O Google começou a implementar um recurso de proteção de IP no navegador Chrome, projetado para ocultar o endereço IP do usuário dos proprietários de sites. O novo recurso pode ser usado como um anonimizador integrado, destinado principalmente a impedir o rastreamento de movimentos, mas, entre outras coisas, adequado para contornar bloqueios implementados tanto no lado dos sites quanto no nível das operadoras de telecomunicações.
Tecnicamente, o recurso proposto é implementado enviando tráfego não diretamente, mas através de um servidor proxy, que redireciona a solicitação para o servidor de destino, que vê apenas o endereço proxy como um endereço IP de entrada, semelhante ao uso de uma VPN. Para tornar a solicitação anônima, é possível encaminhá-la sequencialmente por meio de diversos proxies. Nesse caso, as informações sobre o endereço IP do cliente serão conhecidas apenas pelo primeiro proxy, e o segundo proxy da cadeia verá o endereço do primeiro proxy.
O Google planeja testar um modo de proteção. Endereços IP Em uma pequena porcentagem de usuários em uma futura versão do Chrome (119 a 125%). Durante a primeira fase de testes, será utilizado apenas um servidor proxy pertencente ao Google, e a ofuscação será ativada somente para domínios e redes de anúncios do Google. Esta fase será oferecida a sistemas com endereços IP dos EUA e abrangerá no máximo 33% dos usuários da versão experimental do Chrome.
Na segunda fase de testes, eles planejam introduzir uma configuração de proxy de duas camadas: primeiro, a conexão será roteada do navegador através de um túnel criptografado para um proxy de propriedade do Google e, em seguida, roteada para um segundo proxy de propriedade de uma empresa não afiliado ao Google. O tunelamento de tráfego será organizado de tal forma que o primeiro proxy que vir o endereço IP do usuário não verá os parâmetros da solicitação e não será capaz de determinar o host de destino ao qual a solicitação do usuário é endereçada. O segundo proxy será capaz de determinar dados sobre o host de destino, mas não verá o endereço IP do usuário. Aqueles. os proxies verão informações sobre o endereço do usuário ou sobre o site de destino, o que não permitirá que o lado do proxy associe o usuário ao site solicitado.
O tráfego será roteado para o proxy usando os métodos CONNECT e CONNECT-UDP e criando um túnel baseado no protocolo TLS, que fornece criptografia ponta a ponta. Para evitar abusos, o primeiro proxy controlado pelo Google será acessado através de um token criptográfico que será gerado pelo servidor de autenticação do Google quando o Chrome se conectar à conta Google do usuário (sem a autenticação do Chrome, o acesso ao proxy será negado). O token também terá restrições de tráfego associadas a ele, o que dificultará o encaminhamento de tráfego através de servidores proxy para fins maliciosos.
O modo padrão estará desabilitado e poderá ser ativado a critério do usuário. Eles planejam usar a ocultação de endereços não para todos os sites, mas apenas para uma lista gerada separadamente de domínios que são capturados rastreando os movimentos dos usuários. Vincular à lista permitirá evitar alterações indesejadas que perturbem o comportamento dos sites, levando a problemas com determinação de localização, separação de usuários e contabilização de tráfego (por exemplo, o bloqueio de um intruso em um site pode ser aplicado a todos os usuários redirecionados por meio de um proxy ).
Para solucionar os problemas relacionados à vinculação baseada em localização, que pode ser usada em um site para cumprir a legislação local e selecionar parâmetros de localização, propõe-se o uso de um proxy de segundo nível no mesmo país ou mesmo na mesma cidade do usuário (em última análise, planeja-se implantar uma ampla rede de proxies).servidores segundo link, construído em cooperação com vários fornecedores e redes de distribuição de conteúdo).
Os desenvolvedores do mecanismo WebKit estão desenvolvendo uma funcionalidade semelhante de proteção inteligente contra rastreamento para o navegador Safari, que atualmente está limitado a experimentos com um proxy, mas no futuro será transferido para o uso de um modelo com dois níveis independentes de servidores proxy.
Fonte: opennet.ru
