Компанія Google почала реалізацію в браузері Chrome функції IP Protection, призначеної для приховання IP-адреси користувача від власників сайтів. Нова можливість може використовуватися як вбудований анонімайзер, націлений насамперед на запобігання відстеженню переміщень, але, серед іншого, придатного і для обходу блокувань, реалізованих як на стороні сайтів, так і на рівні операторів зв'язку.
Технічно запропонована можливість реалізована через відправки трафіку не на пряму, а через проксі-сервер, що перенаправляє запит на цільовий сервер, який бачить як вхідну IP-адресу тільки адресу проксі, за аналогією з використанням VPN. Для анонімізації запиту передбачено можливість прокидання запиту послідовно через кілька проксі. У цьому випадку інформація про IP-адресу клієнта буде відома лише першому проксі, а другий проксі в ланцюжку буде бачити адресу першого проксі.
Google планує протестувати режим захисту IP-адрес на невеликому відсотку користувачів в одному з майбутніх випусків Chrome (з 119 до 125). На першому етапі в тестуванні буде задіяно лише один проксі-сервер, що належить Google, і приховування буде включено лише для доменів та рекламних мереж Google. Цей етап буде запропонований для систем з IP-адресами зі США та охопить не більше 33% користувачів експериментальних випусків Chrome.
На другій фазі тестування планують ввести в дію конфігурацію з двох рівнів проксі: спочатку з'єднання буде прямувати з браузера через шифрований тунель до проксі, що належить Google, а потім прямувати на другий проксі, що належить компанії, не пов'язаної з Google. Тунелювання трафіку буде організовано так, що перший проксі, який бачить IP-адресу користувача, не бачитиме параметри запиту і не зможе визначити цільовий хост, до якого адресовано звернення користувача. Другий же проксі зможе визначити дані про цільовий хост, але не бачитиме IP-адресу користувача. Тобто. проксі бачитимуть відомості або про адресу користувача, або про цільовий сайт, що не дозволить на стороні проксі зв'язати користувача із запитаним сайтом.
Трафік направлятиметься на проксі з використанням методів CONNECT та CONNECT-UDP та створенням тунелю на базі протоколу TLS, що забезпечує наскрізне шифрування. Для запобігання зловживанням доступ до першого проксі, що контролюється Google, буде здійснюватися за допомогою криптографічного токена, який буде генеруватися сервером аутентифікації Google при підключенні Chrome до облікового запису користувача в Google (без аутентифікації у Chrome доступ до проксі буде закрито). До токену також будуть прив'язані обмеження трафіку, які ускладнюють прокидання трафіку через проксі-сервери в шкідливих цілях.
Режим за замовчуванням буде вимкнений і може бути активований за бажанням користувача. Приховування адрес планують використовувати не для всіх веб-сайтів, а тільки для окремо сформованого переліку доменів, які викриті у відстеженні переміщень користувачів. Прив'язка до списку дозволить уникнути небажаних змін, що порушують поведінку сайтів, що призводять до проблем з визначенням розташування, поділом користувачів та обліком трафіку (наприклад, блокування порушника на сайті може виявитися застосованим до всіх користувачів, які перенаправляються через проксі).
Для вирішення проблем з прив'язкою до місця розташування, яка може використовуватися на сайті для виконання вимог локальних законодавств та вибору параметрів локалізації, пропонується використовувати проксі другого рівня в тій же країні або навіть місті, що і користувач (в кінцевому рахунку планується розгорнути широку мережу з проксі- серверів другої ланки, побудовану у співпраці з різними провайдерами та мережами доставки контенту).
Розробники движка WebKit розвивають для браузера Safari схожу функціональність Intelligent Tracking Protection, яка поки що обмежена експериментами з одним проксі, але надалі буде переведена на використання моделі з двома незалежними рівнями проксі-серверів.
Джерело: opennet.ru