Безпека користувачів завжди була для Apple головним пріоритетом, який вона ставила вище своїх і тим більше чужих інтересів. Незважаючи на це, мало хто очікував, що в Купертіно зможуть ось так запросто підірвати сформовану в інтернеті економічну модель, заборонивши міжсайтове відстеження і дозволивши користувачам блокувати кукі. Тим самим компанія поставила рекламні компанії в глухий кут, позбавивши їх звичної методики трекінгу користувачів і вплинувши на інші браузери, які наслідували її приклад. Але в Купертіно вирішили, що цього мало і пішли в розвитку захисних механізмів ще далі.
В iOS 14 і macOS Big Sur з'явиться нативна підтримка протоколів DNS-over-TLS і DNS-over-HTTPS. Про це Apple розповіла розробникам на WWDC 2020. З їх допомогою в Купертіно сподіваються забезпечити більш високий рівень захисту користувачів від перехоплення персональних даних, що відправляються через браузер або програми, встановлені з App Store. Поки це не найпопулярніший інструмент забезпечення безпеки, який, однак, починає поступово застосовуватися розробниками ПЗ, що має вихід в інтернет.
Що таке DNS-over-HTTPS
Говорячи простою мовою, DNS-over-HTTPS і DNS-over-TLS - це засоби шифрування запитів, які відправляються пристроєм на сервери. Якщо його не застосовувати, то вийде, що хтось, наприклад, інтернет-провайдер, може перехопити трафік і побачити його вміст. Зараз це легко зробити, тому що дані передаються у вигляді звичайного тексту. Як наслідок, їх можна прочитати, проаналізувати і передати на сторону. Багато хто користується такою можливістю, продаючи дані рекламним компаніям, які використовують отримані відомості для демонстрації релевантних оголошень. Але шифрування не дозволить їм цього робити.
В iOS 14 і macOS Big Sur буде доступно два способи зашифрувати DNS-запити, пояснив інженер з інтернет-технологій Apple Томмі Полі.
- Перший спосіб більш всеосяжний і полягає в тому, щоб написати додаток, який налаштує роботу пристрою на конкретний сервер, що підтримує шифрування. У цьому випадку захищені будуть взагалі всі запити, які відправить користувач.
- Другий спосіб більш вузькоспрямований. Він дозволить розробникам додавати протокол шифрування прямо в свій додаток. Якщо вони захочуть, щоб запити, які воно відправляє, були захищені, вони просто вибирають у налаштуваннях конкретний сервер з підтримкою шифрування, і всі наступні запити будуть проходити через нього.
Крім того, розробники зможуть прописувати конкретні правила використання шифрованих запитів, наприклад, включаючи їх тільки в певних ситуаціях. Припустимо, коли користувач використовує загальнодоступну мережу Wi-Fi, через яку зловмисники можуть перехопити трафік і прочитати його. А в разі, якщо оператор буде блокувати шифровані запити, розробники зможуть сповіщати користувачів про неможливість їх використання з рекомендацією перемикання на мобільний зв'язок або відмови від виконання значущих дій.
Шифрування трафіку на iOS
Крім того, що шифрування DNS-трафіку забезпечує захист, воно ще й підвищує продуктивність. Проведені дослідження показали, що в багатьох випадках використання протоколу DNS-over-HTTPS дозволяє скоротити час відгуку. Незважаючи на те що DoH забезпечує шифрування даних, на яке, за логікою, має витрачатися більше часу, на практиці виходить з точністю до навпаки через особливості обробки запитів серверами, що надають шифрування даних, які просто скорочують їх кількість до мінімального.
Втім, при всій корисності майбутнього нововведення явно видно, що Apple знову ходить по тонкому льоду. Справа в тому, що провайдери зв'язку дуже незадоволені використанням протоколів шифрування, які позбавляють їх доступу до користувацького трафіку. Через це, до речі, американські провайдери навіть звернулися до Конгресу з вимогою заборонити компаніям застосовувати протоколи DNS-over-HTTPS, тому що це нібито може нашкодити безпеці користувачів. Конгрес поки не виніс жодного рішення, але, враховуючи любов американців до шпигунства навіть за своїми, є шанс, що воно буде не на користь Apple.