ProHoster > Pūnaewele > nūhou pūnaewele > Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

Nā mea noiʻi mai ke Kulanui o Boston kūkulu ʻia ʻano hoʻouka kaua
(CVE-2019-11728) e ae ana E nānā i nā helu IP a wehe i nā awa pūnaewele ma ka pūnaewele i loko o ka mea hoʻohana, i paʻa i ka pā mai ka pūnaewele waho e kahi pā ahi, a i ʻole ma ka ʻōnaehana o kēia manawa (localhost). Hiki ke hana ʻia ka hoʻouka ʻana i ka wā e wehe ai i kahi ʻaoʻao i hoʻolālā ʻia i ka polokalamu kele pūnaewele. Hoʻokumu ʻia ka ʻenehana i manaʻo ʻia ma ka hoʻohana ʻana i kahi poʻomanaʻo HTTP Alt-Svc (HTTP Nā lawelawe ʻokoʻa, RFC-7838). Aia ka pilikia ma Firefox, Chrome a me nā polokalamu kele pūnaewele e pili ana i kā lākou mau mīkini, me Tor Browser a me Brave.

ʻO ke poʻomanaʻo Alt-Svc ka mea e hiki ai i ke kikowaena ke hoʻoholo i kahi ala ʻē aʻe e komo ai i ka pūnaewele a aʻo i ka polokalamu kele pūnaewele e hoʻohuli hou i ka noi i kahi hoʻokipa hou, no ka laʻana no ke kau ʻana i ka ukana. Hiki nō ke kuhikuhi i ke awa pūnaewele no ka hoʻouna ʻana, no ka laʻana, e kuhikuhi ana iā 'Alt-Svc: http/1.1="other.example.com:443";ma=200' e aʻo i ka mea kūʻai aku e hoʻopili i ka host other.example .org no ka loaʻa ʻana o ka ʻaoʻao i noi ʻia me ka hoʻohana ʻana i ke awa pūnaewele 443 a me ka protocol HTTP/1.1. Hōʻike ka ʻāpana "ma" i ka lōʻihi o ke kuhikuhi hou ʻana. Ma waho aʻe o HTTP/1.1, HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) a me QUIC (quic) me ka hoʻohana ʻana i ka UDP i kākoʻo ʻia ma ke ʻano he protocols.

Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

No ka nānā ʻana i nā helu wahi, hiki i ka pūnaewele o ka mea hoʻouka ke ʻimi i nā helu kikowaena pūnaewele a me nā awa pūnaewele hoihoi, me ka hoʻohana ʻana i ka lohi ma waena o nā noi pinepine ʻana ma ke ʻano he hōʻailona.
Inā ʻaʻole i loaʻa ka punawai hoʻihoʻi ʻia, loaʻa koke i ka polokalamu kele i kahi ʻeke RST ma ka pane a hōʻailona koke i ka lawelawe ʻokoʻa ʻaʻole i loaʻa a hoʻihoʻi hou i ke ola o ka hoʻihoʻi ʻana i ʻōlelo ʻia ma ka noi.
Inā wehe ʻia ke awa pūnaewele, ʻoi aku ka lōʻihi o ka hoʻopau ʻana i ka pilina (e hoʻāʻo ʻia e hoʻokumu i kahi pilina me ka hoʻololi packet pili) a ʻaʻole e pane koke ka polokalamu kele pūnaewele.

No ka loaʻa ʻana o ka ʻike e pili ana i ka hōʻoia, hiki i ka mea hoʻouka ke hoʻihoʻi koke i ka mea hoʻohana i kahi ʻaoʻao ʻelua, aia ma ke poʻo Alt-Svc e kuhikuhi i ka pūʻali holo holo o ka mea hoʻouka. Inā hoʻouna ka polokalamu kele o ka mea kūʻai aku i kahi noi i kēia ʻaoʻao, a laila hiki iā mākou ke manaʻo ua hoʻonohonoho hou ʻia ka hoʻohuli hou ʻana o ka Alt-Svc noi a ʻaʻole i loaʻa ka host a me ke awa e hoʻāʻo ʻia. Inā ʻaʻole i loaʻa ka noi, a laila ʻaʻole i pau ka ʻikepili e pili ana i ka redirection mua a ua hoʻokumu ʻia ka pilina.

ʻAe kēia ala iā ʻoe e nānā i nā awa pūnaewele i ʻeleʻele ʻia e ka polokalamu kele pūnaewele, e like me nā awa kikowaena leka uila. Ua hoʻomākaukau ʻia kahi hoʻouka kaua me ka hoʻohana ʻana i ka iframe substitution i ka huakaʻi o ka mea i pepehi ʻia a me ka hoʻohana ʻana i ka protocol HTTP/2 ma Alt-Svc no Firefox a me QUIC e nānā i nā awa UDP ma Chrome. Ma Tor Browser, ʻaʻole hiki ke hoʻohana ʻia ka hoʻouka ʻana i ka pōʻaiapili o ka pūnaewele kūloko a me ka localhost, akā kūpono ia no ka hoʻonohonoho ʻana i ka nānā huna ʻana o nā pūʻali o waho ma o kahi puka puka Tor. Pilikia me ka scan awa hoʻopau ʻia ma Firefox 68.

Hiki ke hoʻohana ʻia ke poʻo Alt-Svc:

  • Ke hoʻonohonoho nei i nā hoʻouka kaua DDoS. No ka laʻana, no TLS, hiki i kahi redirect ke hāʻawi i ka pae kiʻekiʻe o 60 mau manawa mai ka noi mua o ka mea kūʻai aku e lawe i 500 bytes, ʻo ka pane me ka palapala hōʻoia ma kahi o 30 KB. Ma ka hana ʻana i nā noi like i loko o kahi loop ma nā ʻōnaehana mea kūʻai aku he nui, hiki iā ʻoe ke hoʻopau i nā kumuwaiwai pūnaewele i loaʻa i ke kikowaena;

    Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

  • No ke kāpae ʻana i nā hana anti-phishing a me nā polokalamu anti-malware i hāʻawi ʻia e nā lawelawe e like me Safe Browsing (ka hoʻihoʻi ʻana i kahi mea hoʻokipa ʻino ʻaʻole i loaʻa kahi ʻōlelo aʻo);
  • E hoʻonohonoho i ka nānā ʻana i ka neʻe ʻana o ka mea hoʻohana. ʻO ke kumu o ke ʻano o ka hoʻololi ʻana i kahi iframe e kuhikuhi ana i ka Alt-Svc kahi mea hoʻokele hoʻokele o waho, i kapa ʻia me ka nānā ʻole i ka hoʻokomo ʻana o nā mea hana anti-tracker. Hiki ke ʻimi i ka pae o ka mea hāʻawi ma o ka hoʻohana ʻana i kahi ʻike kūʻokoʻa ma Alt-Svc (random IP: port as a identifier) ​​​​me kāna loiloi hope i ka transit traffic;

    Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

    Hiki ke hoʻohana ʻia ke poʻomanaʻo HTTP Alt-Svc e nānā i nā awa pūnaewele kūloko

  • No ke kiʻi ʻana i ka ʻike mōʻaukala neʻe. Ma ka hoʻokomo ʻana i nā kiʻi mai kahi pūnaewele i hāʻawi ʻia e hoʻohana ana i ka Alt-Svc i kāna ʻaoʻao iframe me kahi noi a me ka nānā ʻana i ke kūlana o Alt-Svc i ke kaʻa, hiki i ka mea hoʻouka ke hoʻopaʻa i nā kaʻa transit hiki ke hoʻoholo ua kipa mua ka mea hoʻohana i ka mea i kuhikuhi ʻia. kahua;
  • Nā lāʻau walaʻau o nā ʻōnaehana ʻike komo. Ma o Alt-Svc, hiki iā ʻoe ke hana i ka nalu o nā noi i nā ʻōnaehana ʻino ma ka inoa o ka mea hoʻohana a hana i ke ʻano o nā hoʻouka hewa e hūnā i ka ʻike e pili ana i kahi hoʻouka maoli i ka leo nui.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka