Google готується протестувати нову функцію «IP Protection» для браузера Chrome, яка покращує конфіденційність користувачів, маскуючи їхні IP-адреси за допомогою проксі-серверів. Усвідомлюючи потенційне зловживання IP-адресами для прихованого відстеження, Google прагне знайти баланс між забезпеченням конфіденційності користувачів і основними функціями Інтернету.

IP-адреси дозволяють веб-сайтам і онлайн-сервісам відстежувати дії на веб-сайтах, тим самим полегшуючи створення постійних профілів користувачів. Це викликає серйозні проблеми з конфіденційністю, оскільки, на відміну від сторонніх файлів cookie, користувачі наразі не мають прямого способу уникнути такого прихованого відстеження.

Що таке функція IP Protection, запропонована Google?

Хоча IP-адреси є потенційними векторами для відстеження, вони також незамінні для критичних веб-функціональних можливостей, таких як маршрутизація трафіку, запобігання шахрайству та інші важливі мережеві завдання.

Рішення «Захист IP» вирішує цю подвійну роль, направляючи сторонній трафік із певних доменів через проксі-сервери, роблячи IP-адреси користувачів невидимими для цих доменів. У міру розвитку екосистеми розвиватиметься й IP Protection, адаптуючись, щоб продовжувати захищати користувачів від міжсайтового відстеження та додавати додаткові домени до проксі-трафіку.

«Chrome повторно представляє пропозицію щодо захисту користувачів від міжсайтового відстеження за допомогою IP-адрес. Ця пропозиція є проксі-сервером конфіденційності, який анонімізує IP-адреси для визначення трафіку, як описано вище», — йдеться в описі функції захисту  IP.

Спочатку  IP-захист буде доступною функцією, що дозволить користувачам контролювати свою конфіденційність і дозволить Google відстежувати тенденції поведінки. Запровадження функції відбуватиметься поетапно, щоб врахувати регіональні міркування та забезпечити час навчання. 

Згідно з початковим підходом, у контексті третіх сторін впливатиметься лише на перелічені домени, збільшуючи масштаб тих, які вважаються такими, що відстежують користувачів.

На першому етапі, який отримав назву «Фаза 0», Google надсилатиме запити проксі-сервера лише до власних доменів за допомогою власного проксі-сервера. Це допоможе Google перевірити інфраструктуру системи та виграти більше часу для точного налаштування списку доменів. 

Для початку лише користувачі, які ввійшли в Google Chrome і мають IP-адреси в США, можуть отримати доступ до цих проксі-серверів. Вибрану групу клієнтів буде автоматично включено до цього попереднього тестування, але архітектура та дизайн зазнають змін у ході тестування. 

Щоб запобігти потенційному зловживанню, керований Google сервер автентифікації розподілятиме маркери доступу на проксі, установлюючи квоту для кожного користувача. На наступних етапах Google планує запровадити 2-hop проксі-систему для подальшого підвищення конфіденційності.

«Ми розглядаємо можливість використання 2 переходів для покращення конфіденційності. Другий проксі-сервер запускатиметься зовнішнім CDN, тоді як Google запускатиме перший переход», — пояснюється в пояснювальному документі IP Protection.

«Це гарантує, що жоден проксі-сервер не зможе одночасно бачити IP-адресу клієнта та пункт призначення. CONNECT&CONNECT-UDP підтримує з’єднання проксі-серверів».

Оскільки багато онлайн-сервісів використовують GeoIP для визначення місцезнаходження користувача для надання послуг, Google планує призначати IP-адреси проксі-з’єднанням, які представляють «приблизне» місцезнаходження користувача, а не його конкретне місцезнаходження, як показано нижче.

Серед  доменів, де Google має намір протестувати  цю функцію, є власні платформи, такі як Gmail і AdServices. Google планує тестувати цю функцію між Chrome 119 і Chrome 225.

Потенційні проблеми безпеки

Google пояснює, що нова функція IP Protection пов’язана з проблемами кібербезпеки. Оскільки трафік передаватиметься через проксі-сервери Google, службам безпеки та захисту від шахрайства може бути важко блокувати атаки DDoS або виявляти недійсний трафік. 

Крім того, якщо один із проксі-серверів Google скомпрометовано, зловмисник може бачити та маніпулювати трафіком, що проходить через нього.

Щоб пом’якшити це, Google розглядає можливість вимагати від користувачів цієї функції автентифікації за допомогою проксі-сервера, забороняти проксі-серверам зв’язувати веб-запити з певними обліковими записами та запроваджувати обмеження швидкості для запобігання DDoS-атакам.

Источник: portaltele.com.ua