[uylug-varios] La nueva web ... HTTP sobre QUIC
Eduardo Trápani
etrapani at vera.com.uy
Wed Nov 14 11:20:38 PST 2018
Hola,
A raíz de la oficialización de HTTP-sobre-QUIC[1], con el cambio de
nombre a HTTP/3· (la nueva versión) estuve leyendo un poco sobre el
protocolo QUIC[4] y quería compartirlo.
En breve, y *MUY* groseramente por arriba, el transporte cambia de TCP a
UDP y permite que uno cambie de IP (migración, como le dicen) sin perder
conectividad. Eso es importante para todo lo que es móvil. Es también
más rápido y adaptado a flujos, y permite multiplexar.
El detalle: para lograr todo esto, se necesita enviar identificadores
únicos (64 bits, elegidos al azar) que eligen el cliente y el servidor.
Con estos identificadores se puede "recomponer" la conexión cuando
cambia la IP/puerto del cliente. La longevidad de este identificador no
está definida, por lo que, en teoría, un cliente (digamos un navegador)
podría usar el mismo durante mucho tiempo.
Este identificador genera un tema de privacidad. Si se vuelve
pseudo-persistente (vida muy larga, que define idependientemente el
cliente y el servidor) se transforma en un elemento de seguimiento muy
potente. Ya no importa en qué red esté uno, ni si borra o no los
cookies, o si intenta evitar la obtención de una "firma" del navegador.
Sería ideal por ejemplo enviar propaganda. De hecho, es por ahí que
silenciosamente se empezaron a servir los avisos (Chrome y Chromium)[2].
Esto también complica a la hora de bloquearlos[3], porque el tráfico es
diferente. Curiosamente,
Ojo, no es invento mío, el tema de privacidad (no exactamente este que
acabo de mencionar, pero relacionado) esta en el mismo documento[4].
La duda sobre lo deseable de su uso tampoco es mía, por ejemplo
PaloAlto, una empresa que vende soluciones de red, en particular
firewalls para entornos empresariales grandes, directamente sugiere
deshabilitarlo, explica por qué y cómo hacerlo (sitio oficial [5]). Un
administrador de red serio debería por lo menos considerarlo, ya que a
los efectos prácticos es un túnel.
Un último detalle, el protocolo no es obligatorio. Si no se detecta un
transporte quic (¿solamente a mí me parece que mezclan capas?) a nivel
de HTTP, entonces se sigue con TCP.
Perdón, ahora sí ;), la última. Es técnicamente más profundo, pero para
los que estén en esto de los protocolos, está muy bien hecho, no tiene
desperdicio y es específico sobre Quic: "Teaching good protocols to do
bad things"[6] (blackhat.com).
Para quienes sigan usando Chrome, se puede deshabilitar. Si usan
Chromium, cambiaron la compilación por defecto para incluírlo, así que
hay que apagarlo a mano antes de compilar (o deshabilitarlo). Si usan
otro navegador, por ahora, no pasa nada.
[1] https://tools.ietf.org/html/draft-ietf-quic-http-16
[2] https://brave.com/quic-in-the-wild/
[3] https://github.com/brave/browser-laptop/issues/4693
[4] https://tools.ietf.org/html/draft-ietf-quic-transport-16
[5] https://bit.ly/2DDVjbr
[6] https://ubm.io/2qO0JZ8
More information about the Uylug-varios
mailing list