[uylug-varios] La nueva web ... HTTP sobre QUIC

[Eduardo Trápani]

Hola,

A raíz de la oficialización de HTTP-sobre-QUIC[1], con el cambio de 
nombre a HTTP/3· (la nueva versión) estuve leyendo un poco sobre el 
protocolo QUIC[4] y quería compartirlo.

En breve, y *MUY* groseramente por arriba, el transporte cambia de TCP a 
UDP y permite que uno cambie de IP (migración, como le dicen) sin perder 
conectividad. Eso es importante para todo lo que es móvil. Es también 
más rápido y adaptado a flujos, y permite multiplexar.

El detalle: para lograr todo esto, se necesita enviar identificadores 
únicos (64 bits, elegidos al azar) que eligen el cliente y el servidor.

Con estos identificadores se puede "recomponer" la conexión cuando 
cambia la IP/puerto del cliente. La longevidad de este identificador no 
está definida, por lo que, en teoría, un cliente (digamos un navegador) 
podría usar el mismo durante mucho tiempo.

Este identificador genera un tema de privacidad. Si se vuelve 
pseudo-persistente (vida muy larga, que define idependientemente el 
cliente y el servidor) se transforma en un elemento de seguimiento muy 
potente. Ya no importa en qué red esté uno, ni si borra o no los 
cookies, o si intenta evitar la obtención de una "firma" del navegador. 
Sería ideal por ejemplo enviar propaganda. De hecho, es por ahí que 
silenciosamente se empezaron a servir los avisos (Chrome y Chromium)[2]. 
Esto también complica a la hora de bloquearlos[3], porque el tráfico es 
diferente. Curiosamente,

Ojo, no es invento mío, el tema de privacidad (no exactamente este que 
acabo de mencionar, pero relacionado) esta en el mismo documento[4].

La duda sobre lo deseable de su uso tampoco es mía, por ejemplo 
PaloAlto, una empresa que vende soluciones de red, en particular 
firewalls para entornos empresariales grandes, directamente sugiere 
deshabilitarlo, explica por qué y cómo hacerlo (sitio oficial [5]). Un 
administrador de red serio debería por lo menos considerarlo, ya que a 
los efectos prácticos es un túnel.

Un último detalle, el protocolo no es obligatorio. Si no se detecta un 
transporte quic (¿solamente a mí me parece que mezclan capas?) a nivel 
de HTTP, entonces se sigue con TCP.

Perdón, ahora sí ;), la última. Es técnicamente más profundo, pero para 
los que estén en esto de los protocolos, está muy bien hecho, no tiene 
desperdicio y es específico sobre Quic: "Teaching good protocols to do 
bad things"[6] (blackhat.com).

Para quienes sigan usando Chrome, se puede deshabilitar. Si usan 
Chromium, cambiaron la compilación por defecto para incluírlo, así que 
hay que apagarlo a mano antes de compilar (o deshabilitarlo). Si usan 
otro navegador, por ahora, no pasa nada.

[1] https://tools.ietf.org/html/draft-ietf-quic-http-16
[2] https://brave.com/quic-in-the-wild/
[3] https://github.com/brave/browser-laptop/issues/4693
[4] https://tools.ietf.org/html/draft-ietf-quic-transport-16
[5] https://bit.ly/2DDVjbr
[6] https://ubm.io/2qO0JZ8