2021-06-11 Visual Studio Code Remote Repositories + QUIC

Visual Studio Code Remote Repositories

• https://marketplace.visualstudio.com/items?itemName=github.remotehub

• https://twitter.com/BrigitMurtaugh

• https://twitter.com/eamodio

• https://twitter.com/code/status/1403049441381302277?s=20

• https://code.visualstudio.com/blogs/2021/06/10/remote-repositories?WT.mc_id=devcloud-00000-cxa

June 10, 2021 by Brigit Murtaugh, @BrigitMurtaugh, Eric Amodio, @eamodio

We’re excited to present the new Remote Repositories extension for Visual Studio Code! This is a new experience that we’ve been building in partnership with our friends at GitHub to enable working with source code repositories quickly and safely inside VS Code.

The new Remote Repositories extension, published by GitHub, makes the experience of opening source code repositories in VS Code instant and safe.

With this, you can quickly browse, search, edit, and commit to any remote GitHub repository (and soon, Azure Repos) directly from within VS Code, no clone necessary!

You can work on as many repos as you like without having to save any source code on your machine.

Remote Repositories saves you time and local disk space and empowers you to stay entirely within VS Code for all your source control tasks.

QUIC et le suivi des utilisateurs par le serveur

• https://www.bortzmeyer.org/quic-tracking.html

• https://coveryourtracks.eff.org/

D’abord, le problème est ancien. Si le vieil HTTP original n’envoyait qu’une requête par connexion, cette limitation a disparu il y a longtemps.

Ainsi, HTTP/2 (RFC 7540) privilégiait déjà les connexions de longue durée, posant les mêmes problèmes. Toutefois, QUIC, avec sa capacité de survivre aux changements d’adresse IP, étend encore la durée de ces connexions, ce qui peut être vu comme aggravant le problème. (Des techniques assez rares, comme multipath TCP, RFC 8684, fonctionnaient également à travers les changements d’adresses IP.)

Mais surtout, dans l’utilisation typique du Web aujourd’hui, il existe bien d’autres méthodes de suivi de l’utilisateur par le serveur.

Il y a évidemment les cookies du RFC 6265. Même si on n’est pas connecté à un service comme YouTube, des cookies sont placés. Et ces cookies, contrairement à la connexion de longue durée de QUIC, permettent un suivi inter-serveurs, via Google Analytics et les boutons de partage des GAFA que tant de webmestres mettent sur leurs pages sans réfléchir .

Et il n’y a pas que les cookies, le fingerprinting du navigateur peut également permettre d’identifier un visiteur unique, par toutes les informations que le très bavard HTTP transmet, comme le montre bien le test de l’EFF. Bref, à l’heure actuelle, le serveur indiscret qui veut pister ses utilisateurs a bien des moyens plus puissants à sa disposition.

En revanche, si on utilise un système tout orienté vie privée, tel le Tor Browser, qui débraye beaucoup de services du Web trop indiscrets, et fait tout passer par Tor, alors, la durée des connexions QUIC pourrait devenir le maillon faible de la vie privée.

Pour Tor, le problème esr à l’heure actuelle purement théorique puisque Tor ne transmet que TCP et que QUIC utilise UDP. Mais il pourrait se poser dans le futur, le projet Tor a d’ailleurs déjà réfléchi à cela dans le contexte de HTTP/2 (qui s’appelait SPDY à ses débuts).

Un client QUIC soucieux de ne pas être suivi à la trace peut donc, une fois qu’il a géré les problèmes bien plus énormes que posent les cookies et le fingerprinting, envisager des solutions comme de ne pas laisser les connexions QUIC durer trop longtemps et surtout ne pas utiliser la migration (qui permet de maintenir la connexion lorsque l’adresse IP change). Cela peut se faire en raccrochant délibérement la connexion, ou simplement en ne prévoyant pas de réserve de connection IDs (RFC 9000, section 5.1.1).

Ceci dit, c’est plus facile à dire qu’à faire car une application n’est pas forcément informée rapidement d’un changement d’adresse IP de la machine.

La longue durée des connexions QUIC n’est pas le seul mécanisme par lequel un serveur pourrait suivre à la trace un client. QUIC permet à un client de mémoriser des informations qui lui permettront de se reconnecter au serveur plus vite (ce qu’on nomme le « 0-RTT »).

Ces informations (qui fonctionnent exactement comme un cookie HTTP) permettent évidemment également au serveur de reconnaitre un client passé.

Cette possibilité et ses conséquences parfois néfastes sont détaillées dans le RFC 9001, sections 4.5 et 9.1. Notez que cela existe également avec juste TLS (ce qu’on nomme le session resumption, RFC 8446, section 2.2) et avec le TCP Fast Open (RFC 7413), avec les mêmes conséquences sur la possibilité de suivi d’un client par le serveur. Le client QUIC qui voudrait protéger sa vie privée doit donc faire attention, quand il démarre une nouvelle connexion, à ne pas utiliser ces possibilités, qui le trahiraient.

Comme souvent en sécurité, on est donc face à un compromis. Si on ne pensait qu’à la vie privée, on utiliserait Tor tout le temps… Les navigateurs Web, par exemple, optimisent clairement pour la vitesse, pas pour la vie privée.