The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.11.2018 10:37  Новый этап тестирования DNS поверх HTTPS в Firefox

Разработчики Mozilla анонсировали третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов.

Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа измеряли производительность непосредственно операций с DNS, то на третьем этапе планируется оценить общую картину, учитывающую и время загрузки тестовой страницы.

Раз в сутки браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит оценить изменение эффективности локализации обращений через сети доставки контента (CDN). DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента. При отправке DNS-запроса c ближайшего к пользователю резолвера CDN вернёт адрес ближайшего хоста, но при отправке DNS-запроса с централизованного резолвера ближайший к пользователю хост определить не получится. Поэтому при использовании DoH важно учитывать не только производительность операций с DNS, но и дополнительные задержки, которые могут возникнуть из-за снижения эффективности загрузки контента через CDN.

Для включения DoH на системах не приглашённых для участия в тестировании, достаточно в about:config изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://blog.mozilla.org/futur...)
  2. OpenNews: Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки
  3. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
  4. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
  6. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: dns, https, doh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, timur.davletshin (ok), 10:44, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Да годная, годная штука. Только у меня почему-то ряд адресов в режиме только DoH не резолвится...
     
     
  • 2.7, A.Stahl (ok), 11:17, 28/11/2018 [^] [ответить]    [к модератору]
  • +/
    Я х.з. как это работает, но наверное нужна поддержка этой технологии и со стороны самого DNS-сервера. И эта поддержка, скорее всего, пока ещё есть далеко не везде.
     
     
  • 3.34, dimqua (ok), 14:10, 28/11/2018 [^] [ответить]    [к модератору]
  • +/
    Поддержка необязательна.
     
  • 2.18, andy (??), 12:05, 28/11/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Нет, не годная.
    https://youtu.be/OxFFTxJv1L4?t=2627
     
     
  • 3.44, Тоха Салогвинов (?), 16:17, 28/11/2018 [^] [ответить]    [к модератору]
  • +10 +/
    Всё что я увидел в вашем видео по таймкоду это:
    >Ты то куда лезешь χ¥€¢Ø¢№₳ из нижнего интернета
    >Мы тут все крутые DNS мужыки, а ты просто HTTP-школьник-неудачник поверивший сказочкнику Сноудену бла бла бла

    И всё что он сказал про DoH неправда. Я уже пощупал эту штуку в фирефоксе и могу сказать что HTTPS до дефолтого сервера не закрывается через две минуты, а продолжает висеть и висеть. А если бы даже и закрывалось то что? Его-то какое дело? Мало ли реализаций DoH есть и ещё появится? Может я наоборот хочу чтобы закрывалось?
    Что ещё он сказал? Ах, да, кажется, что-то про то, что DoH не поддерживает асинхронные ответы - и это тоже не правда. По крайней мере ответы ipv6 и ipv4 могут приходить независимо, об этом даже настройка соответствующая есть...

    Короче батхертит он знатно. Я хоть и признаю Калловый-флейр ещё большей червем-корпорацией, чем даже Гугл, но этого слушать этого поехавшего больше не смог...

     
     
  • 4.45, Тоха Салогвинов (?), 16:21, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    И 500 просмотров у видео... Жаль поздно заметил.
     
  • 3.100, Аноним (-), 11:37, 29/11/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Мужик не убедителен Выше уже отметили другие вещи чувствуется, что его бесит, ... весь текст скрыт [показать]
     
  • 3.108, DerRoteBaron (ok), 15:14, 29/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Пожалуй, единственное, в чем он прав, так это в том, что сейчас DOH живёт в брау... весь текст скрыт [показать]
     
     
  • 4.115, Аноним (115), 21:25, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, никто не отрицает, что это не совсем правильно и в идеале надо это делать в ... весь текст скрыт [показать]
     
  • 2.33, th3m3 (ok), 14:01, 28/11/2018 [^] [ответить]    [к модератору]  
  • –7 +/
    Когда ещё только завели эту фичу, у меня ни один сайт не открывался с DoH. Больше не тестил.
     
  • 1.2, Аноним (2), 10:44, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ну, теперь будет только один источник цензуры - удостоверяющий центр. Только один, зато на всех. Этож лучше "товарищ майор" - далеко и ему совершенно нет до тебя дела, да? ;)
     
     
  • 2.3, Аноним (3), 10:49, 28/11/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    "Когда вы говорите, такое впечатление, что вы бредите" - Шурик.
     
     
  • 3.4, Аноним (2), 11:02, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    "Сейчас к людям надо помягше. А на вопросы смотреть ширше."
    Друг шурика
     
     
  • 4.19, Аноним (19), 12:36, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Друг-ли?..
     
  • 2.5, товарищ майор (?), 11:12, 28/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    ну чего это только один Сколько надо, столько и будет А удостоверяющий цент... весь текст скрыт [показать]
     
     
  • 3.15, Аноним (2), 11:57, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Сколько надо, столько и будет А в том то и дело, товарищ майор, что достаточ... весь текст скрыт [показать]
     
  • 1.6, Аноним (6), 11:14, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как бы помягчьте сказать ... DNS юзает не только браузер.
     
     
  • 2.8, Аноним (8), 11:19, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Да. Что сказать то хотели?
     
  • 2.9, Аноним (-), 11:25, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    1 Основная часть конфиденциальных днс-запросов это именно браузер Резолвы клие... весь текст скрыт [показать]
     
     
  • 3.11, Аноним (11), 11:42, 28/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Вот именно в случае браузера DoH добавляет мало конфиденциальности: имена видны в самих https запросах.
     
     
  • 4.13, Аноним (-), 11:50, 28/11/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Ты не пробовал подумать на 1 шаг вперёд Или хотя бы логику включить Смотри, на... весь текст скрыт [показать]
     
     
  • 5.21, нах (?), 12:41, 28/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    иксперды опеннета такие иксперды sni отправляет имя твоего порноресурса откры... весь текст скрыт [показать]
     
     
  • 6.35, dimqua (ok), 14:14, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

    А по-твоему, других провайдеров кроме Cloudflare не существует?

     
     
  • 7.47, нах (?), 16:48, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    для типового опеннетчика - нет, не существует Для сильно продвинутого - ну да, ... весь текст скрыт [показать]
     
     
  • 8.61, dimqua (ok), 18:20, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    А разве эти люди не сливают её сейчас все тем же Google и Cloudflare Так хоть б... весь текст скрыт [показать]
     
     
  • 9.69, пох (?), 20:06, 28/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    ну, очевидно же, не в полном объеме - особенно cloudflare, которая на этом рынке... весь текст скрыт [показать]
     
  • 8.65, анон (?), 19:12, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Ростелеком, например, корпорация, а не мимикрокодил. П
     
     
  • 9.70, пох (?), 20:06, 28/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    ростелекому твои котики даром не нужны.
     
  • 8.76, Аноним (76), 20:44, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    CleanBrowsing ещё)
    https://cleanbrowsing.org/dnsoverhttps
     
  • 6.36, Колюня (?), 14:54, 28/11/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Таки погугли ESNI
     
     
  • 7.49, нах (?), 16:54, 28/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    твой esni - это точно такой же оверинжиниренный ненужно-мусор, как и doh sni не... весь текст скрыт [показать]
     
     
  • 8.55, OldFart (?), 17:45, 28/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Согласен со всеми вашими предыдущими мыслями, но не с этим sni ненужен Ни e, ... весь текст скрыт [показать]
     
     
  • 9.58, Аноним (58), 18:06, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего оратора вполне может пожертвовать доступом к таким сайтам ради своей иллюзорной приватности в общественном туа^Wинтернете
     
     
  • 10.105, пох (?), 14:52, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    а я не хожу по таким сайтам А на сайте, где ssl - ради удовлетворения гуглоша... весь текст скрыт [показать]
     
  • 9.72, пох (?), 20:12, 28/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    да На каждый сайт, где шифрование - по делу, а не в попытках удовлетворить гугл... весь текст скрыт [показать]
     
     
  • 10.77, Анонимус2 (?), 20:59, 28/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В итоге без SNI адрес сайта к которому твой браузер обращается определяется трив... весь текст скрыт [показать]
     
     
  • 11.119, пох (?), 19:14, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    так cloudflare же ж - сессия останется зашифрованной просто пользователь буд... весь текст скрыт [показать]
     
  • 10.79, Гентушник (ok), 21:09, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    >  а на практике - он слит клаудфлейру

    Но ведь SNI использует не только cloudflare.
    Есть огромная куча дешёвых shared-хостингов, где можно прикрутить TLS и не раскошеливаться на отдельные IP.

     
     
  • 11.94, пох (?), 07:04, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    естественно именно - и превратить твою секьюрить в тыкву может уже не только clo... весь текст скрыт [показать]
     
  • 10.92, OldFart (?), 01:27, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    SSL шифрование в тыкву не превращется если конечно сисадин не подсадил в браузе... весь текст скрыт [показать]
     
     
  • 11.120, пох (?), 19:32, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wild... весь текст скрыт [показать]
     
     
  • 12.121, OldFart (?), 20:27, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на вс... весь текст скрыт [показать]
     
     
  • 13.123, пох (?), 22:19, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    что неправильного в сертификате mycompany com и тем более www mycompany com a... весь текст скрыт [показать]
     
  • 6.38, Аноним (38), 15:22, 28/11/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Васян-то может, и для него разницы нет, вайршарк открыть или что-то другое А во... весь текст скрыт [показать]
     
     
  • 7.62, dimqua (ok), 18:23, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > deep packet inspection. И это не так просто для больших провайдеров

    А у них что есть выбор?

     
     
  • 8.66, Аноним (66), 19:50, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Нарушители Конституции должны страдать.
     
  • 5.39, Аноним (11), 15:48, 28/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты читаешь что-то между строк и споришь с голосами в голове Я написал только, ч... весь текст скрыт [показать]
     
  • 4.23, Annoynymous (ok), 12:56, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Доменные имена в https запросах видны? Ты что куришь?
     
     
  • 5.25, Аноним (25), 13:12, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    SNI
     
     
  • 6.37, Колюня (?), 14:55, 28/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    ESNI. С разморозкой
     
     
  • 7.40, Аноним (11), 15:50, 28/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Колюня, кинь статистику внедрения esni, ознакомимся.
     
  • 5.27, Аноним (27), 13:39, 28/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Да, имя домена до SNI не шифровалось в HTTPS и шло в хендшейке SSL.

    Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
    но нет гарантий, что она включена и работает.

     
     
  • 6.48, commiethebeastie (ok), 16:51, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, опасно по tumblr лазить ... весь текст скрыт [показать]
     
  • 6.53, 0x0 (?), 17:19, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > нет гарантий, что она включена и работает

    Есть возможность проверить: https://www.cloudflare.com/ssl/encrypted-sni/

     
  • 6.56, OldFart (?), 17:53, 28/11/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Увы, SNI сейчас расширение и это скорее новинка и прикольная штука, Really ... весь текст скрыт [показать]
     
  • 6.85, Ключевский (?), 22:54, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Как там в 2005 году SNI в IE с 2006, в Firefox с 2006, в Chrome с 2009 то есть ... весь текст скрыт [показать]
     
     
  • 7.96, Аноним (115), 10:03, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Он просто путает термины. Замени в его посте SNI на ESNI и всё будет верно.
     
     
  • 8.98, Ключевский (?), 10:38, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Он просто путает термины. Замени в его посте SNI на ESNI и
    > всё будет верно.

    Ну да. Мальчик-девочка, какая в дупу разница. Подумаешь SNI и ESNI, пофигу что SNI старше, чем он.

     
  • 2.90, Ключевский (?), 23:00, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    https://github.com/jedisct1/dnscrypt-proxy
    Тебя спасет!
    А он уже умеет и DoH, и DNSCrypt, и черта лысого верхом на метле.
     
     ....нить скрыта, показать (42)

  • 1.10, Аноним (6), 11:30, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Основная часть конфиденциальных днс-запросов это именно браузер

    Это еще зачем ?

     
  • 1.20, Аноним (20), 12:41, 28/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    держать на карандаше пользователя браузера Так вот чьи уши из-за кулис торча... весь текст скрыт [показать]
     
     
  • 2.30, Аноним84701 (ok), 13:44, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Видимо, у гугла пока ушей на всех не хватает https github com systemd systemd... весь текст скрыт [показать]
     
  • 2.31, Pahanivo (ok), 13:44, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Я так понимаю, что в данном случае, для использования липового сертификата спецслужбам не надо даже на канал врезаться - достаточно просто переписать А запись на "своем" ДНС?
     
     
  • 3.43, Аноним (43), 16:11, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    А что в первый раз по указке спецслужб dns-ответы подменяются? Блокировка рутрекера вас ничему не научила?
     
     
  • 4.91, Pahanivo (ok), 23:14, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Может для начала научится отделять гласное от негласного?

     
  • 1.22, Тот_Самый_Анонимус (?), 12:49, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, а есть браузеры для корпоративного использования? Чтобы можно было запретить установку расширений и махинаций с ДНС? Очень полезная была бы штука.
     
     
  • 2.24, A.Stahl (ok), 13:05, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    IE. Там нельзя устанавливать расширения. Корпоративней некуда...
     
     
  • 3.26, 1 (??), 13:38, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    +1 и рулится политикой в AD
     
     
  • 4.32, Аноним (32), 13:52, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    только MS рулилку ломает от версии к версии
     
  • 3.51, нах (?), 17:12, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    вы прослушали очередную порцию потока сознания типичного опеннетчика, не ведающе... весь текст скрыт [показать]
     
  • 3.75, Тот_Самый_Анонимус (?), 20:35, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Т.е. линух не пригоден для корпоративного использования?
     
  • 2.28, Аноним (27), 13:41, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Закрывай все проксей и говори что корпорация в серой сети.
     
  • 2.29, НяшМяш (ok), 13:42, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Internet Explorer
     
  • 2.42, commiethebeastie (ok), 16:09, 28/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Firefox, там любой параметр фиксируется.
     
  • 2.54, Аноним (54), 17:43, 28/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Любой опенсорсный броузер, в исходниках которого ты можешь выстричь возможность ... весь текст скрыт [показать]
     
  • 1.41, Sw00p akaJerom (?), 15:57, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    хер с пальцем скрещивают лишь бы нормальную технологию не придумывать.
     
     
  • 2.52, нах (?), 17:13, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    да они нормальную технологию придумали - только, в очередной раз, под видом заботы о несчастных лохах их собираются снова подоить.

     
     
  • 3.60, Аноним (60), 18:13, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Нажал плюс Вашему комменту, а засчиталось как минус Поэтому напишу так - полнос... весь текст скрыт [показать]
     
  • 3.104, Аноним (104), 13:30, 29/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Я не могу понять тех нытиков, которым что-то не нравится в tls соединении до днс... весь текст скрыт [показать]
     
     
  • 4.106, Sw00p akaJerom (?), 14:54, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    >>Я не могу понять тех нытиков

    вы походу ничего не понимаете

    >>Что вам не нравится?

    выше в коменте написал, хер и палец разные вещи, разницу не ощущаете?

     
     
  • 5.116, ДДДДД (?), 07:44, 30/11/2018 [^] [ответить]    [к модератору]  
  • +/
    А какая технология нормальная? Децентрализованная? Технология ручной правки hosts?
    Мир отрыт для новых технологий. Предлагайте.
     
     
  • 6.117, Sw00p aka Jerom (?), 12:21, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Если мир погряз в прошлом, будущее на этом не построишь Обращаюсь к старикам ,... весь текст скрыт [показать]
     
  • 1.57, Pofigist (?), 17:54, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что бы еще инкапсулировать в HTTPS? IP? Было...  IEEE 802.3? Или тоже уже было?
     
  • 1.59, 0309 (?), 18:09, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Парни я действительно не пойму зачем всё это. Центр обработки данных у клод фларе есть в москве. Я так понимаю что это всеравно что в контакте чтото шифровать. А может я что непойму?
     
     
  • 2.64, OldFart (?), 18:45, 28/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    DoH Spying mechanism Последователи Цукерберга следующие его правилу We moving... весь текст скрыт [показать]
     
     
  • 3.74, Crazy Alex (ok), 20:21, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Если это твой браузер - настрой его чтобы ходил по DNS или по DoH на твой сервер. Если не твой - не лезь, всё просто.
     
     
  • 4.81, OldFart (?), 21:26, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Да разговор то не о технарях, которые могут что то настроить чтоб не быть под ко... весь текст скрыт [показать]
     
     
  • 5.83, пох (?), 21:51, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    не переживай так за банки- в хромом не просто так отломали нафиг pkp Менять в н... весь текст скрыт [показать]
     
  • 5.118, J.L. (?), 17:46, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    а зачем вы собрались что-то менять в ПО и на машине которые вам не принадлежат ... весь текст скрыт [показать]
     
     
  • 6.122, OldFart (?), 20:41, 30/11/2018 [^] [ответить]     [к модератору]  
  • +/
    С чего вы это взяли, что я что то собираюсь менять не на моих машинах Я говорю ... весь текст скрыт [показать]
     
  • 3.86, Sw00p aka Jerom (?), 22:55, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    >>Короче, благодаря любителям всего нового - все в загон или дышим свободой

    ага и все приложения скоро по одному порту бегать будут (подразумеваю это tcp 443)

     
  • 1.63, OldFart (?), 18:41, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Welcome в мир коллектевизма под управлением несущих "добро" 1.1.1.1 & 8.8.8.8
     
     
  • 2.87, Sw00p aka Jerom (?), 22:57, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    интернет коммунизм, знаем к чему это все привело, всех в колхозы, ни один крестьянин не получил земли!
     
  • 1.67, Юзер (??), 19:55, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Объясняю зачем корпорации и спецслужбы вводят DNS-через-HTTPS:

    1. Блокировка торрентов.

    После ввода DoH можно заблокировать UDP, и торренты перестанут работать, наконец сбудутся голубые мечты копирастов и корпорастов.

    2. Блокировка p2p.

    Также при полном переходе на TCP можно будет избавиться от зарождающихся p2p-сетей, ведь через TCP на порядок сложнее "дырявить" NAT'ы, чем через UDP.

    3. Цензура доменов.

    Так как протокол HTTPS потребует сертификаты подписанные головным удостоверяющим центром, то корпорации опять-таки смогут контролировать DNS-запросы и блокировать неугодные домены.

     
     
  • 2.68, Аноним (68), 20:05, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Хотим услышать ваше решение проблемы
     
  • 2.73, Crazy Alex (ok), 20:19, 28/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ...именно поэтому Гугл (и прочие "злые корпорации") проталкивают udp-based HTTP/3...
     
  • 2.84, Аноним (115), 22:15, 28/11/2018 [^] [ответить]     [к модератору]  
  • +/
    У тебя каша в голове, лол DNS на UDP и 53 порте никак не мешает резать текущие ... весь текст скрыт [показать]
     
     
  • 3.95, Аноним (95), 07:13, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Зацветёт, ага — прям как IPv6 зацвёл. Будет fallback на TCP для 60% популяции.
     
     
  • 4.102, Аноним (115), 12:04, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Цифру из башки взял? 80% популяции это последний хром, там будет HTTP/2-over-QUIC и прочее новьё и никаких фолбеков из-за юзера. Да и лиса тоже будет поддерживать. Не недооценивай реактивность веба.
     
  • 2.89, Ключевский (?), 22:59, 28/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Смешались в кучу кони-люди.
    Где DoH работающий только в браузере и где UDP? Ты вообще понимаешь о чем пишешь?
    Как они связаны, убогий?
     
  • 1.71, topin89 (?), 20:07, 28/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это всё круто, но как там с поддержкой OpenNIC?
     
     
  • 2.88, Ключевский (?), 22:57, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ставишь себе dnscrypt-proxy, говоришь ему ходить к серверам OpenNIC'а и серверам поддерживающим DoH. Он умеет. И обращаешься у себя локально к нему.
     
  • 1.80, Аноним (80), 21:21, 28/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Заведомо неверные параметры конфигурации приводящие к неработоспособности вместо... весь текст скрыт [показать]
     
     
  • 2.82, тов.майор (?), 21:43, 28/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    жмите, жмите, я разрешаю.

    список васяну-известных-серверов мне вполне нравится, я понимаю, что есть масса васянов, осиливших запустить неведомый им код на го и ноджс, чтобы иметь возможность и самим приобщиться, так сказать, к нашей "и опасна и трудна", и поинтересоваться, кто и каких интересных вещей качает. А тут рассказывают про снифферы, злых провайдеров, проклятый сорм - вот же ж как все просто - взял и создал никому неведомый васян, простите, он тут Димон, не путайте с не-димоном, репу на гитхапе, и выложил список, он-то точно на стороне добра, нет-нет, что вы, что вы, ему в голову не приходит включить лог запросов в своем "toy server".

     
  • 1.93, Анонизмус (?), 01:44, 29/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мне однозначно интересно, как у них 3-way handshake в TCP оказался быстрее request-response схемы UDP. Умолчу об ещё одном этапе обмена сертификатами в HTTPS.

    При rtt до 50мс (привет, Starlink/SpaceX) всё будет красиво, не спорю, на практике же, особенно при высоких rtt всё очень печально.

     
     
  • 2.97, Аноним (115), 10:20, 29/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Всё просто TCP и TLS хендшейки делаются один раз при запуске браузера А потом ... весь текст скрыт [показать]
     
     
  • 3.99, Анонизмус (?), 10:40, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, теперь стало понятней в теории. На практике, разрабатывая один проект, пришлось использовать DoH, но сервер-резолвер был в США - полминуты тупняка на резолв мне показалось многовато. Но это с отдельного устройства, который локальный UDP-DNS преобразовывал в DoH. Если с клиентских устройств использовать в браузерах, то должно быть нормально.
     
  • 3.101, Аноним (101), 11:45, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Это пока, как в Китае, не ввели белые списки И остается красивый шифрованный HT... весь текст скрыт [показать]
     
  • 1.103, Аноним (103), 12:15, 29/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    И чем ОНО лучше dnscrypt?
     
     
  • 2.107, Аноним (115), 14:55, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Тем что стандарт. Даже автор dnscrypt одобряет DoH и поддерживает его в своей софтине. https://dnscrypt.info/faq/
    А вот dns over tls не одобряет.
     
     
  • 3.109, Аноним (-), 15:44, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну там приводится оценка -, но нет категоричных выводов Так какие же сертифик... весь текст скрыт [показать]
     
     
  • 4.111, Аноним (115), 18:23, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Если вчитаться в них и поверить что это исчерпывающая правда , то там получаютс... весь текст скрыт [показать]
     
     
  • 5.112, Аноним (-), 20:26, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Да так и есть У меня в конфиге разные сервера, в т ч и... весь текст скрыт [показать]
     
  • 1.110, Аноним (110), 16:05, 29/11/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на ст... весь текст скрыт [показать]
     
     
  • 2.113, Аноним (-), 20:27, 29/11/2018 [^] [ответить]     [к модератору]  
  • +/
    А обычный пользователь шарахнется от этого функционала, причем большинство из ЭТ... весь текст скрыт [показать]
     
  • 2.114, Аноним (-), 20:51, 29/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Captive portals  были предусмотрены ещё задолго до.

    Обычные же пользователи об этой настройке даже не подозревают, а по-умолчанию она выключена...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor