Orange n'apprécie pas que Google chiffre toutes les communications - Liens en vrac de sebsauvage
vendredi 3 octobre 2014 à 00:53Httqm > Sebsauvage, le 03/10/2014 à 00:53
Sans vouloir me faire l'avocat du Diable, je ne suis _pas totalement_ d'accord avec ton point de vue :
> "l'opérateur est dans l'impossibilité technique de réaliser des mesures de QoS qui permettent de donner la priorité à certains types de flux, jugés moins importants que d'autres."
> Donc on est bien d'accord qu'Orange est en train d'avouer qu'il se torche déjà avec la neutralité en priorisant certains flux.
Je pense qu'il est question de 2 choses différentes en parlant de QoS :
- il y a la fameuse QoS pour "l'internet à 2 vitesses" : tout le trafic depuis/vers Google / Amazon / Facebook / Apple est priorisé par rapport au reste. Ou alors les offres "premium" dont rêvent certains FAI ==> PAS BIEN
- et la QoS qui doit exister naturellement pour que tous les équipements réseau aient des règles de gestion du trafic autres que "1er arrivé, 1er servi". Par exemple, ça semblerait "sain" que le trafic BGP ou ICMP soit prioritaire sur le HTTP ==> ni BIEN ni PAS BIEN, je pense que c'est une exigence technique
>"le chiffrement rend impossible l'utilisation de serveurs proxys qui mettent en cache les contenus les plus demandés".
> Qui utilise encore le proxy de son FAI ? Orange, pourquoi tu as besoin de foutre ton nez dans notre trafic HTTP ? (Si ce n'est pour prioriser du trafic ou en extraire des informations marketing.)
Si tu as déjà utilisé traceroute, tu as dû noter le nombre de "hops" entre ton navigateur et le serveur web demandé. Si l'un de ces intermédiaires était un proxy HTTP, il cacherait des données pour :
- économiser de la bande passante (notamment entre le réseau du FAI et "le reste du monde", question de €€€)
- raccourcir le temps de réponse ressenti
Les proxy HTTP ne servent pas qu'à espionner les gens. Ils servent à fluidifier le trafic.
> HTTPS force Orange à être neutre au niveau du traitement du trafic réseau ? C'EST PARFAIT. C'est le rôle qu'on attend d'un FAI.
> Chiffrons, chiffrons ! Ça complique la tâche des FAI qui aimeraient briser la neutralité du net pour leur seul bénéfice.
"Ça complique la tâche des FAI" : c'est sûr, de la à savoir si on va en tirer un bénéfice (autre que la satisfaction de "faire chier ces salauds d'espions"), faut voir.
Exemple : tu veux accéder à la home page de " http://www.monsite.f r" qui est composée de "index.html" et de "logo.jpg"
En HTTP, ton navigateur demande l'un, puis l'autre, les reçoit, avec des header HTTP "Cache-Control" l'autorisant à les conserver en cache un certain temps (défini par le "webmaster"). Si tu surfes depuis le réseau de ta boîte, le proxy "corporate" va lui aussi conserver une copie en cache. Comme ça, si un collègue visite le même site, les données seront servies directement depuis le cache du proxy. C'est-à dire à partir du LAN, donc ça va vite. Et si toi-même tu re-visites la même page, il y a de fortes chances que certains contenus soient servis directement depuis le cache de ton navigateur.
Du coup : trafic réduit en-dehors du réseau de ta boîte ( = temps de réponse court), et aucun "HIT" supplémentaire sur le serveur web qui fait tourner " www.monsite.fr " ( CPU froid).
En HTTPS, même scénario : tu visites la page " https://www.monsite.fr ". Là, même si le serveur web avait son propre reverse-proxy (sur le réseau de l'hébergeur), ça ne sert plus à rien. Apache / Nginx / Lighttpd génère la page demandée (HTML + images + ... TOUT !) et t'envoie le tout avec des header de cache interdisant la mise en cache du contenu par quiconque, y compris ton propre navigateur ou le proxy de ta boîte (ce n'est pas une exigence technique, mais un contenu ne peut pas être à la fois "chiffré" et "public"; "public" dans le sens "autoriser les proxies intermédiaires à le mettre en cache). Du coup si ton collègue visite le site, rebelote pour la génération de la page par le serveur web. Et re-rebelote si tu y retournes 5 minutes plus tard.
Au final :
- la charge sur le serveur web va augmenter : il va prendre tous les HIT et devra chiffrer toutes les réponses individuellement
- le temps de réponse va augmenter aussi puisque le serveur sera plus chargé et parce que TOUTES les réponses ne viendront que de lui (chemin réseau plus long)
Ajoute à ça le faux sentiment de sécurité que procure un certificat SSL, notamment les certificats auto-signés (de + en + courants) qui sont une incitation aux "man-in-the-middle". Sans compter les CA douteuses et toutes les bizarreries dont tu avais déjà parlé (dans un article sur CertPatrol, si je me rappelle bien).
Le chiffrage tous azimuts, ne serait-ce pas une façon de se tirer une balle dans le pied en jouant les "rebelz" tout en "ralentissant" le web ?
EDIT : ajoutons à la liste des inconvénients :
- passer à HTTPS implique de chiffrer TOUT le trafic (sinon ça fait du "mixed content", et les navigateurs crient / bloquent). Cela signifie que toute cette technologie va servir à chiffrer des CSS, des JPG et compagnie. Pour rien. Sauf faire chauffer le CPU du serveur web, occuper un peu celui du client et y passer quelques millisecondes à chaque fois.
- conséquence du précédent : le déchiffrement du contenu côté client occupe le CPU, ce qui va tirer sur la batterie des appareils mobiles.
(Permalink)
Yakmoijebrille > Sebsauvage, le 03/10/2014 à 08:51
Chiffrons, si ça fait chier Orange c'est que c'est une bonne mesure.
(Permalink)
Sammy Fisher Jr > Sebsauvage, le 03/10/2014 à 08:54
Intéressant : "HTTPS force Orange à être neutre au niveau du traitement du trafic réseau ? C'EST PARFAIT. C'est le rôle qu'on attend d'un FAI."
(Permalink)
L'espace... Cifiste > Httqm, le 03/10/2014 à 09:14
Je suis en tous points d'accord avec toi.
En tant que sysadmin, oui ça me gènerait que tout le traffic passe en https.
Je n'espionne pas ce que fonts les employés, non, j'ai juste besoin d'optimiser la bande passante sur mon réseau. Et quand tout le monde va sur facebook en https, et bien, ça multiplie d'autant un traffic non indispensable.
Je ne souhaites pas faire du MITM non, mais si un jour je n'ai pas le choix, je devrais y passer. Et je ne me sentirais pas coupable, car la seule raison sera d'optimiser les coûts et pas de faire du vilain espionnage.
Comme d'habitude, il faut répeter : tout n'est pas tout noir ou tout blanc.
(Permalink)
HowTommy > Sammy Fisher Jr, le 03/10/2014 à 14:44
TANT MIEUX PUTAIN.
Orange, t'as PAS à filtrer le trafic en fonction de ce que fait la personne...
Il est vraiment temps que je me prenne un VPN pour éviter ça moi...
(Permalink)
Sans vouloir me faire l'avocat du Diable, je ne suis _pas totalement_ d'accord avec ton point de vue :
> "l'opérateur est dans l'impossibilité technique de réaliser des mesures de QoS qui permettent de donner la priorité à certains types de flux, jugés moins importants que d'autres."
> Donc on est bien d'accord qu'Orange est en train d'avouer qu'il se torche déjà avec la neutralité en priorisant certains flux.
Je pense qu'il est question de 2 choses différentes en parlant de QoS :
- il y a la fameuse QoS pour "l'internet à 2 vitesses" : tout le trafic depuis/vers Google / Amazon / Facebook / Apple est priorisé par rapport au reste. Ou alors les offres "premium" dont rêvent certains FAI ==> PAS BIEN
- et la QoS qui doit exister naturellement pour que tous les équipements réseau aient des règles de gestion du trafic autres que "1er arrivé, 1er servi". Par exemple, ça semblerait "sain" que le trafic BGP ou ICMP soit prioritaire sur le HTTP ==> ni BIEN ni PAS BIEN, je pense que c'est une exigence technique
>"le chiffrement rend impossible l'utilisation de serveurs proxys qui mettent en cache les contenus les plus demandés".
> Qui utilise encore le proxy de son FAI ? Orange, pourquoi tu as besoin de foutre ton nez dans notre trafic HTTP ? (Si ce n'est pour prioriser du trafic ou en extraire des informations marketing.)
Si tu as déjà utilisé traceroute, tu as dû noter le nombre de "hops" entre ton navigateur et le serveur web demandé. Si l'un de ces intermédiaires était un proxy HTTP, il cacherait des données pour :
- économiser de la bande passante (notamment entre le réseau du FAI et "le reste du monde", question de €€€)
- raccourcir le temps de réponse ressenti
Les proxy HTTP ne servent pas qu'à espionner les gens. Ils servent à fluidifier le trafic.
> HTTPS force Orange à être neutre au niveau du traitement du trafic réseau ? C'EST PARFAIT. C'est le rôle qu'on attend d'un FAI.
> Chiffrons, chiffrons ! Ça complique la tâche des FAI qui aimeraient briser la neutralité du net pour leur seul bénéfice.
"Ça complique la tâche des FAI" : c'est sûr, de la à savoir si on va en tirer un bénéfice (autre que la satisfaction de "faire chier ces salauds d'espions"), faut voir.
Exemple : tu veux accéder à la home page de " http://www.monsite.f r" qui est composée de "index.html" et de "logo.jpg"
En HTTP, ton navigateur demande l'un, puis l'autre, les reçoit, avec des header HTTP "Cache-Control" l'autorisant à les conserver en cache un certain temps (défini par le "webmaster"). Si tu surfes depuis le réseau de ta boîte, le proxy "corporate" va lui aussi conserver une copie en cache. Comme ça, si un collègue visite le même site, les données seront servies directement depuis le cache du proxy. C'est-à dire à partir du LAN, donc ça va vite. Et si toi-même tu re-visites la même page, il y a de fortes chances que certains contenus soient servis directement depuis le cache de ton navigateur.
Du coup : trafic réduit en-dehors du réseau de ta boîte ( = temps de réponse court), et aucun "HIT" supplémentaire sur le serveur web qui fait tourner " www.monsite.fr " ( CPU froid).
En HTTPS, même scénario : tu visites la page " https://www.monsite.fr ". Là, même si le serveur web avait son propre reverse-proxy (sur le réseau de l'hébergeur), ça ne sert plus à rien. Apache / Nginx / Lighttpd génère la page demandée (HTML + images + ... TOUT !) et t'envoie le tout avec des header de cache interdisant la mise en cache du contenu par quiconque, y compris ton propre navigateur ou le proxy de ta boîte (ce n'est pas une exigence technique, mais un contenu ne peut pas être à la fois "chiffré" et "public"; "public" dans le sens "autoriser les proxies intermédiaires à le mettre en cache). Du coup si ton collègue visite le site, rebelote pour la génération de la page par le serveur web. Et re-rebelote si tu y retournes 5 minutes plus tard.
Au final :
- la charge sur le serveur web va augmenter : il va prendre tous les HIT et devra chiffrer toutes les réponses individuellement
- le temps de réponse va augmenter aussi puisque le serveur sera plus chargé et parce que TOUTES les réponses ne viendront que de lui (chemin réseau plus long)
Ajoute à ça le faux sentiment de sécurité que procure un certificat SSL, notamment les certificats auto-signés (de + en + courants) qui sont une incitation aux "man-in-the-middle". Sans compter les CA douteuses et toutes les bizarreries dont tu avais déjà parlé (dans un article sur CertPatrol, si je me rappelle bien).
Le chiffrage tous azimuts, ne serait-ce pas une façon de se tirer une balle dans le pied en jouant les "rebelz" tout en "ralentissant" le web ?
EDIT : ajoutons à la liste des inconvénients :
- passer à HTTPS implique de chiffrer TOUT le trafic (sinon ça fait du "mixed content", et les navigateurs crient / bloquent). Cela signifie que toute cette technologie va servir à chiffrer des CSS, des JPG et compagnie. Pour rien. Sauf faire chauffer le CPU du serveur web, occuper un peu celui du client et y passer quelques millisecondes à chaque fois.
- conséquence du précédent : le déchiffrement du contenu côté client occupe le CPU, ce qui va tirer sur la batterie des appareils mobiles.
(Permalink)
Yakmoijebrille > Sebsauvage, le 03/10/2014 à 08:51
Chiffrons, si ça fait chier Orange c'est que c'est une bonne mesure.
(Permalink)
Sammy Fisher Jr > Sebsauvage, le 03/10/2014 à 08:54
Intéressant : "HTTPS force Orange à être neutre au niveau du traitement du trafic réseau ? C'EST PARFAIT. C'est le rôle qu'on attend d'un FAI."
(Permalink)
L'espace... Cifiste > Httqm, le 03/10/2014 à 09:14
Je suis en tous points d'accord avec toi.
En tant que sysadmin, oui ça me gènerait que tout le traffic passe en https.
Je n'espionne pas ce que fonts les employés, non, j'ai juste besoin d'optimiser la bande passante sur mon réseau. Et quand tout le monde va sur facebook en https, et bien, ça multiplie d'autant un traffic non indispensable.
Je ne souhaites pas faire du MITM non, mais si un jour je n'ai pas le choix, je devrais y passer. Et je ne me sentirais pas coupable, car la seule raison sera d'optimiser les coûts et pas de faire du vilain espionnage.
Comme d'habitude, il faut répeter : tout n'est pas tout noir ou tout blanc.
(Permalink)
HowTommy > Sammy Fisher Jr, le 03/10/2014 à 14:44
TANT MIEUX PUTAIN.
Orange, t'as PAS à filtrer le trafic en fonction de ce que fait la personne...
Il est vraiment temps que je me prenne un VPN pour éviter ça moi...
(Permalink)