Názory k článku HTTP/3 nebude postavené na TCP, základem bude QUIC používající UDP

Při vší úctě k IETF mi to nepřijde jako nejlepší nápad.

V dnešní době panuje masivně trend vše vkládat do HTTPS. Tomu se v podstatě přizpůsobuje každá nová služba, která nechce riskovat problémy s provozem. A spirálou se podle toho chovají správci ve firmách, takže se často stává, že "internet = tcp 80 a 443". Takže potřeba toto celé začít přepisovat na jiné principy, mi přijde minimálně celkem odvážné.

Volba UDP pro účely nového protokolu je jistě velmi výhodná z mnoha důvodů, radost z ní ale nebudou mít firewally, které mají v této oblasti výrazně míň možností hlídat provoz, než v případě TCP.

A v neposlení řadě to bude mít zásadní vliv na globální provoz. Nedávno tu byl článek o BBR a problémech, které by mohl přestavovat z pohledu řízení toku. QUIC může mít ještě mnohem větší dosah a ačkoliv je už určitě z YouTube k dispozici spousta dat z provozu, pochybuji, že to představuje dostatečně různorodou směs použití pro kvalifikovaný odhad všech budoucích rizik.

Hlavne to ... nemuze fungovat, respektive muze, kdyz to potvrzovani a overovani ze data dorazila, reimplementujes komplet o layer vejs, takze to muze navrhovat leda debil.

UDP ma totiz smysl tam, kde ti ztrata paketu nevadi, a ses ochoten ji vymenit za trochu lepsi latenci, coz neni pripad http. I spousta routeru ti v pripade velky zateze zaccne nejdriv zahazovat udp - jednoduse proto, ze zahozeny tcp se jim obratem vrati v pozadavku na opakovany prenos.

Jinak se cela tahle demence vymejsi predevsim kvuli nesmyslu ala protlacime video pres http.

Řekl bych, že "debil" plně nevystihuje kvality dotyčných a přimlouval bych se za silnější výraz.

Po HTTP jede třeba bankovnictví, uzavírají se smlouvy a podobně. Tam chci garanci stůj co stůj bez ohledu na vypatlance v Google.

Ale PROČ je potřeba nahrazovat fungující a robustní část systému vlastní implementací? PROČ nevyhoví TCP + IPSEC? Tohle neřeší problém, jenom posune limity kapacity o 20% dál a za rok-dva jsme ve stejné žumpě. Zahození paketů na přetížené lince to nezabrání. Jenomže teď pokud mám MTU 1500 a buffer na čtyři pakety, opakuju při zahození max. 6kB, takhle budu hlásit chybu po 10MB a opakovat znova těch 10MB. No dík moc.

Jenom to přinese další bugy v implementacích a v postřezích bezpečnosti se dočteme o CVE na "packet injection" u Chrome...

Konecne nekdo rozumny. Cekani na to "nez to bude v routrech" byla jedna z motivaci pro QUIC. Je jasne, ze implementovano v user space to nepofrci tak jako v kernelu, ale benefit v podobe flexibilnich oprav je velky.

jen na okraj, "eventual consistency" neni "eventualni konzistence"

Pan komunikuje s bankou pres HTTP, blahoprejeme k absolutni transparentnosti. Jenom by mne zajimalo, co mas za banku, nekde v mongolsku?

A ty si za domaci ukol prostudujes, co je FEC.

tak sup zpatky do skoly a nastudovat rozdil mezi transportni a aplikacni vrstvou. aby z quicu nemeli radost middleboxy je zamer. a volba congestion control zavisi na servru a ten se rohoduje podle toho kam data posila. v clanku chybi uvaha o rychlosti adaptace zmen toho, co je v kernelu/user space. a ze se autor nezminil o early data je taky velky spatny.

No, ja si radeji pockam tech 300ms na vytvoreni jaksi nove session, nez abych zrecykloval drive dohodnuta kryptograficka data a jen tak mimochodem druhe strane potvrdil, ze jsem ten samy clovek, co minule, ackoliv jsem mezi tim treba vymazal cookies, obsah vsech moznych DOM storage a databazi, zmenil IP a co ja vim, treba i prohlizec uplne, pokud se tato predem dohodnuta data budou ukladat na urovni OS misto prohlizece.
To by mel Google to smirovani hodne jednoduche.

A kdyz uz jsme u toho prejmenovavani, muzeme prejmentovat IETF na Google Engineering Task Force,

Sledovat uzivatele lze uz dnes s TCP+TLS: https://arxiv.org/abs/1810.07304

Mozna security.tls.e­nable_0rtt_da­ta = false ve FF by mohlo pomoct.

Ja predpokladam, ze prohlizec bude kryptograficka data menit. Tady se mluvi spis o pripadu, ze se prepojime z 3G na wifi a zpatky v radu sekund az minut.

Jenze QUIC ma CID + AEAD.
Navic o TLS session resumption tu nepadlo ani slovo, vyjma v pdf v linku od f.

KISS ako vysity...

A neměli by jednodušší, než dělat nový standardy, zredukovat analytics.goo­gle.com, fonts.google.com, apis.google.com a podobný exkrementy i na statické textové stránce? To by pomohlo víc.

"Co je na tomhle KISS nevím"

no ved praveze nic...

HTTP/3 ale neznamena ze HTTP/2 je zrazu zastaraly a konci. Budou zit paralelne dal vedle sebe, akorat nektere casti webu si vystaci s rychlejsim HTTP/3 a nektere vyzadujici vetsi robustnost pojedou v HTTP/2.
Skoda jen, ze na internetu je pomerne velka demokracie a neni tu nekdo co by bacnul rukou po stole a konecne uz donutil vypnuti HTTP/1. Asi jedinou cesotu bude az se vyrobci browseru dohodnou, ze jej uz z prohlizecu vyhodi tak ja to udelali treba s Gopherem.

Je to řešení dotahující svou kvalitou morálku našeho premiéra. Protože:
1) Protokol, po kterým každý e-shop uzavírá kupní smlouvy, stahuješ úřední dokumenty atd. musí mít konzistentní data.
2) Pokud mám v systému odladěnou a funkční součást, která řeší můj problém (v tomto případě TCP), je to lepší, než to patlat několikrát znovu a pokaždý s jinýma chybama.
3) Svět je plný NATů. TCP je z tohoto pohledu lepší - prostě NAT ví o spojení a jede se trvale, bez navazování furt dokola.
4) Pokud jim jde jenom o to, že TCP nešifruje, mají pod to strčit standardní IPSEC, ne vymýšlet TCP over UDP.
5) Firewall u UDP neví, kdo a co posílá a neví, jestli ten UDP paket souvisí se spojením zvenčí, nebo ho někdo jenom zkouší prostřelit.

A proč ty opičárny? Protokoly HTTP i TCP jsou OK, ale problém je v tom, co přenáší. Pokud si chci přečíst 10kB textu, tak u běžné stránky mám
- 10kB textu,
- 100kB CSS stylů
- 1MB JavaScritpu na všelijaký nesouvisející chvostoviny jako šmírování atd., ze kterýho se i tak využije maximálně 0,5%
- 10MB obrázků s rozlišením 20MPix, který se pak na místě škálují na velikost ani ne 1Mpix
- 100MB reklam
(vlastní fonty každé stránky a podobný pársetkilový detaily nepočítám)

Spláchněte ty lejna z webu do septiku a je po problémech s přetížením linek.

Pouzivas nespravny browser. Pro tebe je links v terminalu.

Ale vubec ne. Je sice pravda, ze doba a technologie pokrocily a to se do urcite miry projevilo i na tom, jak vypadaji dnesni weby, ale to vubec nevylucuje, ze v nich je tuna (pro uzivatele) neuzitecneho a zbytecneho balastu, ktery se projevuje na zbytecnem objemu prenasenych dat a rychlosti nacitani stranek (resp. celkove zatezi CPU vlivem vsudypritomnych hromad javascriptu).

Přesně. Více zde:

http://idlewords.com/talks/website_obesity.htm

Uzavření smlouvy (kupní) je i objednávka v e-shopu a ještě nedávno jich drtivá většina jela v plaintextu přes http1.0. Tolik k ověřování smluv na jiné vrstvě...

Řeší leda tak prd s šaltpákou.

TCP i UDP ti na internetu jedou nad IPv4 nebo nad IPv6. Ani jeden z nich nezaručuje ani doručení paketů, ani jejich pořadí. Bez toho, že by vysílací strana měla potvrzený, že to v pořádku došlo a přijímající strana měla možnost říct, že nemá konzistentní data od bytu X po byte Y nikdy nemáš garanci, že má protistrana validní data. Text, skripty, klíče v rámci D-H, soubory atd. nejsou data typu "no a co, tak kus chybí".

TCP to řeší tím, že po navázání spojení vysílající strana začne vysílat a pokud vynechá paket (jedno jestli se zamění pořadí, nebo je zahozen), hned si o něho řekne a novější data láduje do cache, dokud je nemůže navázat na chybějící paket. A ten dojde buďto zpožděně (použije se a opakovanou odpověď zahodí), nebo dojde ten na opakovanou žádost. Vysílač ví, kolik maximálně toho může být nepotvrzenýho "na cestě" a pokud nepřijde potvrzení, dá si pauzu a olehčí linku. Není to tak, že si řeknu o 100MB dat a nestarám se, když tak si někdo řekne znovu.

A nepride ti zbytecny se vo tom dohadovat s lidma ktery netusej jak IP funguje? Paac UDP ma tu uzasnou vyhodu, ze ti muzu rvat data na fullspeedu linky, aniz by se neco zpomalovalo kvuli takovy prkotine, ze protistrana nestiha prijimat. No neni to krasny?

A vubec, spravne by mel mit kazdej browser svuj IP stack, svoje DNS, svoje ... hlavne aby to mohlo usera smirovat.

https://twitter.com/fr3ino/status/1000166112615714816

Because of #GDPR, USA Today decided to run a separate version of their website for EU users, which has all the tracking scripts and ads removed. The site seemed very fast, so I did a performance audit. How fast the internet could be without all the junk! 5.2MB 500KB

Super, takze zahodime bezpecnost a apliakcie si budu implementovat "vlastne TCP" nad UDP len pre to, ze sa to googlu paci.
Hlavna vyhoda HTTP je jeho jednoduchost a spracovatelnost prakticky vsade. AKo bolo spomenute vysie problem nie je v TCP, ale v tom co po nom prenasame.

no ak sa to bude dat v prehliadaci zakazat, nech si to maju

Spíš "pokud to půjde dobře blokovat na firewallu, nemám nic proti".

Ono totiž pokud budu mít stupnici důvěryhodnosti paketu vstupujícího do sítě od 1 do 5 (nejdůvěryhod­nější), tak paket co přijde v rámci TCP iniciovanýho z vnitřní sítě má 4, akceptovaný TCP zvenčí 3, UDP zvenku 1 (ke spojení se nedá přiřadit, pokud nebudeme cpát do DB firewallu odchozí UDP pakety a zjišťovat, jestli za poslední minutu zevnitř někdo komunikoval odesílatelem).

tak i UDP dela zaznamy v contracku a neni duvod, proc povolit dovnitr cokoliv jineho nez stav ESTABLISHED,RELATED

U UDP je ovšem problém to ESTABLISHED, RELATED poznat. Protože nemá SYN/ACK, který ten conntrack sleduje. Z pohledu kernelu a síťové vrstvy je tam prostě náhodný odchozí UDP paket.

u DNS to nikoho taky netrapi. Staci src, dst a porty.

MarSik:
„U UDP je ovšem problém to ESTABLISHED, RELATED poznat. Protože nemá SYN/ACK, který ten conntrack sleduje. Z pohledu kernelu a síťové vrstvy je tam prostě náhodný odchozí UDP paket.“

Musím přiznat, že tuto úvahu moc nechápu (a nechám si ji vysvětlit) - nějaký SYN/ACK je záležitostí samotného TCP, firewall to nepotřebuje, tomu stačí znalost nějaké kombinace adres a portů. K čemu je mu vědět, v jaké fázi mají 2 počítače rozjednané spojení?

No hlavne je dulezite si rict, co je hlavni pointa. Neni to nejaka rychlost nebo bezpecnost, za te mi to je jen schovavano. Hlavni je jednoznacne tracking id v kazdem packetu, co jineho google potrebuje...

Jako ze budou moct trolly blokovat uz na switchi?

Neboj ;-)

Poté, co FB a YT přejdou na HTTP/3, nastane čas zakázát TPC na firewallech.

To ale neřeší ten největší průšvih - že ten standard psal nějaký blackhat.

Ten průšvih je v tom, že si díky ušetřenýmu handshake můžu říct http3 serverům tvým jménem o doručení souborů na tvou IP adresu. A ty to tam prostě nastřílí. Pokud žádost bude 1kB, mám s 5MB souborem multiplikační efekt cca 5000x. Pokud najdu nějaký 5GB image instalaček, mám zesílemí 5E6x. Pro DDoS jak dělaný.

S http2 přitom odejde jenom hlavička, kterou oběť nechtěla (pár bytů) a je po všem. Bez aktivní spolupráce příjemce se přenos nekoná.

Takže jestli chtějí zrychlit navazování komunikace, tak ať místo DV certifikátu dovolí soukromý klíč v DNS + IPSEC + HTTP. Pak se nemusí ověřovat revokace klíče a ušetří tím čas i energii. Pro ostatní certifikáty je holt zpomalení daň za bezpečnost. A mimo rychlejšího navazování komunikace v tomhle případě UDP spíš škodí.

"Ten průšvih je v tom, že si díky ušetřenýmu handshake můžu říct http3 serverům tvým jménem o doručení souborů na tvou IP adresu. A ty to tam prostě nastřílí."

Fakt?

Slyšel jsi někdy o "DNS Amplification"? Pokud tam nebude nějaký extra neprůstřelný mechanismus na ochranu, tohle je nemlich to samý. S jediným rozdílem, místo párkilové DNS odpovědi ti to klidně nableje pár mega v souboru ani nemrkneš. Z jednoho paketu jich udělat (deseti)tisíce, to je sen každýho obchodníka, který nabízí "DDoS as a service".

A i s tím mechanismem, pokud se najde chyba, bude výsledek hodně zajímavý.

Důvod přechodu na UDP je totiž jediný - nezdržovat se dohadováním ohledně spojení a parametrů, server ví jenom co, na jakou IP adresu a jaký port vychrlit. Pokud je to něco větší než dotaz a současně se dá pokyn k odeslání podvrhnout, bude to zneužito k zesílení DDoSu. Nehledě na to, že pokud někdo bude server k zesilování používat opakovaně, odstřihnou od netu "čerti" i ten legitimní web server - další vektor útoku na službu.

Když nad tím tak přemýšlím, tak jediná motivace Google k tomuto musí být ušetřit handshake ze stanic které nemají public IP? Zbytek by si mohli sami ad-hoc řešit přes UDP sami, jenom tady potřebují otevřený tunel. Pletu se?

Ty nemas ani paru o tom jak funguje UDP ze?

Takže na tvoje přání to vezmu polopaticky znovu, pro ty, co neznají rozdíl mezi UDP a TCP:

Spojení UDP ze stroje A na stroj B (za dvojtečkou je port), např. DNS:
1) A:X -> B:53: Pošli záznam AAAA pro domena.cz
2) B:53 -> A:X: IP adresa je ...

Většinou se posílá několik dotazů na několik serverů a co dojde, to se použije. DNS serveru je úplně šumák, jestli to došlo. Kdyžtak se zeptá znovu...

Spojení TCP na příkladu SSH:
1) A:X -> B:22: Prosím o spojení na A:X
2) B:Y -> A:X: Nabízím komunikaci na portu Y
3) A:X -> B:Y: Ok, můžeme komunikovat
A v téhle chvíli máme obousměrný tunel A:X <> B:Y se zaručeným pořadím dat a zaručeným doručením, pokud není přerušená linka.

No a teď něco k DDoS. Princip je zahlcení linky oběti. Pokud má 10Gbps uplink, pošlu jí 30Gbps a není tam kapacita pro zpracování legitimního provozu. Abych poslal 30Gbps, musím mít zdroj dat s minimálně 30Gbps. To má málo kdo, takže se používá zesílení přes některý služby (NTP, DNS, ICMP,...). Probíhá to takhle (C je oběť):

_AC:X->B:Y: Pošli odpověď na ... // A změní svou IP adresu v paketu na IP adresu oběti
B:Y->C:X: Odpověď delší než dotaz

Celkem triviální záležitost a stačí, když ISP nekontroluje odchozí IP adresy, že patří do jeho rozsahu.

A teď si představme, že se někdo rozhodne po UDP přenášet balíčky souborů na jednu UDP žádost:
_AC:X->B:443: Pošli stránku ..., do potvrzení smí odejít 10MB
B:Y->C:X: Stream až 10MB

Při žádosti velikosti řekněme 5kB včetně klíčů pro šifrování (který si můžu vymyslet, server mě nezná) a podpisu (to samý, ví jenom IP adresu, ale ne veřejný klíč) získám až 10MB z jednoho stroje.
Když bude mít průměrný server k dispozici 20Mbps na odbavení dotazu a dá těch 10MB (cca 80Mb) na jeden dotaz, mám ten tok na 0,4s a na saturování 10Gbps linky stačí 10G/200M = 500 dotazů.
500x5kB dotaz = 2,5MB. Za sekundu to musím udělat 2.5x. To znamená, že na dotazy z toku 6.25MB/s ~ 50Mb/s takhle vyrobím DDoS 10Gb/s. To se opravdu vyplatí vyhodit úvodní handshake, že...

<ironie>Ještě že 50mbps+ uplink nikdo nemá doma, dokonce ani ti s gigovou FTTH. </ironie>

Ve skutecnosti si vpohode vystacis s http 1.0 ... jediny co pridava 1.1 je hlavicka s domenou, kterou nepotrebujes, pokud ma kazda domena svoji IP. Je to jednoduchy na implementaci, na strane serveru ti staci par kB, a na strane klienta telnet. A pokud mas kompletni ipv6 stack vcetne ipsec (coz jako povina soucast vypadlo pry prave kvuli IoT vecem, ktery na to nemaj parametry), tak muses vesele i sifrovat, a porad ti staci ten telnet.

Dtto email, posilas text a textovy parametry. Easy. Zakladni komunikaci napises za hodinu a bude to fungovat. A opet, pokud pod tim mas ipstack muzes to posilat pres ipsec. Ale aplikaci jako takovou to vubec nemusi zajimat, protoze to neni jeji starost.

Nepotrebujes zady stovky MB silenych a deravych knihoven na sileny, naprosto zbytecny a nepouzitelny protokoly.

Parada je, ze video pres http je ne jeden, ale 100 kroku zpet, protoze i ten prdlej flash umel RTMP. A fungovalo to paradne, stream se dynamicky a zcela bez vypadku prizpusoboval kvalite spojeni.

jj, nejlepsi je vozit pisek vochcafkou, to je na to uzasnej nastroj, stejne jako http na prenos videa.

Mě by s spíš líbilo udělat, když už jsou problémy s domlouváním šifrování, standardní TCP-Sec pro všechny. Chování jako TCP, jenom vyžaduje před spojením na obou stranách klíče. Pak je to taky jenom o výměně tří zpráv a jede se. Navíc v těch zprávách mít klíč a jeho typ a by default šifrovat.

Ono to není úplně "blbý" nápad. Jen mám pocit, že část žhavě diskutujících ne zcela správně chápe současné fungování TCP, jak vlastně funguje dnešní web, a v neposlední řadě "trendy" = co vlastně uživatelé chtějí (rozuměj. za co mě uživatelé jak síťaře platí).

QUIC řeší určitě problém se zpožděním. Asi praxe ukáže, jak řeší problém se ztrátovostí. Plně chápu, že implementace nového protokolu trvá opravdu dekády, IPv6 budiž reálným příkladem. Zde se použije poměrně chytře legacy protokol, do něj se zapouzdří QUIC jako opět protokol, ale na aplikační vrstvě. Protože se jedná o aplikaci, tak její update je podstatně rychlejší.

QUIC je určitě výsledkem požadavku uživatele. Dnešní uživatel chce pracovat na počítači, plynule přejít se stejnou prací na mobil a dokončit jej na tabletu. Tedy, není možné data skladovat na koncovém zařízení. Máme zde jednoznačně lehký klient-server architekturu. Uživatel je netrpělivý, nechce čekat. Jsme brutálně konzumní společnost, odnaučili jsme se čekat.

Dnešní uživatel chce sledovat videa. Nejlépe v HD, ještě lépe v 4K. Jenže před mnoha a mnoha lety jsme udělali chybu, jmenuje se NAT. Jeho špatnou implementací jsme způsobili, že dneska není prakticky možné, aby server posílající data viděl přímo na klienta, server tedy nemůže posílat video stream na přímo, ale prostřednictvím navázaného spojení, obvykle TCP, i když konkrétně u videa výpadek paketu by vůbec neměl vadit. NAT je ten problém, proč dneska většina IoT zařízení nekomunikuje na přímo, ale vždy prostřednictvím nějakého serveru. Tento problém má řešit IPv6 (všimli jste si chybějícího NATu?), ale dekáda pryč a NATujeme stále jak šílení.

Nečetl jsem návrh QUIC detailně, ale nevypadá jako DDoS nástroj. Naopak, spíše optimalizuje. Jen ne na síťové úrovni, jak jsme všichni zvyklí, ale na aplikační. Ze síťového hlediska vidím jen problém v tom, že u TCP jsem na síti schopen "řídit" klienta, jak moc datového pásma využívá. Prostě mu pár paketů zahodím, TCP window se zmenší, klient používá méně pásma, než postupně zase stoupá nad hranici, kdy opět pár paketů zahodím. U QUIC je to co je neznámé v tom, že UDP je naprosto zcela jedno, kolik paketů zahodím. Žádné window, žádné potvrzování na síťové vrstvě. Vše se děje na aplikační vrstvě, kam jako síťař "nevidím". To je to riziko.

Neni, je to tak maximalne vysledek pozadavku guuglu. Uzivatel chce flash, s 0 zatezi CPU a plynulym prehravanim videi. Uzivatel rozhodne nechce MB javascriptu, GB nesmyslne velkych obrazku, a mazanice na youtube (mel sem tu pochybnu cest opakovane videt co nekdo na yt nahral, a co tam pak bylo ... strasny).

Protokolu pro prehravani videi existuje cela rada, pres NAT funguji temer vsechny a http je zni ze vsech zdaleka nejhorsi. Totez samo plati pro prenos souboru atd.

A co se myslis asi tak stane, kdyz ti na nepotvrzovanym UDP odeslu paket na server, a do SRC dam TVOJI IP. Ten server se te totiz uz ptat nebude (protoze proc by mel) a naladuje ti tam data. Na TCP tohle udelat nejde, protoze server neposle data dokud neprobehne kompletni handshake. A protoze ty (logicky) na jeho vyzvu nijak reagovat nebudes (respektive to ani neprojde pres tvuj NAT, protoze si zadny spojeni nezadal) tak zadny data nebudou ze? Na UDP ti mezi tim dorazi klidne i par stovek MB, nez si to aplikace serveru rozmysli. Takze kdyz poslu YT req tak na 10x video, tak ti sejmu linku ani se nebudu muset moc snazit (a protoze me tech par paketu nijak netrapi, muzu je tam posilat i par mesicu).

A proč by měl server chrlit data na moji IP na základě podvrženého paketu? QUIC má samozřejmě úvodní handshake klient - server. Každé QUIC spojení má svůj pak 64 bit connection ID, tím se dané spojení identifikuje, proto server začne posílat data. A pokud neznáte správný 64 bit connection ID, tak ty data nespustíte.

A co ty dutohlave nechapes na tommhle obrazku? https://i.iinfo.cz/images/607/quic.png

To co se děje kolem webu obecně v poslední době mě stále vic a víc překvapuje.
Přechodem http na UDP se jen vytvoří vynikající zdroj pro DDoS na malinký Get požadavek začnu klientům posílat 10G soubory, to bude skvělé. Teda nečetl sem specifikaci ale při frekvenci s jakou Google zavádí a ruší různé výtvory je teď na to stejně ještě brzo.

Zapomente na DDoS, QUIC neni tupy UDP server kdy v packetu poslu request na DVD a nejaky chudak dostane 4.7GB dat. Ma to stejne(podobne) potvrzovani, pouze je na aplikacni a nikoliv sitove vrstve jak jsou lide zvykli z TCP.

@olda

A dostane se to pak vůbec k té aplikační vrstvě?

80% diskutujících netuší že vlastně netuší, jak funguje IP protokol. A z této skupiny jich spousta ve skutečnosti nerozumí anglicky psanému technickému textu.

Kterej blbec by dobrovolne vymyslel dnssec, aby se pak dal krasne pouzivat k DDOS utokum?

@Filip Jirsák

Neřekl bych že jsi tady jediný myslitel a oni zpochybnují že server i QUIC má mít řízení toku dat, ale spíš se handrkují že ji nemá*

to už nevím a popravdě to jde mimo mě. Na schválení vliv nemám a používat to tak jak tak budu muset ...

> Neřekl bych že jsi tady jediný myslitel a oni zpochybnují že server i QUIC má mít řízení toku dat, ale spíš se handrkují že ji nemá*

Jenze on ji ma. Nebosi vazne myslis, ze kdyz QUIC traffic dela tretinu mobilniho trafficu v US, ze to dokaze fungovat bez rizeni toku?

@kraxna

Ale já napsal že to nevím a ani mě to nezajímá. Jenom ze zájmu pročítám i diskuze pod články - jako tato diskuze. kde se člověk něco dozví třeba tím že je někomu něco vyvráceno - a všiml jsem si, že ta neshoda mezi nimi je někde jinde než @Filip Jirsák popsal - což by jako zjištění mohlo lépe vést k vyřešení neshody - s tím jak QUIC funguje to myslím nemá nic společného a jak jsem napsal, stejně je mi to celkem šumák - QUIC přímo nepoužívám a HTTP 3 prostě používat budu muset. Až bude. To je celé.

Ale k tomu co si myslím. Nemyslím si že by to nechali jenom tak, odstranili handshake a nechali jenom tak nějak něčím nějaké děcko bombardovat servery a kdoví co. Jediná relevantní otázka je podle mě jestli je správně to že odsunuli handshake na aplikační vrstvu, což má samozřejmě obvyklé pro a proti a bude o tom rozhodovat klasicky požadavky okolního prostředí nasazení - třeba poptávka pro konkrétní omezení latence, hw možnosti apod. které se mohly v čase prostě zaměnit a už se nevrátí .... Bez mučení přiznávám že to neumím úplně posoudit abych za to dával ruku do ohně. Takže se k technické stránce neyjadřuji.

Vycházím a argumentace autorů QUIC, že právě ten handshake odpárali. Když není úvodní handshake, ale jenom GET, tak kdy má server začít s přenosem? Logicky po tom GETu a potvrzování jede až za běhu, aby se snížila latence.

A píšou, že GET má mít parametry. Tzn. klíče pro šifrování, kapacita linky a asi i velikost dat, kterou může poslat. klíče si můžu vygenerovat (jejich ověření by bylo dražší, než ten handshake, takže tam nebude), na DDoS dám kapacitu linky nesmyslně vysoko a velikost bufferu stejně tak, protože chci poslat maximum dat maximální rychlostí. Že to server utne, když mu dojdou data nebo dosáhne požadované velikosti je hezký, ale i tak tu lajnu krásně zahltíš.

A nebylo by jednodušší to řešit ve spojení s RFC4303? Naváže se TCP spojení v jeho rámci a je to...

Jak je to "jinak"?

Buďto mám handshake hned, ale pak se několikrát (min. 3x) musí protáhnout zpráva skrz spojení (ne jeden paket, třeba doma mám MTU 1496 B a holý klíč má třeba 2048 B) bez záruky doručení, tj. s latencema, timeoutama, případným opakováním a vším, co k tomu patří. Nebo prostě začnu komunikovat ještě dřív, než ten handshake doběhne. Není jiná možnost.

Jedinej rozdíl v navázání může být v tom, že se zprávy sloučí, ale pak je každá složená z několika paketů bez záruky pořadí a doručení. A jsme tam, kde jsme byli.

Nasledek deseti let soustavneho huleni ?

To leda v pripade, ze toho kazdej den vyhulis vagon.

To tady nikdo neslysel o vxlan a virtualizaci siti? Tam se by design pouziva encapsulace tcp/udp/icmp/ipsec do udp a funguje to bez problemu.

Co bych pochopil je obava ze nastaveni firewalluu a obecny vnimani ze 80,443 = internet...

VxLAN a SDN bych sem vubec netahal, protoze to se typicky pouziva na propojeni datacenter nebo v ramci datacenter a prakticky vyhradne na pronajatych neverejnych okruzich.
AD porty 80 a 443, zajimalo by mne jak si nekdo predstavuje reseni bezpecnosti - rozumneno inspekci obsahu - nad protokolem jako je QUIC ktery je nad bezstavovym protokolem jako je UDP.
Ze budou utoky i na tento prokolol resp. jeho UDP porty se jasne, secure session init v QUIC tomu nezbrani.
Za mne to dopadne tak ze ze startu na firewallu zariznu UDP port 443 (popr. jakykoliv jiny na kterem bude detekovan QUIC protokol) a prinutim prohlizec udelat fallback na TCP ktery jsem schopen ridit a delat nad nim nejakou bezpecnost...

Omezit se na securitu pouze na endpointu je kratkozrake (netvrdim ze neni potreba, naopak!) a pokud nebudete resit ochranu ve vsech vrstvach nemate do budoucna zadnou sanci.

Muj nazor je, ze je to proste kktina. Nahradit relativne spolehlive TCP UDP a at se aplikace postara je proste spatny napad. Fungovat to bude.

Tak asi tady budu za kacire, ale ja je trochu chapu.

Pred hodne lety jsem programoval nejake embedded zarizeni, se kterym se melo komunikovat po ethernetu, a take jsem prisel na to, ze je pro me vyhodnejsi si vymyslet vlastni protokol nad UDP, kde si muzu vyresit timeouty, potvrzovani a opakovani po svem a nemusim to nechavat na TCP. Takze jestli je pro nekoho vyhodnejsi UDP, tak at si ho pouziva.

Ale jinak souhlas se spoustou diskuteru, ze dnesni svet www je na hony vzdalen puvodni jednoduche myslence. Tady uz to nejake UDP nevytrhne.

Možná, pro lepší pochopení jak QUIC funguje je vhodné shlédnout video https://youtu.be/wCa5nylzJCo , mají tam to docela dobře vysvětleno.

Specifika UDP z pohledu sitovych prvku a firewallu:

- restransmisi resi klient
- nejde o kriticka data, mohou se ztracet, navrzene to bylo pro realtime video a audio (kde se ztracena data neopakuji)
- nelze pouzit a obvykle se nepouziva plna packet size
- sitove prvky musi u ACL sloziteji nez u stavoveho UDP resit, zda pustit, ci ne. V dusledku toho je UDP provoz zatezuje
podstatne vice, nez provoz TCP
- transparentni proxy a aplikacni proxy jdou totalne k certu, bud nebudou schopny fungovat, nebo se vykonove utavi
- u 95% pripadu napadeni PC je vstupni bod http/https provoz

Chapu, ze kdyz je 85% provozu na internetu http a https, muze 3% provozu http/https pomoci UDP profitovat co do rychlosti, ale co se stane, az se tim svinstvem opre o servery tech 85% provozu ?

Kvuli snizeni vypocetni zateze na distribuovane klienty s cim dal vykonnejsimi procesory zabijeme sitove prvky po ceste ?

Sifrovani vseho, cloudove a CDN zdrojove IP a zprisnena pravidla pro certifikaty znamenaji, ze se tento obsah mezi serverem a klientem presouva bez moznosti in-the-middle kontroly. Pro firemni nasazeni zabijak. Druhy zabijak jsou plany na sifrovani uz uvodni vymeny certifikatu (na gateway uz neuvidite ani ten certifikat), totez se chysta pro SNI, a zbyva uz jen nahradit spojovanou sluzbu sluzbou nespojovanou pro majoritni internetovou sluzbu http/https. Pak uz bude bezpecnost kazde workstation z pohledu jinych nez na workstation instalovanych prostredku uplne neriditelna. Pridejte IPv6 a eliminaci NAT, a to, ze vetsina firemnich workstation jsou prenosna zarizeni (tudiz bezpecnost a udrzba jejich software vybaveni je z pohledu centralni spravy problematicka), a mate drasticke zhorseni bezpecnostni situace pro firmy.

Zapomnel jsem jeste na win10, ktere se aktualizuji kdy chteji, a ze zavirovaneho MS Store si instaluji, co chteji, bez ohledu na MS AD a jeho nastaveni.

> https/2 předně vytváří rámce a streamy, který zbytečně nafukují přenos

Nafukuji prenos 9 (pokud me pamet neklame) byty na frame? :-)

> Předbíhání odpovědí není https/2

To je pravda, protoze HTTP/2 je kompletni multiplexing vc. moznosti definovani vztahu a priorit mezi streamy a moznosti server push :-) Tedy reseni, ktere je technicky mnohem silnejsi, nez pouhe predbihani odpovedi :-)

> Hlavně rozsekání na rámce dost pravděpodobně narušuje rozsekání na packety a proto celkem logicky se hledá cesta formou UDP

Nikoliv, s tim neni problem. Problemem je zbytecna latence a HOL blocking dany TCP kanalem.
Jinak receno, TCP dela veci, ktere nejsou potreba, ani nejsou uzitecne - diky multiplexingu neni nutne, abych data dostaval striktne sekvencne, ani neni nutne mit handshake (TCP) a potom dalsi handshake (TLS).

Jinak receno, transportni vrstva, ktera ma znalost toho, co prenasi a je optimalizovana pro tento typ prenosu, je efektivnejsi nez obecna transportni vrstva pro vse. To je cely duvod za HTTP/3 / QUIC.

> Pipelining umožňuje nasypat všechny requesty hezky za sebou bez čekání na odpověď, proto vaše námitka s roundtripem neplatí

Jasne a umi mi taky poslat to, co budu potrebovat nez si o to reknu (server push)? Ne -> round trip.

Umi mi posilat vice requestu soucasne (krasny priklad - 2 vetsi obrazky na strance - s HTTP/2 mi je server muze posilat soucasne - coz je velmi vyhodne, protoze pravdepodobne pro jejich progresivni zobrazeni je nepotrebuji cele). Opet ne.

> ale hledání rovnáku na vytvořený ohýbák.

Hledani rovnaku na vytvoreny ohejbak spis popisuje snahy naroubovat staricky HTTP protokol na potreby moderniho webu. A z tech rovnaku na ohejbaky vzniklo pozehnane - chunked encoding, long polling, css sprites, nutnost kombinace JS/CSS do jednoho souboru, ... Jeden workaround vedle druheho, ktere HTTP/2 nepotrebuje a pipelining je neresi.

Podle téhle diskuse to vypadá, že na rootu si dávají dostavenícko samí Vintonové Cerfové.

Tim DPI bych si nebyl moc jisty. Zavisi na tom na zaklade ceho ten firewall dela klasifikaci. Udaje ktere uvadi date dohromady i bez toho ze bude koukat dovnitr paketu nebo delat full DPI...
UDP dle protokol c. 17, QUIC dle portu 443(?). Youtube atd. pres rrDNS nebo WHOIS dotaz.... coz jsou vsechno udaje ktere zjistim uz na zaklade informaci v zahlavi paketu a to sem se dovnitr ani nepodival...

Fundamentalni problem QUICu je, ktery sebedumyslnejsi implementace nevyresi, ze funguje az na aplikacni vrstve.
Pro vsechna zarizeni, pres ktera jeho data potecou, to budou jen a pouze UDP pakety se vsemi slabostmi a omezenimi tohoto internetoveho protokolu. K tomu neni potreba uz co dodavat..

To je asi jako rict, ze fundamentalni problem HTTP 1.1 je to, ze pro vsechny zarizeni na cest jsou to jenom IP pakety se vsemi slabostmi a omezenimi :-)

Data jsou sifrovana, binarni, necitelna jak v H1 (pokud nekdo neni prasatko), H2, tak v QUIC / HTTP3.

Neni v tom zadny rozdil a hlavne tak je to naprosto v poradku.

Poslechněte si přednášku na BlackHat2016, UDP je vlastně nejlepší volba. Důvod proč aplikační úroveň je rychlost a jednoduchost nasazení. Na síťové vrstvě nasazujeme IPv6 dekádu (za chvíli dvě), plná závislost na mrtě výrobců, kolik jich vlastně existuje a je jakkoliv ochotno podporovat legacy zařízení. Na relační vrstvě jste závislý na operačním systému, a záleží tedy na výrobci operačního systému, jak se mu bude chtít nebo také jestli vůbec ještě existuje. Tak relativně nejjednodušší implementace je na aplikační úrovni. Je to čistě ve vašich rukou. "Blbé" UDP staré 40 let zvládne jakékoliv zařízení. Jak říkají v přednášce, odpor k této implementaci je spíše ze zcela jiného filozofického přístupu. Zcela nové a neotřelé řešení. Teď jen záleží, jak se s tím poperem. Co vidím jako zásadní úskalí je složitější inspekce QUIC. Zvláště, pokud se potřebuji dívat, co se mezi klientem a serverem přenáší.

> dáváme tím najevo, že jsme rezignovali na snahu neutěšený stav síťové infrastruktury řešit a místo toho problém obejdeme

Tady by se hodil nejaky link na clanek o adopci IPv6 :-D

Ale tolik stranou, v podstate souhlasim, ale na druhou stranu rici si, ze nejdulezitejsi / nejpouzivanejsi aplikacni protokol, potrebuje (vyuzije) moznosti specialniho transportniho protokolu, ktery je optimalizovany pro jeho potreby, mi neprijde nic divneho.

Ano, souhlas, pokud se potrebujete podivat co se prenasi mate problem. A v dnesni dobe je pomerne bezne ze kontroluje obsah prenaseny pres HTTPS, zejmena pokud se bavime o korporatnim prostredi. Co se nepodari zkontrolovat na rozhrani site, musi zvladnout ochrana na endpointu.... (o potrebe kontroly ve vsech vrstvach sem psal jiz vyse).
Osobne chapu pohnutky autoru QUICu, jedna z veci ktere mne na nem vadi je ze implementuje/su­pluje handshake do vrstvy kde nema co delat a trochu tim dela bordel v OSI modelu. Proc se misto cpani hanshake do aplikacni vrstvy nepokusili pouzit treba DTLS se mi nepodarilo rozumne vycist...