Проект Chromium, который спонсирует Google, привёл в порядок свою деятельность, и в результате заметно снизилось количество запросов к корневым серверам DNS. В августе 2020 года выяснилось, что браузеры на движке Chromium создают огромный поток трафика к ним — порядка 60 млрд запросов в сутки, без которых можно было бы обойтись. При этом в пике число запросов достигало 143 млрд в сутки.

Причиной этого стал механизм определения того, что вводится в адресную строку по мере набора: адрес или поисковый запрос. И вот теперь стало известно, что разработчики изменили код, чтобы уменьшить число запросов. Об этом сообщил APNIC, региональный регистратор доменных имён для Азиатско-Тихоокеанского региона.

Благодаря исправлению удалось снизить пиковое значение со 143 млрд до 84 млрд запросов в день — разница свыше 41%. В будущем планируется ещё больше уменьшить количество запросов, что позволит снизить накладные расходы и вероятность лишней нагрузки на корневые серверы DNS.

Компания Google представила BeyondCorp Enterprise для безопасного доступа к приложениям на основе браузера с использованием новых функций безопасности в Chrome. Это расширение уже существующего сервиса BeyondCorp Remote Access, однако есть два важных отличия.

Во-первых, в последней версии браузера Chrome появились новые функции, касающиеся безопасности. Одна из них — это усиленная защита от вредоносных программ и фишинга, которая, по словам компании, включает «проверку URL-адресов в реальном времени и глубокое сканирование файлов на наличие вредоносных программ». Далее идет «защита конфиденциальных данных», то есть возможность применять групповые политики в отношении того, какие типы данных «могут быть выгружены, загружены или скопированы и вставлены на сайты».

Во-вторых, это система отчётности, которая доступна для администраторов. Она показывает, какие пользователи столкнулись с наибольшим количеством угроз. В числе таковых называются попытки посещения небезопасных сайтов или повторное использование пароля. Также отчёты указывают, сколько правил защиты данных активно применялось и где именно. Эти административные функции доступны через панель управления Chrome Browser Cloud Management, входящую в состав предложения Chrome Enterprise.

Помимо этого, BeyondCorp Enterprise позволяет подключаться к локальным сетям, а также облачным системам Google Cloud Platform, AWS или Microsoft Azure. В компании утверждают, что защита соединения между браузером и веб-приложениями вместе со строгой аутентификацией является лучшей моделью безопасности из существующих. Это позволяет не опасаться проникновения хакеров во внутреннюю сеть предприятия.

Однако у подхода есть и проблемы. Одна из них — необходимость использовать браузер и, желательно, Chrome. Хотя в компании утверждают, что другие веб-браузеры можно использовать за счет потери некоторой доли защиты. Вторым моментом является использование именно браузера, а не специализированного приложения, что также не слишком безопасно. Потому некоторые специалисты пока не рекомендуют полностью полагаться на инфраструктуру Google.

APNIC, регистратор, ответственный за Азиатско-Тихоокеанский регион, рассказал в блоге о неожиданных последствиях решения, принятого 10 лет назад разработчиками Chromium, которое используется в Chrome и других браузерах — все вместе они ежедневно генерируют 60 млрд запросов к корневым серверам, без которых можно было бы обойтись.

Адресная строка уже давно является не просто полем ввода для имени сайта — в неё можно ввести любой запрос, который будет отправлен поисковику, установленному по умолчанию. Прямо во время ввода текста она даже показывает подсказки, и за этим механизмом стоят интересные алгоритмы. Как определить на лету, имеет ли ввиду пользователь конкретный сайт или просто пытает найти что-то? Может быть, он хочет зайти на какой-то локальный ресурс в корпоративной сети?

Самый простой способ — запросить у DNS-сервера, есть ли такой домен вообще. Если в ответ была получена ошибка, то текст в адресной строке трактуется как поисковый запрос. В реальной жизни, увы, далеко не все соблюдают стандарты. В частности, некоторые провайдеры (включая очень и очень крупных), отлавливают ответы об ошибках, и они не доходят до браузера. Делается это зачастую для дополнительной монетизации путём перенаправления с ошибочного адреса на собственные сервисы провайдера.

Чтобы понять, занимается ли такой практикой провайдер, браузер обращается к трём случайно сгенерированным доменным именам первого уровня длиной от 7 до 15 символов, которые заведомо не существуют. Если для двух из трёх тестовых запросов будет обнаружено перенаправление провайдером на один и тот же ресурс, то браузер меняет обработку текста в адресной строке. Такие тестовые запросы происходят при старте браузера, а также при смене IP-адреса и DNS-сервера в ОС.

Специалисты APNIC собрали статистику запросов к своим корневым серверам, чтобы оценить влияние браузеров на базе Chromium, среди которых один Chrome занимает порядка 70% рынка веб-браузеров во всём мире. Удивительно, но факт — всего лишь 21,91% запросов были связаны с обращением к реально существующим доменам. Все остальные касались попыток получить информацию о несуществующих именах. Характерными признаками тестовых запросов Chromium является их длина, частота и повторяемость — таковых оказалось 45,80%.

Проще говоря, почти половина обращений к корневым DNS-серверам, по данным APNIC, связано именно с работой Chromium и его наследников, которые таким образом пытаются определить, следуют ли провайдеры интернет-стандартам. Причём рост таких запросов коррелирует с ростом доли этих браузеров за последнее десятилетие. DNS-серверы спокойно выдерживают возрастающую нагрузку, однако, пожалуй, механизм работы Firefox, который имеет ровно те же проблемы с определением типа содержимого в адресной строке, обходится без многочисленных мусорных DNS-запросов.