Cloudflare和蘋果設(shè)計(jì)了一個(gè)新的隱私友好的互聯(lián)網(wǎng)協(xié)議

Cloudflare和蘋果公司的工程師共同宣布他們已經(jīng)開發(fā)了一個(gè)新的互聯(lián)網(wǎng)協(xié)議，這被稱為Oblivious DNS-over-HTTPS，簡(jiǎn)稱ODoH,新的協(xié)議可以使互聯(lián)網(wǎng)供應(yīng)商更難知道你訪問了哪些網(wǎng)站。想要知道這一概念，首先要了解一下互聯(lián)網(wǎng)是如何工作的。

每次人們?cè)L問一個(gè)網(wǎng)站時(shí)，用戶端瀏覽器都會(huì)使用DNS解析器將網(wǎng)頁地址轉(zhuǎn)換為機(jī)器可讀的IP地址，以定位網(wǎng)頁在互聯(lián)網(wǎng)上的位置。但這個(gè)過程并沒有加密，這意味著每次加載網(wǎng)站時(shí)，DNS查詢都是在明處發(fā)送的。這意味著DNS解析器--可能是你的ISP，也就是提供服務(wù)的一方就知道你訪問了哪些網(wǎng)站。這對(duì)你的隱私不是很好，尤其是你的互聯(lián)網(wǎng)供應(yīng)商還可以將你的瀏覽歷史出售給廣告商。

最近的發(fā)展，如DNS-over-HTTPS（或DoH）已經(jīng)增加了DNS查詢的加密，使攻擊者更難劫持DNS查詢，并將受害者指向惡意網(wǎng)站，而不是你想訪問的真實(shí)網(wǎng)站。但這仍然不能阻止DNS解析器看到你試圖訪問哪個(gè)網(wǎng)站。

ODoH協(xié)議的基本原理是，它將DNS查詢與互聯(lián)網(wǎng)用戶解除了關(guān)聯(lián)，從而防止DNS解析器知道你訪問了哪些網(wǎng)站。ODoH在DNS查詢周圍包裹了一層加密，并通過代理服務(wù)器，作為互聯(lián)網(wǎng)用戶和他們想訪問的網(wǎng)站之間的中介。因?yàn)镈NS查詢是加密的，所以代理服務(wù)器無法看到里面的內(nèi)容，但可以作為一個(gè)屏蔽，防止DNS解析器看到誰一開始就發(fā)送了查詢。

"ODoH要做的是將誰發(fā)出查詢的信息和查詢的內(nèi)容分開。"Cloudflare的研究主管Nick Sullivan說。

換句話說，ODoH確保只有代理知道互聯(lián)網(wǎng)用戶的身份，而DNS解析器只知道被請(qǐng)求的網(wǎng)站。Sullivan表示，ODoH上的頁面加載時(shí)間與DoH"幾乎無法區(qū)分"，不會(huì)對(duì)瀏覽速度造成任何顯著變化。

ODoH正常工作的一個(gè)關(guān)鍵組成部分是確保代理和DNS解析器永遠(yuǎn)不會(huì)"串通"，即兩者永遠(yuǎn)不會(huì)由同一個(gè)實(shí)體控制，否則"要素的分離就會(huì)被打破，"Sullivan說，這意味著必須依靠提供運(yùn)行代理的公司。

一些合作機(jī)構(gòu)已經(jīng)在運(yùn)行代理，允許早期采用者通過Cloudflare現(xiàn)有的1.1.1.1 DNS解析器開始使用該技術(shù)。但大多數(shù)人將不得不等到ODoH協(xié)議被內(nèi)置到瀏覽器和操作系統(tǒng)中才能使用。這可能需要幾個(gè)月或幾年的時(shí)間，這取決于ODoH被互聯(lián)網(wǎng)工程任務(wù)組認(rèn)證為標(biāo)準(zhǔn)所需的時(shí)間。