Интернет 2012: революционная безопасность и скорость
Архитектура Всемирной паутины была разработана еще в начале 90-х, и сейчас она замедляет работу современных браузеров и без труда уязвима. Новые технологии помогут сделать веб-серфинг скорее и безопаснее.
Даниэль Бернштайн - революционер, который сделает Интернет быстрым и безопасным
Парочка компьютеров, исследовательская лаборатория в университете и белые головы, подобные как у Даниэля Бернштайна и Джефа Ходжеса, - на сегодня этого довольно, чтоб сделать революцию. То, над чем упорно трудятся эти люди, имеет большое значение для любого, кто желал бы сделать собственную работу в Интернете безопасной и быстрой. Они отважились взяться за устаревшие каналы передачи данных в Сети - протоколы HTTP и TCP. Предложенные ими альтернативы обязаны устранить солидные трудности и подготовить Интернет к будущему - к появлению интерактивных сайтов и все возрастающим массивам данных.
Устаревшие протоколы тормозят как каналы с пропускной способностью 100 Мбит/с, так и становящиеся все более "шустрыми" браузеры. Тоже, хакерам не составляет усилий при помощи отточенной техники кибер-атак заполучить такую ценную информацию, как, к примеру, пароли и данные кредитных карт, или завоеать власть над интернет-обозревателем пользователя. Бернштайн, Ходжес и их коллеги стремятся достичь большей безопасности и скорости передачи данных в Сети. Новые протоколы получили сокращенные наименования DNSCURVE, CURVECP, HSTS и SPDY.
Производители браузеров и особенно хостинг-провайдеры обязаны поддержать новые технологии. Отдельные большие поставщики услуг, в первую очередь компания Google, уже осознали такую потребность. Чтоб понять, по какой причине все пользователи получат выгоду от этой революции, необходимо сперва осветить трудности сегодняшних протоколов обмена информацией. Передача данных в Сети, то есть взаимодействие м/у пользователем (его браузером) и веб-сайтом, протекает в несколько строго установленных этапов, у любого из которых есть свои слабые места. Протокол TCP устанавливает соединение с веб-сайтом -на этом этапе новый протокол CURVECP призван защитить пользователя от атак хакеров. После этого информация чаще в общей сложности передается в незашифрованном виде, и с этим недостатком должен совладать протокол HSTS. Тоже передача данных по протоколу HTTP достаточно медленна. На этом этапе Google желает нарастить скорость с помощью протокола SPDY. Хотя перед тем, как связь с сайтом будет поставлена, сервер имен (DNS-сервер) должен определить IP-адрес введенного пользователем веб-адреса (URL). Протокол DNSCURVE призван лишить хакеров возможности манипулировать выдачей таких имен.
DNSCURVE: фишинга более нет
Адрес каждый интернет-страницы, называемый URL, состоит из 3-х частей - протокола (http://), доменного имени (www.ichip) и домена верх-него ур., к примеру .ru. Если пользователь задает URL в адресной строке браузера, он ждет, что веб-обозреватель отобразит именно этот сайт. Для этого браузеру нужен IP-адрес страницы, который он запрашивает у DNS-сервера. Как правило последний передает IP в незашифрованном виде, и именно тут пользователя подстерегает опасность.
Если хакеру удастся подменить этот IP-адрес, вы попадете на фишинговый сайт, который может выглядеть как реальный, однако создан для того, чтоб завладеть вашим логином и паролем. Эти атаки под названием DNS-спуфинг крайне опасны и эффективны - так, что даже могут применяться правительствами для осуществления интернет-цензуры.
Математик из университета штата Иллинойс Даниэль Бернштайн разработал технологию, которая заполучила имя DNSCURVE. Она защищает передачу доменных имен и IP-адресов путем шифровки запроса и ответа в конечных точках - в DNS-клиенте операционной системы и на DNS-сервере. Если вы вводите в адресной строке URL www.website.ru, то DNS-клиент отсылает его к серверу в виде www.123456789.website.ru. Числовое значение является так называемым публичным ключом этого асимметричного шифровки. Лишь DNS-сервер может расшифровать этот запрос, так как только ему известен соответствующий частный ключ. В обратном направлении сервер посылает IP-адрес URL с тем же методом шифровки, при этом подтверждается тоже происхождение пакетов данных. Так, хакер, перехвативший данные, не может с ними ничего сделать.
Многие DNS-серверы уже поддерживают DNSCURVE, так как наряду с безопасностью это простое решение не требует значительной модернизации серверов. Все, что требуется, - это инсталляция дополнительного ПО. Остается открытым только вопрос о том, когда же DNS-клиент операционной системы Windows начнет поддерживать эту полезную технологию.
Что принесут с собою новые домены верхнего ур.
По решению организации ICAN (Internet Corporation for Assigned Names and Numbers) будут введены новые домены I-го ур., подобные как .bayern или .майкрософт. Однако комунужны подобные нововведения?
НОВЫЕ ИМЕНА -БОЛЕЕ БЕЗОПАСНОСТИ Домен I-го ур. - III-я часть адреса домена наряду с "www" и именем, которая необходима для обозначения разрешения имени и передачи IP-адреса. С 12 янв. 2012 г. компании и государственные структуры смогут подать заявку на свой домен I-го ур., став при этом маленькой частью сетевой архитектуры. Хотя этот процесс будет длиться весьма долго, так что I-е новые домены верхнего ур. заработают лишь в 2013 г.. При этом кругом функциональных доменных имен типа .hotel или .music развернется всеобщая борьба. Предприятиям новые домены I-го ур. обеспечат более надежную защиту торговых марок, странам - географических названий. Пользователю строгие критерии отбора обязаны гарантировать, что сайты в подобных доменах достойны доверия.
CURVECP: шифрование при помощи кривых
Применяя принцип шифровки передаваемых данных в конечных точках, Даниэль Бернштайн собирается преобразовать и транспортный протокол, который ответственен за связь м/у браузером и веб-сайтом и передает данные отдельными пакетами. Используемый сейчас протокол TCP возник 19 лет тому назад, по стандарту он незашифрован и может стать легкой мишенью для вредоносного ПО. В новом протоколе CURVECP ставка к тому же делается на асимметричное шифрование данных, расшифровать которые может лишь получатель с помощью частного ключа.
Тот же принцип лежит в базе шифровки PGP (Pretty Good Privacy), которое применяется при передаче сообщений электронной почты. Хотя протокол CURVECP при этом использует иной способ кодирования - асимметричную криптосистему эллиптических кривых Curve25519. За сложным названием скрывается трудоемкий логарифмический расчет точек эллиптической кривой. Невзирая на то что звучит это трудно, на практике все легче: данный способ работает с всерьез более короткими ключами, чем иные способы асимметричного шифровки. Для сравнения: ключ размером 160 бит системы Curve25519 такой же надежный, как и ключ длиной 1024 бит алгоритма шифровки RSA. Это сокращает объем информации и не настолько сильно замедляет передачу данных.
И все-таки за безопасность приходится платить: в сравнении с незашифрованной передачей данных протокол CURVECP медленнее. Хотя, по заверениям Бернштайна, он работает лишь только в 1,15 раз медленнее, чем протокол TCP. Невзирая на обстоятельное кодирование, процессор к тому же не получает ощутимой дополнительной нагрузки. Нынешние ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР, утверждает Бернштайн, способны без проблем обрабатывать 10 миллионов ключей наименее чем за 10 мин.. Даже наиболее проворный пользователь не сумеет открывать порядка 16 600 страниц в сек., что было бы требуется для достижения этой величины.
Компания Google стала первым производителем, реализовавшим эту технологию в самой последней версии браузера Chrome. Так как технология CURVECP обязана заменить 1 из краеугольных камней Всемирной паутины, иным производителям веб-обозревателей не нужно отставать от Google. Хотя они ничего не говорят о определенных планах в этом направлении.
DNSCURVE И CURVECP: Методы шифровки адресов
На большей части сайтов авторизация защищена SSL-кодированием. Технология HSTS обеспечивает эту защиту тоже на всех внутренних страницах сайта, предотвращая этим кражу паролей.
HSTS: принудительные меры безопасности
Альтернативу для безопасных соединений в Интернете представляет технология HTTP Strict Transport Security (HSTS), которую уже сейчас используют многие хозяева сайтов.
Ранее зашифрованные соединения возможно было выяснить по буквам "https" в адресной строке браузера. Хотя больше всего людей забывают добавлять эти буквы, когда вводят URL, или немедленно добавляют в закладки адрес ресурса без шифровки - с буквами "http". На сайтах, которые поддерживают оба способа соединения, к примеру Facebook, пользователи могут авторизоваться или ч/з безопасную версию ресурса (https), или ч/з обычную (http), на которой возможна кража пароля. При этом хакер, так называемый "человек посередине", который располагается на дороге м/у пользовательским ПК и сервером, может похитить личные данные. Однако в этом не во всех случаях
виноват сам пользователь, так как отдельные сайты кодируют лишь страницу авторизации, а после вновь направляют посетителей на незашифрованные внутренние страницы.
На основе Firefox-плагина FORCEHTTPS команда Джефа Ходжеса, ответственного в то время за сохранность информации в платежной системе PAYPAL, разработала механизм
HSTS. Его задача - предотвращать небезопасные соединения, заставляя веб-серверы определять любые соединения с пользователями как зашифрованные, если эта функция поддерживается браузером. При этом не имеет значения, ввел ли пользователь в адресной строке буквы "https", и на какой внутренней странице домена он располагается. Эти принудительные меры безопасности никак нельзя обойти - иначе веб ресурс просто не будет отображаться.
Соединение по HTTPS отражается в заголовке протокола передаваемых данных так: "Strict-Transport-Security: max-age=123456789;INCLUDESUBDOMAINS". Параметр "max-age" показывает, как долго будет поддерживаться связь по HTTPS в секундах, а "INCLUDESUBDOMAINS" обозначает, что каждая внутренняя страница ресурса зашифрована. Еще одно преимущество технологии HSTS заключается в том, что хакер не может похитить файлы cookie с данными авторизации и совершать разные действия (делать покупки, писать сообщения) от имени пользователя. Это было бы вероятно, если бы пользователь с зашифрованной страницы авторизации немедленно перешел на незашифрованную.
Принудительные меры защиты технологии HSTS могут поначалу показаться странными, однако в конечном счете они содействуют пользователю, перенося ответственность за обеспечение безопасности на владельца ресурса. Пользователю более не требуется заглядывать в адресную строку, чтоб убедиться в наличии защищенного соединения, или гадать, что значат данные сертификата. Естественно, еще долгое время эта технология будет присутствовать отнюдь не на всех сайтах, однако кое-какие веб-ресурсы, так же, к примеру, как и платежная система PAYPAL, менеджер паролей LASTPASS и Android Market, уже используют HSTS. Производители браузеров также пытаются не отставать: Chrome и Firefox (с IV версии) поддерживают HSTS. В Chrome HSTS-сайты внесены в особый перечень, который вы можете дополнять. Для этого вам требуется набрать в адресной строке chrome://net-internals, перейти на вкладку HSTS, в разделе "Добавить домен" ("Add Domain") ввести URL и подчеркнуть флажком пункт "Добавить субдомены" ("Includesubdomains").Тестирование этой функции на веб-ресурсе Facebook дало положительный результат - серфинг по всем страницам ресурса осуществлялся лишь ч/з защищенное соединение.
Как HSTS обеспечивает безопасность каждого ресурса
На большей части сайтов информация защищена SSL-кодированием. Технология HSTS обеспечивает эту защиту тоже на всех внутренних страницах ресурса, предотвращая этим кражу паролей.
SPDY: турбо-Интернет от Гугл
Так как целиком зашифрованные интернет-соединения постоянно несколько медленнее, на выручку приходит еще 1 новая технология. SPDY (произносится как "спиди", от англ. "speedy" - быстрый) создана для того, чтоб серьезно ускорить передачу данных по протоколу HTTP. Когда 15 лет тому назад разрабатывался стандарт HTTP, сайты были всерьез легче: немало текста, мало графики и интерактивных элементов. Мелкие объемы данных передаются по HTTP достаточно эффективно. Однако чем более компонентов содержится на веб-ресурсе (фото, видео, элементы JAVASCRIPT и CSS), тем более HTTP становится похожим на горлышко бутылки. Так как этот протокол может за одну активную сессию передавать лишь 1 из элементов, нередко происходят задержки, и сайты загружаются не целиком.Еще 1 видная слабость стандарта HTTP - заголовки протоколов, которые остаются в несжатом виде и передают одну и ту же информацию (язык, шрифт, данные о раньше посещенном веб-ресурсе).
Разработанная фирмой Гугл технология SPDY обязана поправить эти слабые места. Разработчикам был брошен вызов, так как было бы трудно заменить протокол HTTP, применяемый во всей Всемирной паутине. Потребовались бы широкие перемены в пользовательских операционных системах, и в оборудовании серверов и Интернете. По этой причине SPDY модифицирует лишь управление соединением и формат передачи данных протокола HTTP.
С технической точки зрения связь по-прежнему производится по протоколу HTTP, а данные передаются в TCP-пакетах, однако SPDY позволяет сделать число попутно загружаемых элементов страниц неограниченным. В этой технологии Гугл использует способ мультиплексирования, когда вся коммуникация м/у пользователем и сервером объединяется, разделяется на фреймы и передается ч/з одно зашифрованное соединение. Данный способ позволяет установить приоритет отдельных элементов, чтоб сперва передавались наиболее важные данные, или заблокировать определенные элементы, если канал перегружен. С помощью функции"проталкивания" сервер может слать браузеру даже те данные, которые еще не были запрошены. Более того, SPDY разгружает заголовки протоколов и сжимает их при помощи GZIP. У SPDY есть единственный недостаток: из-за сжатия заголовков и шифровки возрастает нагрузка на процессор.
Так или иначе, по утверждениям Гугл, новая технология обеспечивает прирост скорости на 44-64 процента. Пользователь может ощутить разницу при обращении ч/з браузер Chrome к подобным службам Гугл, как Docs или Gmail, в которых технология SPDY задействуется уже на 90 процентов. И на самом деле, в Chrome все работает быстрее, чем в Firefox или IE, впрочем скорость к тому же зависит от актуального соединения и загруженности сервера.
В качестве владельца популярных веб-сервисов Гугл выигрывает благодаря высокой скорости соединения. Однако еще и иные уже применяют технологию SPDY. К примеру, веб-разработчики Strangeloop внедрили эту технологию для некоторых клиентов и отметили среднее повышение скорости загрузки на 20 процентов. Mozilla к тому же считает SPDY существенным улучшением протокола HTTP - технология будет тестироваться в разрабатываемых версиях Firefox. На вопрос, будет ли она поддерживаться последней версией, разработчики Firefox не ответили. Когда революция успешно завершится, неизвестно. Понятно одно: нечто изменится, и изменится в лучшую сторону для пользователя, который получит доступ в более безопасный и быстрый Интернет.
› Статьи › интернете">Интернет, связь, интернете › 2011 › 09 › Интернет 2012: революционная безопасность и скорость
Интернет 2012: революционная безопасность и скорость
Архитектура Всемирной паутины была разработана еще в начале 90-х, и сейчас она замедляет работу современных браузеров и без труда уязвима. Новые технологии помогут сделать веб-серфинг быстрее и безопаснее.
" Предыдущие 1 элементов 1 2 3 4
Как SPDY ускоряет работу интернете
Некоторые элементы сайтов теперь передаются частями по HTTP. Протокол SPDY связывает эти составляющие, и сайты загружаются на 64 процента быстрее.
Тут уже началась интернет-революция
IPV6: НЕИСЧЕРПАЕМЫЙ ЗАПАС АДРЕСОВ Каждое конечное оснащение - с позиции как пользователя, так и сервера - должно иметь IP-адрес, чтоб пересылать и получать данные. Применяемые раньше адреса IPV4 (к примеру 192.168.56.1) уже практически все заняты, а Интернет продолжает разрастаться. Решением трудности являются адреса IPV6 вида 2001:0eb7:86b4:03d7:1218:8e3b:0540:7847/64. Их общее число ввиду огромного размера почти бесконечно. Переход затронет людей (обновление ПО роутера), провайдеров и владельцев сайтов. Соединения IPV4 будут трудиться как и ранее, так что переход должен происходить без проблем.
HTML 5: ИНТЕРАКТИВНЫЕ ВЕБ-САЙТЫ На сегодня устарели не только лишь протоколы HTTP и TCP, но еще и стандартный язык разметки документов. HTML возник еще тогда, когда сайты были текстовыми. Мультимедийное многообразие массы сегодняшних веб-ресурсов возможно реализовать лишь с помощью дополнительных элементов, таких как JAVASCRIPT или Flash. Однако, впрочем они и дают возможность расположить на веб-ресурсе немало видеофайлов, графиков и интерактивных элементов, работа страницы замедляется, и могут даже появиться сбои браузера. С помощью HTML 5 разработчики могут ввести многие из таких компонентов прямо в код ресурса. Все более ресурсов применяют HTML 5, тем паче что отдельные конечные устройства, к примеру Ipad, не поддерживают Flash.
Комментариев нет:
Отправить комментарий