Inlägg

Håller på och drar lite nätverkskablar till en patchpanel. Inkommande nät termineras i en dosa med plats för två pluggar, men det är inte vanlig keystone.

https://i.postimg.cc/DfQ0m6qm/20220810-151710.jpg

Bilden visar en vanlig keystone längst ner, men är det någon här som vad heter den övre är för något? Hittar ingen märkning annat på dosan som är en vanlig Elko.

Folk har starka åsikter om H3, det hade folk även om ESNI och DoH. Men helt ärligt hade folk starka åsikter när allt började gå mot SSL/TLS och perfect forward secrecy var ett faktum. Det blev svårare att se exakt vad folk gjorde på internet. Om man nu behöver och har legitima skäl att övervaka vad folk gör på internet så kan man lösa det på andra sätt. Kryptering kommer nog inte försvinna.

Om du inte har koll så "läcker" H1/H2 domännamnet okrypterat som man besöker via SNI när man sätter upp TLS. Även DNS läcker vilka domännamn du besöker. Detta är bland annat hur IPS/IDS/DPI funkar idag. Se https://blog.cloudflare.com/encrypted-sni/

Men att H3 byter till UDP har ju lite andra typer av implikationer än bara kryptering. Om det faktiskt blir bättre i alla lägen återstår väl att se, även om google använt det länge. Men en brandvägg bör ju inte ha några tekniska problem med det direkt, faktiskt därför UDP valdes och inte nått mer exotiskt.

Allt går väl att använda åt olika saker. Men att kunna vara säker på att en och samma användare går från 4G till wifi är helt klart ett use case som behövs när det kommer till säkerhet. Att spåra vad folk har för IP på sitt internet har gjorts sen internet kom och kommer nog inte försvinna på länge.

Kör du någon brandvägg på ditt nätverk som har funktioner som fungerar på TCP-trafil med TLS, men inte funkar på QUIC-trafik?

Tips: Om du inte vet är svaret nej.

Och i så fall bör du sluta blockera de portarna, QUIC har en del prestandafördelar som du går miste om genom att blockera det.

Jag får erkänna att jag inte är superinsatt, det här är mer ett hobbyintresse än något jag måste kunna perfekt för mitt jobb...

Först och främst: QUIC är designat så att man (webbservern) kan spåra användare när de byter nätverk, förutsatt att webbläsaren inte startas om. Perfekt för att kunna mappa din mobiltelefon till ditt hemma-IP-nummer alltså och förstå vilken användare som finns bakom även om du senare byter till en annan enhet på hemmanätverket.

Dessutom: Som jag förstår det är det mycket svårt att blockera QUIC. En webbserver meddelar klienten om var dess QUIC-tjänst (HTTP/3) finns genom Alt-Svc-headern. Denna header innehåller ett portnummer som alltså kommer att användas för UDP-trafiken som QUIC kör över. Eftersom detta portnummer kan vara vilket giltigt portnummer som helst (inte bara 80, 443) så måste man spärra all UDP-trafik för att spärra QUIC. Och att spärra all UDP-trafik kommer att skapa massor av problem.

QUIC går över UDP som går över IP. Ovanpå QUIC kan man köra HTTP/3. Som jag förstår det är HTTP/3 rätt OK, det råkar bara bo ovanpå ett protokoll som har egenskaper som inte är direkt önskvärda.

För att brandväggar ska kunna inspektera innehållet i krypterad trafik (inklusive QUIC) måste de göra en man-in-the-middle-attack på den TLS-krypterade trafiken. Det är inget som skiljer sig principiellt oavsett om man kör HTTP/1.1, HTTP/2 eller HTTP/3 som jag förstår det. Däremot så krävs det förstås lite ny teknik och brandväggsstöd för att göra det över QUIC, det gamla stödet för TCP+TLS duger inte. Därmed är det svårare än någonsin att genomföra sådan inspektion i praktiken. Det har alltid krävt att man kan installera sitt eget rotcertifikat på klienten, så att man i brandväggen i realtid kan utfärda en fejkad version av sajtens certifikat, signerat av ens eget rotcertifikat.

Google för ett aktivt krig mot inspektion och manipulation av trafik mellan deras tjänster och klienterna. Syftet är förstås att det ska bli svårt att upptäcka och hindra spårning och reklamöverföring. Medlet de använder är webbstandarder som de pushar och sin dominans på webbläsarmarknaden. Än så länge är det teoretiskt möjligt att styra trafiken man är ena ändan av, men de flesta orkar/kan förstås inte sätta sig in i detta (jag är en av dem som inte orkar). Och det är redan helt omöjligt på enheter som man inte har administrativ access till, till exempel TV-apparater och många mobiltelefoner. Andra exempel på det kriget är DNS-över-HTTPS och testballongerna man skjutit upp för att ändra i API:erna i Chrome/Chromeium för att hindra att annonsblockerare ska fungera. TLS 1.3 gör det även svårare att genomföra MITM-attacker, men jag minns inte de exakta detaljerna.

En nyligen släppt video om just detta : https://www.youtube.com/watch?v=cdb7M37o9sU

HTTP3 har varit igång hos de stora aktörerna Googel, Microsoft och amazon i över 6 månader (kanske ännu längre) och ska inte påverka brandväggen nämnvärt. Saknas stöd för QUICK så hanteras väl trafiken som tidigare, dvs syn/ack för TCP, TLS och HTTP separat i stället för på en och samma gång.

Är det censur att ta bort olagligt innehåll? Menar du att olagligt innehåll strider mot yttrandefriheten eller vad?
Kan du utveckla ditt resonemang?

Jag kan tänka mig att det ofta är svårt att lagföra personer som lägger upp olagligt innehåll - är det inte vettigare att det innehållet försvinner istället som en sekundär åtgärd för att bevisbördan är svår att avgöra?

Jag vill inte att mina barn i framtiden ska se knarkannonser på instagram, snapchat och facebook etc om de nu kommer syssla med sociala medier. Så jag klappar händerna för att kriminellas försäljningsintressen och övriga agendor censureras stenhårt.
Det är väl heller inget fel att säljare på Amazon måste tala om vilka de är? Tänk om vissa är försäljare av stöldgods? Man kan ju undra ibland, speciellt på amerikanska amazon hur vissa kan lägga sig så lågt i pris som de gör… värt en fundering.

Som sagt utveckla gärna.