[GTER] The end of the unencrypted Internet

Danton Nunes danton.nunes at inexo.com.br
Thu Sep 22 21:21:15 -03 2016


On Thu, 22 Sep 2016, Tiago SR wrote:

> ---- On Thu, 22 Sep 2016 09:50:52 -0300 Danton Nunes <danton.nunes at inexo.com.br> wrote ---- 
> > "evitarem que seja introduzido riscos de segurança"?? Eles SÃO o risco de 
> > segurança!
> > --
>
> Por quê? Por terem a possibilidade de acessar as informações trafegadas, 
> incluindo as sigilosas, caso queiram desenvolver o sistema de caching 
> com recurso para isso?

porque quebra a AUTENTICAÇÃO fim-a-fim. não só do servidor para o cliente 
como do cliente para o servidor, caso menos comum, mas usado em sites de 
alta segurança. SSL/TLS tem DUAS funções: sigilo e autenticidade. se fosse 
só sigilo, era suficiente usar chaves pública/privada e não certificados 
assinados por terceira parte confiável (a CA).

> Roteadores e switches não são diferentes em relação a isso, mas você não 
> considera um equipamento desse como o risco de segurança propriamente 
> dito, considera?

são completamente diferentes disso porque não fuçam dentro do payload dos 
datagramas que roteiam ou chaveiam.

> Mas caso todas partes envolvidas (cliente, provedor de acesso e provedor 
> de conteúdo) concordassem com abrir mão dessa função em prol dos ganhos 
> de um sistema de caching, o que haveria de mal?

de jeito nenhum ao executar uma transação segura se pode abrir mão da 
autenticidade dos participantes. isso invalidaria a transação ou a 
tornaria questionável.

> > acredito que cache transparente esteja com os dias contados. e não entendo 
> > a obsessão com este assunto, a relação hit/miss hoje é muito mais baixa do 
> > que já foi no passado.
>
> A relação HIT/MISS é baixa em HTTP puro. Se incluir HTTPS (independente 
> do método ser ilícito ou não), isso é resolvido. Por isso sempre surge 
> alguma discussão sobre caching de HTTPS.

se em HTTP sem criptografia já é baixo, porque você acha que em HTTPS 
seria muito melhor?

> Além disso, cache transparente também pode trabalhar com outros 
> protocolos além de HTTP(S). Há vários outros onde o caching transparente 
> é bem eficiente em questão de HIT ratio.

nós estamos falando de web e o idioma da web é http(s). não vejo onde mais 
cache transparente poderia ser útil pois na maior parte dos protocolos o 
conteúdo é altamente imprevisível. algum exemplo para esclarecer?

a questão é o hit ratio, sim, porque baixo hit ratio significa que o cache 
mais atrapalha do que ajuda.

continuo a acreditar que cache é um animal em extinção. hit ratio baixo, 
servindo exclusivamente em texto claro e com conteúdo estático. por outro 
lado banda e peering estão cada vez mais baratos. é muito pouco ganho para 
justificar a dor de cabeça que ele causa.

-- Danton



More information about the gter mailing list