάνω στο UDP", εννοούν "πάνω στο UDP με επιπλέον custom protocol που προσφέρει error correction και άλλες απαραίτητες εγγυήσεις, απλά όχι με τον ίδιο ακριβώς τρόπο όπως στο TCP".

Πώς να το πω, είναι στατιστικά πιθανότερο συμπέρασμα πως κάποιος εδώ δεν καταλαβαίνει τι διαβάζει ακριβώς, παρά ότι αυτοί που είναι η δουλειά τους να κάνουν αυτό το πράγμα δεν ξέρουν τι πάνε να κάνουν.

Χαχαχαχα τελικά έχει δοκιμαστεί η όχι; Μια έτσι την άλλη αλλιώς.

Στις 18/11/2018 στις 2:11 ΜΜ, defacer είπε

Μακάριοι οι πτωχοί τω πνεύματι.

Solves a different problem.

Χαχαχαχ θα τελιώσουν κάποιοι το λύκειο, θα τελιώσουν το university, θα βγούν στην αγορά εργασίας και μετα το θα αναρωτιούνται γιατι δεν μπορούν να στεριώσουν σε δουλεια η γιατί η ομάδα συναδέλφων δεν συνεργάζεται μαζί τους.