Vlákno názorů k článku SuperProblémy se Super(Network|Hosting)em od Ondřej Caletka - Narážku na souvislost s Google cache s Kukaččím...
-
Ondřej CaletkaZlatý podporovatelNarážku na souvislost s Google cache s Kukaččím vejcem jsem moc nepochopil. Buď cache v síti nemám a veškerý svůj tok pro Google předávám někomu jinému, kdo s ním může dělat cokoli. Nebo cache v síti mám a mám aspoň jistotu, že veškerý provoz pro cache teče jen mou sítí a nikdo jiný kromě mě se k němu nedostane. Z toho pohledu jenom výhoda. Že by třeba sniffoval provoz, to je taky nepravděpodobné. A i kdyby, stejně bude v naprosté většině případů zapojen do samostatného segmentu, takže odsniffuje maximálně svůj vlastní provoz.
Jako velké riziko bych to naopak viděl pro Google, který má v cache i HTTPS, takže se klidně může stát, že mu na ní někdo udělá cold boot útok a vydumpuje certifikát vystavený na Google.com. Pokud to šikovně zamaskuje jako výpadek proudu v datacentru (a pohackuje IPMI, aby nenapráskalo otevření skříně), může trvat i celkem dlouho, než na to Google přijde. Pochybuji, že vyměňují certifikáty po každém bootu.
-
student (neregistrovaný)
> takže se klidně může stát, že mu na ní někdo udělá cold boot útok a vydumpuje certifikát vystavený na Google.com
CertPatrol mi hlasi zmeny certifikatu skoro stale => pri vhodnej koordinacii by islo menit certifikaty tak, ze by bol ukradnutelny certifikat platny vzdy uz len par hodin. Castejsich vypadkov by si Google asi vsimol a certifikat na par hodin nie je idealna vyhliadka na odpocuvanie niekoho (aj ked lepsie ako nic).
-
K té možnosti ukradení certifikátu: co když na souborovém systému ten certifikát není? Stáhne se do paměti po bootu ze zdroje pod přímým dozorem google a stažení autorizuje klíčem, který je v TPM? Pak by musel lupič zmrazit paměti a zkopírovat jejich obsah tak rychle aby to stále ještě stihlo vypadat jako boot při výpadku napájení ;)
-
Google cache vám negarantuje ani zdaleka 100% odbavení dotazů na Google lokálně ve vaší síti. Naopak IIRC negarantuje vám zhola nic, jen to, že Google bude tu cache využívat, když to pro něj bude výhodné. Když už mu platíte housing a elektřinu. :-)
Neodpustím si malé popíchnutí na závěr: Když už jste tak vysazenej na správné použití správných zkratek, pak vězte, že je řeč o GGC (Google Global Cache) a ne GCC (GNU Compiler Collection) ;-)
-
Ondřej CaletkaZlatý podporovatel
K první části: O to v mém dotazu nešlo, ptal jsem se, jak může taková cache představovat Kukaččí vejce, tedy jako by mohla Google cache potenciálně škodit v mé síti. Na žádný takový scénář jsem nepřišel.
Ke GCC: Je to překlep v článku, já to jen zkopíroval :)
-
Ondřej CaletkaZlatý podporovatel
Nepředpokládám, že by někdo Google cache instaloval tak, aby bylo vůbec technicky možné odposlouchávat z něj jiný provoz sítě. Zvlášť když taková cache nepoužívá jednu adresu, ale rozsah adres, třeba /26.
ČLÁNKY DO MAILU