A QUIC Look at Web Tracking
QUIC has been developed by Google to improve the transport performance of HTTPS traffic. It currently accounts for approx. 7% of the global Internet traffic. In this work, we investigate the feasibility of user tracking via QUIC from the perspective of an online service. Our analysis reveals that the protocol design contains violations of privacy best practices through which a tracker can passively and uniquely identify clients across several connections. This tracking mechanisms can achieve reduced delays and band-width requirements compared to conventional browserfinger printing or HTTP cookies. This allows them to be applied in resource- or time-constrained scenarios such as real-time biddings in online advertising. To validate this finding, we investigated browsers which enable QUIC by default, e.g., Google Chrome. Our results suggest that the analyzed browsers do not provide protective measures against tracking via QUIC. However, the introduced mechanisms reset during a browser restart, which clears the cached connection data and thus limits achievable tracking periods. To mitigate the identified privacy issues, we propose changes to QUIC’s protocol design, the operation of QUIC-enabled web servers, and browser implementations. https://petsymposium.org/2019/files/papers/issue3/popets-2019-0046.pdf Questo è un paper del 2019, non mi pare sia già passato in lista. QUIC è stato introdotto da Google in Chrome nel 2013 ed in meno di 6 anni gestiva già il 7% del traffico mondiale, nonostante sia ancora una bozza IETF in stato "I-D EXISTS". Per capire l'ambizione del progetto (ed il potere di Google), l'IETF potrebbe chiamare "HTTP/3" l'adattamento dell'HTTP a QUIC. https://datatracker.ietf.org/wg/quic/documents/ Inutile dire che QUIC è progettato bene: https://http3.net/ MA è progettato anzitutto per ridurre problemi (e costi) di scalabilità che affrontano società come Google, Amazon, Microsoft, Cloudflare... ma che sono irrilevanti per chiunque altro. Lato utente, QUIC renderà molto più veloce il caricamento di pagine Web che scaricano molte risorse separate da fonti diverse. In altri termini, i cittadini potranno farsi sorvegliare più in fretta. Giacomo
Buongiorno Giacomo, Giacomo Tesio <giacomo@tesio.it> writes: [...]
we investigate the feasibility of user tracking via QUIC from the perspective of an online service. Our analysis reveals that the protocol design contains violations of privacy best practices through which a tracker can passively and uniquely identify clients across several connections. This tracking mechanisms can achieve reduced delays and band-width requirements compared to conventional browserfinger printing or HTTP cookies. This allows them to be applied in resource- or time-constrained scenarios such as real-time biddings in online advertising.
[...]
https://petsymposium.org/2019/files/papers/issue3/popets-2019-0046.pdf
Conosco poco QUIC ma a me pare che la situazione del tracking via web NON sia significamente peggiorata dall'introduzione di un protocollo che lo rende (ma forse no) "solo" più performante :-) [...]
Inutile dire che QUIC è progettato bene: https://http3.net/
Non so se è progettato bene o male ma è sicuro che si tratta *solo* di un ulteriore patch a un'architettura, quella di Internet, irrimediabilmente compromessa dal punto di vista della riservatezza delle comunicazioni *e* mancanza di anonimità (che questa patch non prende in considerazione manco di striscio).
MA è progettato anzitutto per ridurre problemi (e costi) di scalabilità che affrontano società come Google, Amazon, Microsoft, Cloudflare... ma che sono irrilevanti per chiunque altro.
Non è vero che la scalabilità di rete è irrilevante per tutti gli altri: senza scalabilità non è possibile creare canali di comunicazione sufficientemente ampi per farci passare un numero adeguato di interazioni one-to-many (tipo didattica online) https://secushare.org/scalability (scusa se mi ripeto) --8<---------------cut here---------------start------------->8--- We have been warning about the importance of addressing scalability upfront in both the federated and the distributed networking worlds, and yet standards are being written that simply do not take the problem into account. Both new 'social web' standards do not provide means for scalable delivery of events: [...] The outcome of this is that these new standards only work for small communities or for cloud-based systems. Scaling up to a use for the whole human race without centralization becomes near impossible. [...] --8<---------------cut here---------------end--------------->8--- Se la scalabilità è lasciata come "after thought", qualcosa che non è connaturato alla rete; in questo modo i monopoli centralizzati sono architetturalmente inevitabili (la centralizzazione delle comunicazioni in rete tende a creare dei monopoli) . https://secushare.org/centralization [...] Ciao, Giovanni -- Giovanni Biscuolo
On Fri, 11 Sep 2020 15:33:00 +0200 Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
Non so se è progettato bene o male ma è sicuro che si tratta *solo* di un ulteriore patch a un'architettura, quella di Internet, irrimediabilmente compromessa dal punto di vista della riservatezza delle comunicazioni *e* mancanza di anonimità (che questa patch non prende in considerazione manco di striscio).
QUIC ha caratteristiche interessanti. L'idea più interessante, per me, è che essendo veicolato dall'UDP si tratta di un protocollo di livello 5, viene tipicamente implementato in user space. Altri aspetti (come la crittografia TLS 1.3 integrata nel protocollo https://quicwg.org/base-drafts/draft-ietf-quic-tls.html ), mi lasciano molto perplesso non solo per ciò che includono (l'autenticazione basata su certification authority), ma per ciò che escludono. In generale però, se visto dalla prospettiva di un cloud provider globale che influenza lo sviluppo di tutti i maggiori browser ed intende accentrare (senza dare troppo nell'occhio) il controllo delle comunicazioni di tutti attraverso il controllo delle "applicazioni web", è VERAMENTE progettato bene. In generale HTTP/3 non è veramente progettato per velocizzare la distribuzione degli ipertesti [1], ma per permettere la distribuzione e l'esecuzione di binari personalizzati (WebAssembly) e le comunicazioni di rete che questi stabiliscono. Stanno perseguendo la visione egemonica di Java, ma on-steorids: vogliono spostare sul Web (ha ancora senso chiamarlo così?) TUTTO. Dai video giochi, al CAD, fogli di calcolo, word processing, entertainment, interfacce IoT, IDE per programmare... TUTTO. Potranno scegliere cosa far eseguire al nostro computer di volta in volta, fornendovi accesso ai nostri contenuti (sul cloud), personalizzando la nostra esperienza, i bug, le vulnerabilità che dobbiamo esporre etc.. Hanno capito bene che il controllo dell'hardware, non il suo possesso o la sua posizione geografica, definisce il potere di questo millenio: - con QUIC e HTTP/3 vogliono mettersi in condizione di poter accentrare il più possibile il controllo dei server (aka cloud) - con QUIC e WebAssembly vogliono sottrarre autonomia ai client, decidendo di volta in volta cosa ciascun utente deve eseguire Controllando (e personalizzando!!!) il software che eseguiamo, i contenuti che consumiamo e le nostre comunicazioni... ...potranno assicurarci un futuro radioso di pace (romana) e prosperità. Un walled garden... da cui nessuno vorrà più uscire. :-D [2] Giacomo 1) Non serve un nuovo protocollo per questo, come non servivano le Server Push in HTTP/2: basterebbe un nuovo mime type che, alla richiesta di una risorsa, trasferisse un archivio contenente tutti i file necessari al rendering in una gerarchia analoga a quella del sito. 2) Per quanto sia evidente, chiariamolo: NON è un complotto. ;-)
Giacomo Tesio <giacomo@tesio.it> writes: [...]
QUIC ha caratteristiche interessanti.
Sì ma nulla di nuovo, stanno usando gli standard come sono sempre stati usati: uno degli N modi creativi di creare barriere commerciali all'ingresso, anche a rischio di favorire monopoli. Cominciamo a BUTTARE VIA un po' di standards, vecchi orpelli di una cultura del controllo incompatibile con un sano sviluppo della civiltà digitale che ci meritiamo. La comunità del software libero dovrebbe disilludersi, in merito agli standards. Detto in altro modo: «Open standards make sense wherever proprietary software does.» :-O [...]
Stanno perseguendo la visione egemonica di Java, ma on-steorids: vogliono spostare sul Web (ha ancora senso chiamarlo così?) TUTTO.
Dai video giochi, al CAD, fogli di calcolo, word processing, entertainment, interfacce IoT, IDE per programmare... TUTTO.
Questo ormai mi pare chiaro da anni: trasformare il browser nell'unico motore di esecuzione dei *programmi* usati dagli utenti invece che in *una delle* interfacce ai contenuti sul web, come sarebbe sano che fosse. Hanno cominciato col JavaScript, hanno visto che funziona alla grande per il tracking e ci hanno preso gusto, esagerando come al solito. Già da tempo considero il browser come il software più compromesso che gira sulle mie macchine, 'mo che arriva WebAssebly a manetta dovrò **per forza** confinarlo in una virtual machine con privilegi minimi (avrei già dovuto farlo), praticamente usa e getta :-D …e pensare che TUTTO deriva SOLO ed ESCLUSIVAMENTE dal fatto che non è possibile accedere a Internet, e quindi al web, in modo anonimo [1]: mettere in pista tutto questo circo per profilare gli utenti sarebbe impossibile. Per fortuna GAFAM non è ancora riuscita a comperarsi proprio tutto il cucuzzaro e qualche hacker con la voglia di esplorare nuovi modi di rompere le scatole riuscirà sempre a scrivere software sano, anche a costo di tornare (quasi) a Gopher: https://gemini.circumlunar.space/ --8<---------------cut here---------------start------------->8--- Gemini is a new, collaboratively designed internet protocol, which explores the space inbetween gopher and the web, striving to address (perceived) limitations of one while avoiding the (undeniable) pitfalls of the other. --8<---------------cut here---------------end--------------->8--- D'altronde «it's a long way to the top if you wanna rock and roll» [...]
Controllando (e personalizzando!!!) il software che eseguiamo, i contenuti che consumiamo e le nostre comunicazioni...
Io speriamo che me la cavo. Ciao, Giovanni. [...] [1] per essere chiari: significa che TERZI non possono nemmeno sapere che io e Giacomo siamo connessi e ci stiamo scambiando pacchetti di rete. -- Giovanni Biscuolo
Questo ormai mi pare chiaro da anni: trasformare il browser nell'unico motore di esecuzione dei *programmi* usati dagli utenti invece che in *una delle* interfacce ai contenuti sul web, come sarebbe sano che fosse. Hanno cominciato col JavaScript, hanno visto che funziona alla grande per il tracking e ci hanno preso gusto, esagerando come al solito.
Sai quante volte ho riflettuto su questo, quante volte ho disabilitato Javascript o provato browser che manco ce l'avevano. Fino a qualche anno fa si riusciva a vedere qualche sito, ora non più. Eppure, mi chiedo, perché i siti che non hanno finalità di lucro, penso alle università, ai centri di ricerca, ai siti di enti pubblici non cominciano a "ribellarsi" a questo stato di cose. Con CSS, dal punto di vista grafico, è possibile fare quasi tutto quello che si fa con Javascript. Ci sono dei web designer che lavorano benissimo con HTML5 e CSS3, senza una riga di Javascript. Antonio
Antonio Iacono <antiac@gmail.com> writes:
Questo ormai mi pare chiaro da anni: trasformare il browser nell'unico motore di esecuzione dei *programmi* usati dagli utenti invece che in *una delle* interfacce ai contenuti sul web, come sarebbe sano che fosse. Hanno cominciato col JavaScript, hanno visto che funziona alla grande per il tracking e ci hanno preso gusto, esagerando come al solito.
Sai quante volte ho riflettuto su questo, quante volte ho disabilitato Javascript o provato browser che manco ce l'avevano. Fino a qualche anno fa si riusciva a vedere qualche sito, ora non più.
Non è proprio vero. Da qualche tempo a questa parte il mio browser preferito per leggere articoli o fare ricerche sul web è diventato eww di Emacs (non ha supporto JS) e con quello riesco a leggere *quasi* tutto quello che mi passa sotto il naso. Certo, per accedere ai servizi via web, tipo alla banca, a un negozio online o (sic.) a un forge git (tipo essere costretto ad accedere a GitHub per aprire una issue, mannaggia!) senza Javascript non si va da nessuna parte; per questo ho in programma il "browser in container". Putroppo la campagna FSF https://www.fsf.org/campaigns/freejs viene ignorata ampiamente, quella dimostra come tecnicamente SAREBBE possibile permettere a chi usa i browser di usare solo JS software libero (che di per se non sarebbe risolutivo ma un grande passo avanti)
Eppure, mi chiedo, perché i siti che non hanno finalità di lucro, penso alle università, ai centri di ricerca, ai siti di enti pubblici non cominciano a "ribellarsi" a questo stato di cose.
Perché a ritenere che questo sia un problema siamo in quattro gatti
Con CSS, dal punto di vista grafico, è possibile fare quasi tutto quello che si fa con Javascript. Ci sono dei web designer che lavorano benissimo con HTML5 e CSS3, senza una riga di Javascript.
Sì, di modi per fare le cose per bene ce ne sono diversi, a questo livello dello stack ISO/OSI non è MAI un problema tecnico. [...] Saluti, Giovanni. -- Giovanni Biscuolo
(tipo essere costretto ad accedere a GitHub per aprire una issue, mannaggia!)
Non le ho provate ma le soluzioni dovrebbero esserci. https://github.com/stephencelis/ghi https://cli.github.com/ https://github.com/piotrmurach/github_cli
Buongiorno, scusate l'OT ma ho deciso di inviarlo anche in lista nel caso qualcuno fosse interessato a questo "tangent" :-) Antonio Iacono <antiac@gmail.com> writes:
(tipo essere costretto ad accedere a GitHub per aprire una issue, mannaggia!)
Il mio "fastidio" non è solo accedere a GitHub/GitLab via web, o una CLI tra quelle elencate sotto (a cui ne aggiungo un paio): mi spiace non essere in grado di interagire con il sistema di bug tracking in modo *semplice* come possibile con diversi altri progetti, via email :-O Un po' come essere "costretto" a partecipare a una discussione attraverso interfacce web senza alternative email (forum web vs mailing list)
Non le ho provate ma le soluzioni dovrebbero esserci.
Grazie mille per le segnalazioni! Li guarderò con calma per vedere se posso (e riesco a) pacchettizzarli in GNU Guix, che mi farebbero comodo.
L'ultima release è dl 2016, spero sia ancora compatibile con le API
GitHub CLI beta, divertente sia ancora una beta Ho già visto altre CLI simili per altri servizi ed erano specchietti per le allodole, MAI alla pari con le API aggiornate; spero questa sia una eccezione BTW grazie a questa segnalazione ho scoperto: https://github.com/github/hub che è anche pacchettizzato in Debian: https://packages.debian.org/buster/hub
Interessante anche questo. Per chi usa Emacs, aggiungo solo magit-forge https://github.com/magit/forge che andrò a provare al più presto. Saluti, Giovanni -- Giovanni Biscuolo
Cominciamo a BUTTARE VIA un po' di standards, vecchi orpelli di una cultura del controllo incompatibile con un sano sviluppo della civiltà digitale che ci meritiamo.
Ah, se ti sentissero coloro che lavorano presso UNI, DIN, ANSI, ETSI, ISO, ITU e tutta quella pletora di enti di standardizzazione istituzionali e no. Sono ovviamente gli standard "imposti" per favorire un'azienda, una piattaforma, una tecnologia, ecc. che vanno eliminati. Citerò ancora una volta da un libro, l'ottimo "Open Source, software libero e altre libertà" di Carlo Piana (capitolo che potete leggere liberamente online qui [1] ). 1) uno standard non può fare riferimento a un prodotto, un servizio una tecnologia non standard, o peggio, proprietaria; 2) uno standard dovrebbe essere il più neutro possibile sul piano tecnologico, ovvero non privilegiare ingiustificatamente una piattaforma rispetto a un'altra, una tecnologia rispetto a un'altra, un'impresa piuttosto che un'altra, per quanto possibile. In altre occasioni mi sono scagliato contro il PDF, lo farò pure qui. E' vero, Adobe ha "donato" il formato che è diventato uno standard ISO ma PDF non è il TXT, JPG, PNG, TIFF e così via per i quali ci sono centinaia di software di lettura/modifica. Il PDF è il formato di file più importante del mondo [2]. Mi dite la diffusione delle alternative ad Acrobat? Quanti usano Evince, Okular, Atril? L'uno, il due per cento. E non è monopolio questo? E quand'anche volessi usare Acrobat Reader su Linux, perchè l'ultima versione disponibile per questa piattaforma è la 9.5.5 del 2013 !!!. La mia azienda per motivi di sicurezza mi chiede espressamente di usare l'ultima versione di Acrobat Reader e allora cosa dovrei fare io, installare Windows solo per leggere ed usare i PDF? Antonio [1] https://it.wikisource.org/wiki/Open_source,_software_libero_e_altre_libert%C... [2] https://www.vice.com/it/article/pam43n/perche-pdf-e-il-formato-di-file-piu-i...
Buongiorno Antonio, Antonio Iacono <antiac@gmail.com> writes:
Cominciamo a BUTTARE VIA un po' di standards, vecchi orpelli di una cultura del controllo incompatibile con un sano sviluppo della civiltà digitale che ci meritiamo.
Ah, se ti sentissero coloro che lavorano presso UNI, DIN, ANSI, ETSI, ISO, ITU e tutta quella pletora di enti di standardizzazione istituzionali e no. Sono ovviamente gli standard "imposti" per favorire un'azienda, una piattaforma, una tecnologia, ecc. che vanno eliminati.
So che detta come l'ho detta sopra può sembrare la boutade di un qualunquista che spara sentenze a vanvera, mi spiace non ho sufficienti risorse per argomentare :-( Qui mi limito a specificare che io parlavo degli *standard tecnici* volontari gestiti dagli enti privati… che qualche volta diventano standard de-jure.
Citerò ancora una volta da un libro, l'ottimo "Open Source, software libero e altre libertà" di Carlo Piana (capitolo che potete leggere liberamente online qui [1] ).
Eccolo: Carlo argomenta bene. Non ho mai letto tutto il libro ma conosco abbastanza bene i suoi argomenti, *anche* perché ho avuto l'onore (è il caso di dire "io c'ero" [1]) di sedere allo stesso tavole nelle riunioni della commissione Uninfo che discusse di OOXML di Microsoft, esattamente quello standard che «evidenzia difetti in tutte le aree di cui ho parlato sopra, forse (e dico forse) con l’unica esclusione dell’interferenza di brevetti.». [2] La situazione NON è certo una novità, come molti credono: "il diavolo si annida nei dettagli" è il leitmotif di TUTTI gli standard mai concepiti nella storia degli enti di standardizzazione, dalla forma del taglio delle viti fino al formato di serializzazione dei dati (i formati dei file)… passando per il parzialmente INAPPLICATO sistema internazionale unità di misura (uno dei pochissimi gestito da un ente intergovernativo) con tutta la catena metrologica che ne consegue. Non ho adeguata letteratura sotto mano, però: tutto questo è frutto SOLO di una mia personalissima analisi, che però appunto non è "documentabile". :-) [...]
Il PDF è il formato di file più importante del mondo [2]. Mi dite la diffusione delle alternative ad Acrobat? Quanti usano Evince, Okular, Atril?
Io non faccio testo, anzi :-O
L'uno, il due per cento. E non è monopolio questo? E quand'anche volessi usare Acrobat Reader su Linux, perchè l'ultima versione disponibile per questa piattaforma è la 9.5.5 del 2013 !!!. La mia azienda per motivi di sicurezza mi chiede espressamente di usare l'ultima versione di Acrobat Reader
É sempre affascinante per me osservare come il concetto di sicurezza sia EVANESCENTE :-O
e allora cosa dovrei fare io, installare Windows solo per leggere ed usare i PDF?
Non seguo da anni i CVE dei prodotti proprietari, ma stando a queste statistiche, aggiornate al 2018, Adobe Acrobat Reader dal 2013 ad oggi ha avuto un significativo numero di bug reports, ANCHE di "code execution". Quindi: proprietario per proprietario meglio di sì. https://www.cvedetails.com/product/497/Adobe-Acrobat-Reader.html?vendor_id=5... Comunque l'ultima infornata di bug mi pare sia dello scorso Agosto: https://www.securityweek.com/adobe-patches-11-critical-vulnerabilities-acrob... tipo: https://nvd.nist.gov/vuln/detail/CVE-2020-9698 [...] Saluti, Giovanni. [1] bastava essere iscritti a Uninfo, non per altro :-D [2] https://en.wikipedia.org/wiki/International_Organization_for_Standardization... --8<---------------cut here---------------start------------->8--- The disparity of rules for PAS, Fast-Track and ISO committee generated standards is fast making ISO a laughing stock in IT circles. The days of open standards development are fast disappearing. Instead we are getting "standardization by corporation". --8<---------------cut here---------------end--------------->8--- -- Giovanni Biscuolo
participants (3)
-
Antonio Iacono -
Giacomo Tesio -
Giovanni Biscuolo