Google deaktiviert die Domain-Fronting-Funktion verwendet, um Zensoren auszuweichen

Ein Gebäude, das während der SXSW von Google übernommen wurde. Auf dem Banner steht: Vergrößern / Nein, das kannst du nicht. Nathan Mattise

Die App Engine von Google wurde möglicherweise nicht dafür entwickelt, eine Möglichkeit bereitzustellen für Entwickler, um Zensoren auszuweichen, aber in den letzten Jahren hat es angeboten, über eine Technik als Domain-Fronting bekannt. Durch einwickeln Mitteilungen an einen Dienst mit einer Anfrage an einen anderen harmlose Domain oder IP-Adressbereich wie Google, Anwendung Entwickler können Anfragen an Domänen verbergen, die ansonsten von blockiert werden staatliche oder korporative Zensoren. Es ist eine Methode, die beide verwendet wurde für gut und schlecht – angenommen von Signal, der antichinesischen Zensur Service GreatFire.org, Plugins für das Tor-Anonymisierungsnetzwerk, einige virtuelle private Netzwerkanbieter und von einem angeblichen Russen staatlich finanzierte Malware-Kampagne zur Verschleierung von Tor-basierten Daten Diebstahl.

Weitere Lektüre

Russland blockiert Amazon und Google, um Telegram abzuschalten Netzwerkadressen

Aber am 13. April bemerkten die Mitglieder des Tor-Projekts diese Domäne die Front war zerbrochen. Der Grund, nach einem Bericht von Russell Brandom von The Verge ist, dass Google Änderungen an der vorgenommen hat Netzwerkarchitektur des Unternehmens, die für einige in Arbeit war Zeit. Ein Google-Vertreter sagte Brandom, dass Domain-Fronting hatte wurde noch nie offiziell von Google unterstützt und funktionierte nur bis letzte Woche “wegen einer Eigenart unseres Software – Stacks … als Teil eines geplantes Software-Update, Domain-Fronting funktioniert nicht mehr Wir tun es nicht habe Pläne, es als Feature anzubieten. “

Ars hat versucht, Google zu kontaktieren, aber wir haben keine Antwort erhalten zum Zeitpunkt der Drucklegung. [Update, 16:40 Uhr EDT: Google hat dasselbe gesendet Erklärung, wie sie Brandom auf unsere Anfrage gegeben wurde.]

// „Domain-Fronting war noch nie eine unterstützte Funktion bei Google. aber bis vor kurzem funktionierte es aufgrund einer Eigenart unserer Software Stapel. Wir entwickeln unser Netzwerk ständig weiter und als Teil eines geplantes Software-Update, Domain-Fronting funktioniert nicht mehr Wir nicht habe Pläne, es als Feature anzubieten. “

Das Domain-Fronting verwendet eine Manipulation des sicheren HTTP-Webs Protokoll (HTTPS) und dem Transport Layer Security (TLS) Standard zu helfen, Deep Packet Inspection-Systeme und Firewall-Regeln zu täuschen das vorgesehene Ziel einer Webanforderung und zur Ausnutzung der Funktionalität von Content Delivery Networks (CDNs). Domain Namen werden dreimal während einer Webanforderung angezeigt – als Teil einer DNS-Abfrage für die IP-Adresse der Site in der Server Name Indication (SNI) Erweiterung von TLS (die einem Server mit mehreren Standorten mitteilt, welche Domain, für die der Datenverkehr bestimmt ist) und im HTTP – Header “host” des Webanfrage. Für HTTP-Datenverkehr alle drei Instanzen von Domänennamen sind für die Netzwerkausrüstung eines Zensors sichtbar. beim surfen HTTPS-Site wird der HTTP-Header verschlüsselt.

In einem Domain-Fronting-Schema die DNS-Anforderung und die SNI-Erweiterung Verwenden Sie den Domänennamen eines nicht blockierten Hosts, aber den HTTPS-Header enthält das eigentliche Ziel, an das die Anfrage weitergeleitet wird zu, solange es Teil desselben CDN ist. Das Ziel ist In der Regel ein Proxyserver, ein VPN-Gateway oder eine Tor-Bridge. Auf Google, Dieser Proxy kann sich auf einem AppEngine-Host befinden. in großen CDN-Netzwerken kann auf jedem Server gehostet werden, der ein zahlender Kunde ist. Zu irgendjemandem Der Datenverkehr scheint zwischen dem Client und dem CDN zu sein an einen harmlosen Ort gehen, aber es wird tatsächlich umgeleitet seinen vorgesehenen Ort.

Es gibt einen einfachen Grund, warum Google und andere Clouds und das Internet Diensteanbieter unterstützen Domain-Fronting nicht absichtlich: potenzieller Schaden für ihr Unternehmen, dem sie ausgesetzt wären, wenn ihr Unternehmen Schaden nehmen würde Dadurch wurden Netzwerke blockiert. “Domain wird nicht unterstützt “, sagte der CEO und Mitbegründer von Cloudflare, Matthew Prince, in einer E-Mail an Ars. “Dies würde unsere traditionellen Kunden gefährden wie es verbotenen Verkehr hinter ihren Domänen maskieren würde. ”

Und das mag ein Grund dafür sein, dass Google Änderungen vorgenommen hat, die diesbezüglich vorgenommen wurden Unterbrochenes Domain-Fronting basierend auf Googles internem CDN – erhöht sich Bei der Zensur von verschlüsselten Kommunikationstools wurde ein Schwerpunkt gelegt Auswirkungen auf die anderen zahlenden Kunden von Google.

Telegramm und Zello wurden vor kurzem von gesperrt bestellt Roskomnadzor, Russlands Telekommunikationsbehörde, und die blockierte Adressen in diesem Bemühen schnell erweitert, um zu umfassen Google- und Amazon Web Services-Adressen als Telegrammbenutzer gestartet Cloud-basierte Proxys verwenden. Bei Amazon soll Zello darum gebeten haben Stoppen Sie das Hosten von Proxys auf AWS, und der Dienst wurde auf Google umgestellt. Und viele Telegrammnutzer in Russland haben Proxys in verschiedenen Clouds verwendet Dienstleistungen zur Umgehung der Zensur. Mit dem Verlust der Domain-Fronting, Benutzer müssen auf bestimmte IP-Adressen für Proxies in verweisen Die Cloud – Adressen, die von Zensoren blockiert werden können.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: