Vlákno názorů k článku HTTP/3 nebude postavené na TCP, základem bude QUIC používající UDP od citanus006 - To tady nikdo neslysel o vxlan a virtualizaci...
-
Matas (neregistrovaný)
VxLAN a SDN bych sem vubec netahal, protoze to se typicky pouziva na propojeni datacenter nebo v ramci datacenter a prakticky vyhradne na pronajatych neverejnych okruzich.
AD porty 80 a 443, zajimalo by mne jak si nekdo predstavuje reseni bezpecnosti - rozumneno inspekci obsahu - nad protokolem jako je QUIC ktery je nad bezstavovym protokolem jako je UDP.
Ze budou utoky i na tento prokolol resp. jeho UDP porty se jasne, secure session init v QUIC tomu nezbrani.
Za mne to dopadne tak ze ze startu na firewallu zariznu UDP port 443 (popr. jakykoliv jiny na kterem bude detekovan QUIC protokol) a prinutim prohlizec udelat fallback na TCP ktery jsem schopen ridit a delat nad nim nejakou bezpecnost... -
AD porty 80 a 443, zajimalo by mne jak si nekdo predstavuje reseni bezpecnosti - rozumneno inspekci obsahu - nad protokolem jako je QUIC ktery je nad bezstavovym protokolem jako je UDP.
Úplně jednoduše – stačí místo inspekce obsahu řešit bezpečnost. Nebezpečnému obsahu je totiž úplně jedno, jakým transportním kanálem se do počítače dostal, zda to bylo přes HTTPS, souborem na flash disku nebo e-mailem jako zaheslovaná příloha. Takže pokud chcete řešit bezpečnost, musíte to stejně řešit až v okamžiku, když se to vybalí z transportního kanálu a je to připravené k použití. -
Nebezpečnému obsahu je totiž úplně jedno, jakým transportním kanálem se do počítače dostal, zda to bylo přes HTTPS, souborem na flash disku nebo e-mailem jako zaheslovaná příloha. Ale to už jsem psal, že? A transportní kanály budou vždy směřovat k tomu, aby se do nich nikdo z venčí nedostal, ono to mimo jiné právě zvyšuje bezpečnost. Takže pokoušet se řešit bezpečnost tím, že se budete vloupávat do transportní vrstvy, je krátkozraké – všichni se budou snažit, aby to nešlo, a každý způsob, který můžete využít vy „v zájmu bezpečnosti“ může využít i útočník. Takže je v zájmu bezpečnosti, abyste se do transportního kanálu vloupat nemohl.
ČLÁNKY DO MAILU