همکاری کلاودفلر و اپل در ساخت یک پروتکل جدید برای افزایش حریم خصوصی
پیش از اینکه از این پروتکل صحبت کنیم شاید بهتر باشد که اول اشارهای به نحوه کارکرد اینترنت داشته باشیم. هر گاه میخواهید سایتی را باز کنید، مرورگر شما از سرویسدهنده DNS برای تبدیل آدرس سایت مقصد به آدرس IP قابل فهم کامپیوتر استفاده میکند تا محل آن را در شبکه اینترنت پیدا کند. ولی این فرآیند رمزنگاری نشده است، یعنی هر بار که سایتی را باز میکنید، درخواست DNS شما به شکل متنی ساده و بدون هیچگونه رمزنگاری فرستاده میشود. به این ترتیب، سرویسدهنده DNS، میداند که از چه سایتهایی بازدید میکنید. چنین سازوکاری حریم خصوصی شما را نقض میکند و اطلاعاتتان را در معرض تهدید قرار میدهد.
مهندسان کلاودفلر و اپل میگویند پروتکل اینترنتی جدیدی را توسعه دادهاند که این حفرهی امنیتی را برطرف میکند، حفرهای که خیلیها اصلا از وجود آن بیخبرند. این پروتکل Oblivious DNS-over-HTTPS یا به اختصار ODoH نام دارد و اجازه نمیدهد که سرویسدهندگان اینترنت به راحتی متوجه شوند که از چه سایتهایی بازدید میکنید.
پیشرفتهای جدید از جمله پروتکل DNS-over-HTTPS یا DoH رمزنگاری را به درخواستهای DNS اضافه کرده و کار مهاجمان را برای سرقت درخواستهای شما سخت میکنند. ولی این کار نمیتواند جلوی سرویسدهندگان DNS را بگیرد تا متوجه نشوند که شما به چه سایتهایی را باز کردهاید. اینجاست که پروتکل ODoH به کار میآید. این پروتکل درخواستهای DNS را از هویت کاربر جدا میکند و مانع از این میشود که سرویس دهنده DNS شما بداند شما از چه سایتهایی بازدید کردهاید.
پروتکل ODoH لایهای از رمزنگاری را به درخواست DNS شما اضافه میکند و آن را از طریق یک سرور پروکسی عبور میدهد. این پروتکل در واقع واسطهای بین کاربر و وبسایتی میشود که او قصد بازدید از آن را دارد. از آنجایی که درخواستهای DNS رمزنگاریشده هستند، پروکسی نمیتواند محتوای آن را ببیند و در عین حال اجازه نمیدهد که سرویسدهنده DNS از هویت فرستنده درخواست مطلع شود.
رئیس تیم تحقیقاتی Cloudflare میگوید: «کاری که ODoH انجام میدهد جداسازی اطلاعات مربوط به فرستنده درخواست و محتوای درخواست DNS است.» بهعبارت دیگر، ODoH اطمینان مییابد که پروکسی فقط هویت کاربر و سرویسدهنده DNS فقط وبسایت درخواستی را میبیند. کلادفلر مدعی است که سرعت بارگذاری صفحات در پروتکل ODoH عملاً با DoH فرقی ندارد.
بیشتر بدانید:
نکته مهم در استفاده از پروتکل ODoH این است که مطمئن شویم پروکسی و سرویسدهنده DNS هیچگاه با هم ساخت و پاخت نمیکنند و توسط مرجعی مشترک کنترل نمیشوند. در غیر این صورت، جداسازی اطلاعات بیفایده است. کلادفلر میگوید شرکتهای مختلفی در حال حاضر به ارائه این پروکسیها مشغولند ولی برای استفاده جدی از ODoH باید منتظر پشتیبانی از آن در مرورگرها و سیستم عاملها باشیم. این فرآیند میتواند چند ماه تا چند سال طول بکشد چون مراجع مختلفی مثل IETF باید این پروتکل را تایید کنند.