Стало известно о том, что инженеры Cloudflare и Apple разработали новый интернет-протокол, который позволит повысить уровень конфиденциальности при взаимодействии с веб-пространством. Речь идёт о протоколе Oblivious DNS-over-HTTPS (ODoH), который значительно усложнит процесс отслеживания пользовательской активности при работе в интернете.
Каждый раз, когда пользователь переходит на какой-либо сайт, браузер использует DNS-преобразователь, чтобы превратить адрес веб-страницы в машиночитаемый IP-адрес для определения местонахождения ресурса в интернете. Этот процесс не шифруется, а значит, при каждой загрузке сайта DNS-запрос отправляется в открытом виде. Это означает, что DNS-преобразователь получает информацию о том, какие именно сайты посещает тот или иной пользователь. Если DNS-преобразователь не был изменён вручную, то, как правило, его роль исполняет интернет-провайдер, предоставляющий услуги доступа в Сеть. Такой подход вредит конфиденциальности, поскольку провайдер может продавать статистику посещений рекламодателям.
Недавние разработки, такие как DNS-over-HTTPS (DoH), позволяют передавать DNS-запросы в зашифрованном виде, что значительно снизило вероятность их перехвата злоумышленниками. Однако это не мешает DNS-преобразователю видеть, какие именно ресурсы посещают пользователи. В отличие от этого, ODoH отделяет DNS-запросы от пользователя и не позволяет DNS-преобразователю видеть, какие именно сайты посещаются.
Что касается нового интернет-протокола, то он не только добавляет шифрование DNS-запросу, но и передаёт его через прокси-сервер, который выступает в роли посредника между пользователем и веб-сайтом, на который он пытается перейти. Поскольку DNS-запрос зашифрован, прокси-сервер не только не видит его содержимое, но также не позволяет DNS-преобразователю видеть, кто именно отправил этот запрос.
«ODoH предназначен для разделения информации о том, кто делает запрос, и о том, что это за запрос», — сказал руководитель отдела исследований Cloudflare Ник Салливан (Nick Sullivan).
Проще говоря, ODoH гарантирует, что личность пользователя известна только прокси-серверу, а DNS-преобразователь получает данные о запрошенном им сайте. Салливан отметил, что время загрузки страниц при использовании ODoH «практически неотличимо» от DoH. Ключевым условием для правильной работы ODoH является обеспечение того, чтобы прокси-сервер и DNS-преобразователь никогда не «вступали в сговор», т.е. не находились под управлением одних и тех же лиц.
В настоящее время несколько партнёров Cloudflare используют ODoH, благодаря чему первые пользователи уже могут использовать технологию через DNS-преобразователь 1.1.1.1. Однако широкому круг пользователей придётся подождать какое-то время, пока ODoH не станет массовой технологией, поскольку для этого требуется соответствующая сертификация, а для её получения могут потребоваться месяцы или даже годы.
Источник: