The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США

25.02.2020 17:50

Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.

Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 5 полностью отключает DoH; 0 - применяется предлагаемый в браузере режим по умолчанию; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

  1. Главная ссылка к новости (https://blog.mozilla.org/blog/...)
  2. OpenNews: Релиз Firefox 73
  3. OpenNews: Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS
  4. OpenNews: Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox
  5. OpenNews: В Chrome 78 начнутся эксперименты с включением DNS-over-HTTPS
  6. OpenNews: В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/52427-doh
Ключевые слова: doh, dns, https
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (190) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Gemorroj (ok), 17:58, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    зачем они мылят глаза "безопасностью"? ведь, на сколько я понимаю, тут просто вопрос доверия, кому ты будешь делегировать свой dns трафик.
     
     
  • 2.3, n1rdeks (ok), 18:00, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну так "рекомендуют" свои 2 площадки. Деньги, Сэр.
     
     
  • 3.27, Аноним (27), 18:52, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А мне и ProtonVPN хватит, там свои DNS.

    Цель Firefox - зашифрованный DNS для бедных?

     
     
  • 4.30, Аноним (30), 18:56, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Цель Firefox - добраться до сладкого пирога, к которому они раньше не имели доступа.
     
     
  • 5.76, Аноним (76), 20:50, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    О ну конечно, когда тебе предлагают на выбор 4 разных провайдера DNS, это конечно сладкий пирог. Особенно когда данные обезличены. Такой ПИРОЖИНА что просто течёт повидло.

    У вас для того и выбор в интерфейсе, а в about:config вообще никаких ограничений, вписывайте свой DNS сервер с DoH и пользуйтесь, раз вам так страшно за пирог.

     
     
  • 6.117, А (??), 23:34, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуй в ФФ позапускать разделённые приватные экземпляры. Поймёшь глубину падения ФФ.
     
     
  • 7.156, Аноним (156), 14:15, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    @echo off

    echo "Если у Вас нет своего профиля, "
    echo "Вам необходимо его создать!"
    echo "В противном случае, "
    echo "выбирайте свой профиль и запускайте Firefox!"

    start notepad firefox-P.bat

    rem start "%ProgramFiles%\Mozilla Firefox\firefox.exe" "-P"
    "%ProgramFiles%\Mozilla Firefox\firefox.exe" "-P"

     
  • 4.134, Аноним (-), 06:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Цель Firefox - зашифрованный DNS для бедных?

    Стрижка бедных в пользу богатых, как обычно. Не можешь заплатить - хорошо, возьмут натурой :). Слив юзера клаудспайвари, например.

    Еще мне вот интересно, dns это пакет udp на сервер и назад. А тут надо TLS раскочегарить, по нему запрос прислать, обратно ответ получить. И это что, не тормозит, по сравнению с 2 пакетами то?! Или потом мозилла как всегда схватится за бошку "вай, гуглохром что-то быстрее открывает"? :)

     
     
  • 5.168, Аноним (168), 18:50, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Стрижка бедных в пользу богатых, как обычно. Не можешь заплатить - хорошо, возьмут натурой :). Слив юзера клаудспайвари, например.

    Классическая финансовая модель эпохи смартфонов.
    Впрочем, оформилась ещё во времена становления "бесплатных" email-сервисов.

    > Еще мне вот интересно, dns это пакет udp на сервер и назад. А тут надо TLS раскочегарить, по нему запрос прислать, обратно ответ получить. И это что, не тормозит, по сравнению с 2 пакетами то?!

    Рынку надо — юзер потерпит.

    > Или потом мозилла как всегда схватится за бошку "вай, гуглохром что-то быстрее открывает"? :)

    В гуглохроме тоже внедряют, синхронно.
    Видимо, не все нормативные документы США публикуются в открытом доступе.

     
  • 2.4, VEG (ok), 18:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас. При использовании DNS-over-HTTPS или DNS-over-TLS кроме вас и того кому вы "доверяете" никто подсматривать и вмешиваться в работу не сможет.
     
     
  • 3.13, пох. (?), 18:23, 25/02/2020 Скрыто модератором
  • –2 +/
     
     
  • 4.16, Аноним (16), 18:37, 25/02/2020 Скрыто модератором
  • +/
     
     
  • 5.22, Аноним (30), 18:45, 25/02/2020 Скрыто модератором
  • –4 +/
     
  • 5.105, пох. (?), 21:57, 25/02/2020 Скрыто модератором
  • –1 +/
     
  • 3.58, Аноним (58), 20:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вообще то запрос от серверов клаудфлари до NS серверов отвечающих за домен, который вы запрашивали никуда не денется и так же поедет обычным, ни разу ни шифрованным DNS запросом, ибо другого нет в природе.. А ваш трафик все равно поедет через сеть вашего оператора, и при наличии у того желанния (или, скорее  у т. майора по средством СОРМ, т.к. оператору оно нахрен не вперлось обычно) они эти буквы вынут из SNI.

    Зато после включения сей штуки об ваших желаниях знают еще и дяди из клаудфлари, и их г. майоры, а не только наши.. (ну для сша оно наверное и имеет смысл, в одной точке удобнее трафик мониторить, чем во многих, и г майор он и там и там один и тот же)

     
     
  • 4.84, Аноним (84), 21:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > эти буквы вынут из SNI.

    eSNI

     
     
  • 5.113, Аноим (?), 23:05, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы попали на этот сайт ? тут, как и на 99.999% других, нет есни...
     
  • 5.126, Аноним (126), 02:19, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нету никакого eSNI.

    С тех пор как все хостеры отключили domain fronting, цирк с "разработкой" eSNI вызывает только досаду.

     
     
  • 6.162, Аноним (156), 17:37, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А чё это они отключают? Сложно/геморойно в настройке/поддержке? Или по причинам иного характера (не технического)?
     
     
  • 7.167, Аноним (168), 18:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно, обходить цензуру очень любят всякие плохие парни.
    И крупные компании не хотят иметь с ними ничего общего. Бьёт по имиджу, знаете ли.
     
     
  • 8.171, Аноним (156), 20:05, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да Крупные компании хотят только стричь и резать Только и всего ... текст свёрнут, показать
     
  • 4.92, Аноним (92), 21:15, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Шизойд
     
  • 3.102, КО (?), 21:51, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас.

    Ну и в локальной сети я могу прописать, что printer1.local это 192.168.0.3
    А теперь этот фокус не пройдет.

     
  • 3.135, Аноним (-), 06:58, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас.

    Ну, хорошо, а тут клаудспайварь может подглядывать в всю активность пользователя. И я клаудспайвари не доверяю. А с чего бы вдруг должен?

     
  • 2.24, Аноним (24), 18:51, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Затем что, если плохо себя кто вести будет, отключат (газ) сертификат.
     
  • 2.52, Аноним (-), 19:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >зачем они мылят глаза "безопасностью"?

    Потому что дело тут ни в какой не безопасности. У меня, например, локально настроен dnsmasq для разрешения имен. Есть белый список, есть черный список. Белый список содержит адреса, которые я по большей части использую, черный список содержит разнообразное гуглоговно, вроде doubleclick, с перенаправлением на 127.0.0.1. Все случайные DNS запросы выполняются через Tor.
    Обновляется все это специально написанным скриптом, раз в несколько месяцев. И обновляется скопом, то есть провайдеру не удается вычислить количество обращений.
    Вот для борьбы с аналогичными технологиями пользователей это все придумано.

     
     
  • 3.59, Аноним (59), 20:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И толку в этих манёврах?
     
     
  • 4.61, Аноним (-), 20:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Толк в том, что во первых исключаются мусорные запросы ко всяким маркетинговым конторам, во вторых на публичном сервере нельзя определить количество посещений по определенному имени, в третьих обновлять список DNS-соответствий можно не только с DNS-сервера провайдера, а с любого доступного.
     
  • 4.62, Аноним (62), 20:28, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Большинство сайтов работают по схеме "один домен - один IP". Так что определить куда он заходил весьма нетрудно.
     
     
  • 5.63, Аноним (-), 20:32, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хоть изопределяйтесь. Во первых, популярные сайты, как правило уже, находятся не одном IP. Во вторых, на одном IP может и десять сайтов находится. Ну и наконец, это сделано в первую очередь для фильтрации мусора.
     
     
  • 6.67, Аноним (67), 20:39, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В первую очередь это сделано, чтобы консолидировать контроль над DNS в конкретных руках.
     
     
  • 7.129, Anonn (?), 03:50, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой маразм... Какой контроль? Зачем. Для чего...
     
     
  • 8.147, rshadow (ok), 09:02, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, контролируя dns трафик можно сильно увеличить продажи шапочек из фольг... текст свёрнут, показать
     
  • 8.165, Аноним (168), 18:43, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Следить за пользователями 8212 маразм Непонятно, зачем Ну ладно, оставайтес... текст свёрнут, показать
     
     
  • 9.178, Аноним (178), 21:46, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня это локально реализовано Нет никаких пользователей, кроме меня самого ... текст свёрнут, показать
     
  • 6.132, хотел спросить (?), 04:27, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И все эти айпи один хрен известным ПО СОРМа.
    Так не волнуйтесь мусора знают, когда вы в ВК сидите )))
     
  • 3.72, Аноним (72), 20:46, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот для борьбы с аналогичными технологиями пользователей это все придумано.

    Обоснование какое у твоего вывода? Ты не связал его с описанным выше.
    Если ты это все накостылил, то кто тебе запретит отключить DoH? Через конфиг, через enterprise политику, да хоть сборку из исходников с патчем.

     
     
  • 4.74, Аноним (67), 20:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Идея в том, что >95% пользователей отключать, или даже альтернативного провайдера выбирать не будут.
    И все их запросы пойдут через DNS-over-NSA.
     
     
  • 5.87, Аноним (84), 21:05, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    DNS есть централлизованная сущность. Пользуйтесь DHT.
     
  • 5.101, Аноним (72), 21:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте ветку внимательнее. Человек описал свои изощренные костыли с днс. И потом пишет, что DoH в Firefox придуман для борьбы с такими технологиями пользователей, которые он накостылил себе. Но он может отключить DoH (и всегда сможет, enterprise пользователям нужен контроль dns/doh и он для них будет). А основная масса пользователей интернета не костылит себе так днс, как автор коммента, у них работает провайдерский днс или 8.8.8.8 гугла. Т.е. вывод человека не подкреплен никакой логикой, ложен и не связан с остальной частью коммента.
     
     
  • 6.106, Аноним (-), 22:06, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Т.е. вывод человека не подкреплен никакой логикой, ложен и не связан с остальной частью коммента.

    Ты похоже не до конца в теме. Поэтому не понимаешь, что тебе отвечают. Объясняю, DNS-over-HTTPS делается для того, чтобы пользователи не могли ограничивать посещение всяких гуглокликов, адрайверов, гуглоаналитиков. Чтобы исключить возможности фильтрации вот этого. То есть для того, чтобы легче было отслеживать пользователя и показывать ему контекстную рекламу. Безопасность DNS-over-HTTPS - это несерьезный бред, которым только детей обманывать. Какая разница, кто будет отслеживать DNS-имена? Будет ли это провайдер, или Mozilla, или Google, или там Cloudflare - разницы особой нет. Они, как правило, ничем друг друга не довереннее.

     
     
  • 7.109, Аноним (72), 22:26, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Твоя проблема в том, что ты не можешь обосновать, почему DoH исключает возможнос... большой текст свёрнут, показать
     
     
  • 8.112, Аноним (-), 23:00, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Твоя проблема в том, что ты даже не понимаешь о чем идет разговор, а влезаешь с ... большой текст свёрнут, показать
     
     
  • 9.118, Аноним (72), 23:35, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не предлагаю фильтровать домены браузером хотя на это способны расширения, и ... большой текст свёрнут, показать
     
     
  • 10.124, Аноним (-), 00:12, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То есть теперь ты уже согласен, что фильтровать браузером DNS-запросы нельзя Хо... большой текст свёрнут, показать
     
     
  • 11.158, Аноним (156), 15:15, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Можно же реализовать программу которая будет разрешать имена через DOH и фильтро... большой текст свёрнут, показать
     
     
  • 12.161, Аноним (-), 17:37, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С помощью DNS-over-HTTPS браузер ходит на DNS-сервер, разрешает DNS-имена Пока ... текст свёрнут, показать
     
     
  • 13.164, Аноним (156), 18:40, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну что же, поживем посмотрим Пусть Мозила покаместЪ попилит бабло А там наверн... текст свёрнут, показать
     
  • 13.179, Аноним (156), 21:58, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про грамотных людей я уже написал А вот если эта firefox-ина начнет лезть в Инт... текст свёрнут, показать
     
     
  • 14.191, Аноним (168), 12:09, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    CloudFlare имеет техническую возможность сделать DoH endpoints на всех своих HTT... большой текст свёрнут, показать
     
  • 13.195, Аноним (195), 19:48, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не особо и пытался, обоснований так и не привел, потому что их у тебя нет Иначе... большой текст свёрнут, показать
     
     
  • 14.196, Аноним (-), 20:46, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каких обоснования я тебе должен был привести Обосновать что браузер не может фи... текст свёрнут, показать
     
  • 11.194, Аноним (195), 19:41, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ложь Я требовал обоснований почему введение DoH помешает тебе или кому-то фильт... большой текст свёрнут, показать
     
     
  • 12.197, Аноним (-), 20:49, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь одень очки и прочитай название темы Там о работе браузер с DoH речь ид... текст свёрнут, показать
     
  • 6.119, А (??), 23:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Но он может отключить DoH (и всегда сможет,

    Отберут возможность, как отобрали ходить по палёному SSL.

     
  • 4.75, Аноним (-), 20:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Если ты это все накостылил, то кто тебе запретит отключить DoH?

    Ну разумеется, мне никто не запретит отключать это. До тех пор, пока это можно отключать. Тут вопрос в том, как скоро они прибьют это гвоздями.

     
     
  • 5.120, А (??), 23:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Отберут возможность, как отобрали ходить по палёному SSL.
     
  • 3.100, Аноним (100), 21:45, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И от кого ты защитился? Не увидишь очередной баннер купи аппарат, можно было отключить любым адблоком.
     
  • 2.77, Аноним (76), 20:53, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда вопрос доверия, даже если вы свой DNS настроите, вы же будете резолвить с корневых DNS, и конечно они будут знать какие адреса вы резолвите.
     
  • 2.81, cr33p (ok), 20:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а нечего было pi-hole пиарить, вот они и заерзали, причем давно уже. года два назад.
    везде уже это, https://www.youtube.com/watch?v=KBXTnrD_Zs4
    понятное дело что доходы от рекламы падают в геометрической прогрессии, подобные фильры вырубают сразу рекламу и трекеры во всей локалке сразу. и сейчас к сожалению это уже давно мейнстрим, и никого этим не увивишь. молодняк узнал что так можно, оказывается, и начали брызгать слюной везде где можно, вот зачем ? ну грузится реклама и всем нормально. так нет, нужно всем донести об этом. это обычная реакция. вопрос поможет ли, вот это уже интереснее. т.к. это попадет в первую очередь в блеклисты, и как ты будешь резолвить домен, через https, когда сам домен резолвера уже не работает ? смех и грех.
     
     
  • 3.91, cr33p (ok), 21:14, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    зато как красиво затирают нормисам то! защита от злых хакеров! ну-ну, попробуй ка подмени по dns сайт который работает на https, браузер сразу не пустит туда. но народ то хавает, вот что удивительно. совсем уже, обезумели. словечки модные узнали из википедии, и выеживаются. а сами не сном ни духом про то как это работает хотя бы в двух словах, хотя бы в теории. не знают, и не узнают, только и кичатся своим отсутствием знаний. а другие на подхвате. только головой кивают да поддакивают.
    ---==---
    подменяй по днс что угодно, ssl ты этим не поборишь. так что для кого эти сказки то ?
     
  • 2.127, Аноним (127), 03:17, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Индонезии например начинает работать reddit или vimeo когда включаешь DNS-over-HTTPS. Иначе все запросы к DNS перехватываются и подменяются где-то на уровне провайдеров.
     

     ....большая нить свёрнута, показать (61)

  • 1.2, timur.davletshin (ok), 18:00, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А кто вообще решил, что доверять данные какому-то Cloudflare (он вообще юридически представлен у нас?) чем-то надёжнее моего провайдера? С ним у меня хотя бы договор есть.
     
     
  • 2.6, A.Stahl (ok), 18:08, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого. Остаются лишь машина пользователя и DNS сервер.
     
     
  • 3.7, timur.davletshin (ok), 18:10, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это просто предоставляет ещё одну возможность подарить информацию большой корпорации, нет?
     
     
  • 4.12, A.Stahl (ok), 18:22, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пропиши DNS-сервер от маленькой корпорации.
    Ничего не изменилось кроме того что совсем левые люди не смогут сунуть нос куда не нужно. Нет, никто не утверждал что вообще никто не сможет сунуть нос. Просто носов будет меньше.


     
     
  • 5.19, timur.davletshin (ok), 18:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, будет один или два с очень и очень большой статистикой.
     
     
  • 6.37, A.Stahl (ok), 19:07, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу оснований так думать: поднять ДНС с шифрованием задача одного уровня с поднятием ДНС без шифрования.
    Просто нельзя взять и -- бадабыщь! -- все перешли на шифрование. Некоторое время будет ситуация, когжа ДНСов всего несколько. Лично ты можешь пересидеть это время на серверах без шифрования, светя  эти данные не только тем кому они нужны, но и вообще кому попало, раз уж так тебе спокойней и привычней.
     
  • 6.152, Vanych (?), 12:24, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, будет один или два с очень и очень большой статистикой.

    Он и так один, и называется Google.com (8.8.8.8).
    На самом деле идет растаскивание дефолтных запросов.
    А DoH дополнительно отрезает промежуточные фильтры

     
     
  • 7.166, Аноним (168), 18:45, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А DoH дополнительно отрезает промежуточные фильтры

    И добавляет возможность фингерпринтить пользователей (TLS предоставляет куда больше уникальных признаков, чем plain DNS).

    Ну и гугл, видимо, не очень охотно сотрудничает с NSA, в отличие от Cloudflare.

     
  • 3.42, Аноним (-), 19:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> чем-то надёжнее моего провайдера?
    > Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого.

    Между тобой и твоим провайдером есть любопытные вообще-хрен-знает-кто? Интересно!


     
     
  • 4.46, Аноним (30), 19:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так-то есть... продукты Мозилы :)
     
  • 4.153, Vanych (?), 12:32, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Между тобой и твоим провайдером есть любопытные вообще-хрен-знает-кто? Интересно!

    Очень даже может быть - это не намного сложнее сканера автобрелоков и технология пошла в массы. Скандалы были даже в Штатах. Но любопытные могут быть между тобой и DNS сервером. Твой провайдер лишь один из них и самый близкий к тебе. Физически. Да и то не всегда.


     
     
  • 5.174, Аноним (67), 21:06, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Речь идёт об использовании провайдерского DNS.

    Никто вне провайдерской сети не может определить, какие DNS-запросы идут персонально от вас.
    А при нормальной инфраструктуре провайдера, даже внутри сети определить это невозможно (изоляция абонентских линий, с современным оборудованием эпоха локалок уходит).

    Итого, остаётся DNS-сервер провайдера. Записывает он или нет — вы всегда можете узнать, сверившись с законами своей страны. Провайдер не гугл и не фейсбук, со слежки прибылей не имеет, а расходы очень даже. Поэтому если его не заставят под угрозой штрафа — на слежке будет экономить.

     
     
  • 6.180, Vanych (?), 22:21, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    - Правда Wi-Fi роутеры включая и чужие смартфоны вокруг Вас только провайдер... большой текст свёрнут, показать
     
     
  • 7.190, Аноним (168), 12:03, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю насчёт блаженности, но мне пофиг, чьи роутеры вокруг меня Мне важно, к ... большой текст свёрнут, показать
     
     
  • 8.192, Vanych (?), 21:24, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    - Пусть будет так, в чистоте своих связей Вы уверены - Ну, что-ж очередное разоч... большой текст свёрнут, показать
     
  • 3.64, Аноним (67), 20:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого. Остаются лишь машина пользователя и DNS сервер.

    _Один для всех_ DNS-сервер, это важно. К тому же, имеющий возможность эффективно отличать конкретных пользователей.

    Который уже, в свою очередь, может передавать/продавать эти данные хрен-знает-кому.

     
     
  • 4.85, A.Stahl (ok), 21:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >_Один для всех_ DNS-сервер

    Нет, не один.

     
     
  • 5.115, bOOster (ok), 23:26, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Именно один, а остальные даром что доверенные, будут работать как proxy. Чтоб такие как ты думали что тебе хоть какую-то свободу дали.
     
  • 5.175, Аноним (67), 21:07, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет, не один.

    Вы так говорите, как будто 95% пользователей будут менять дефолтные настройки.

     
  • 3.89, Ага (?), 21:10, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Добавляешь сбоку ESNI который работает только с DoH и добро пожаловать в светлое прошлое где блокировки происходят не по sni заголовку, а по адресу назначения
     
  • 3.142, Аноним (142), 07:41, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А DNS-сервер существует сам по себе, никто его не создавал, никто его не обслуживает и никто никогда не сможет получить к нему доступа. Верим в это и будем верить всегда.
     
  • 2.31, Аноним (-), 18:59, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А кому надо доверять? Товарищ майору, которому несешь бабки за интернет?)
     
     
  • 3.45, Аноним (-), 19:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А кому надо доверять? Товарищ майору, которому несешь бабки за интернет?)

    Дятлам, считающим что они "в домике" и провайдер не засечет, куда вдруг пошли пакеты после шифрованного запроса в DoH *facepalm.tiff*

     
     
  • 4.96, Аноним (84), 21:37, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так вроде бы прокси пока никто не отменял!?!
     
     
  • 5.108, анонн (ok), 22:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас это модно называть словом VPN Но совершенно внезапно, кто бы мог пре... большой текст свёрнут, показать
     
     
  • 6.136, Аноним (136), 07:00, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если ты используешь TOR &Co, то тебе, наверное, тем более на один мужской орган не сдалась
    > отправка запросов в гугл или клоудфлер или еще куда.

    На минуточку, они могут "профайл клиента" отстроить и тор будет от них помогать сильно меньше чем по задумке должен.

     
     
  • 7.177, Аноним (67), 21:10, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Причём TLS им в этом сильно поможет (implicit fingerprinting), он ведь не затачивался под анонимность.
     
  • 2.47, GentooBoy (ok), 19:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > какому-то Cloudflare (он вообще юридически представлен у нас?) чем-то надёжнее моего провайдера?

    Это с тех пор как перестали выдавать бумажки экстрасенсам юрик в рф стал оплотом надежности?

     
     
  • 3.65, Аноним (67), 20:35, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Юрик в РФ, выполняющий требования регуляторов, не будет забанен (скорее всего).

    Контора из США, профессионально занимающаяся отслеживанием пользователей и блокировкой доступа, скорее всего получит по щам довольно быстро.

     
     
  • 4.114, GentooBoy (ok), 23:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Влажные фантазии анона мало имеют общего с реальностью.
     
     
  • 5.173, Аноним (67), 21:01, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понял, вы на свою жизнь-жестянку жалуетесь?
     
  • 2.48, Ты бот (?), 19:25, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    С кем у тебя договор, вася? С мтс-ами и ему подобными которые с трафиком и пользователями творят всё что хотят наплевав на договора?🤣 Ты дурачок по-ходу если веришь каким-либо провайдерам/опсосам и их договорам.
     
     
  • 3.73, Аноним (67), 20:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вы-то, надеюсь, не через провайдера в интернет выходите?
    Кстати, как?
     
  • 3.82, timur.davletshin (ok), 20:59, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я мало кому верю, но смело иду в суд, если кто-то со мной имеет письменные обязательства и их нарушает. А писать письма в другую страну в случае нарушений — это письма в Спортлото.
     
     
  • 4.159, Аноним (-), 16:14, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в Спортлото... вот именно что бы не было спортлото - все кто хочет работать на "территории" - должны здеся иметь юрлицо... и именно по этому лицу...
     

     ....большая нить свёрнута, показать (34)

  • 1.5, Аноним (84), 18:07, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Применение DoH может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

    Выпилить!
    И фейсом об тайбл этих умников.

     
     
  • 2.10, Аноним (84), 18:15, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В дополнение.

    Ну может быть я чего недопонимаю, но все же!

    > Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet. .

    Одичали в конец!
    И конечно же фейсом об тайбл.
    Выпилить!

     
     
  • 3.69, Аноним (67), 20:43, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы усилить ваш баттxёрт, скажу, что такая штука, как eSNI, которая в теории должна защищать от подсматривания имя хоста, на который вы идёте по TLS, в случае проблем откатывается на обычный SNI, который всё покажет. Выявить и создать проблемы — тривиально.
     
     
  • 4.97, Аноним (84), 21:39, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чет народ про Tor позабыл. Ну и опять же HTTPS прокси.
     
     
  • 5.137, Аноним (137), 07:04, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В случае tor ты таки доверяешься exit node на предмет что она сконектит тебя куда ты попросил, в том числе и ее dns resolution. Который может работать, может не работать, может работать криво. В втором случае tor повторит попытку с другого exti, всего iirc там 3 попытки с разных точек если сразу не удалось.

    Однако интереснее всего если ты конектился, exit подсунул какое-то фуфло (или его подсунул пров exit'а). В этом случае конект может случиться к чему угодно. В случае TLS ты даже в принципе можешь и заметить что это не тот хост который хотелось. А вот в нешифрованных протоколах... в общем их только как onion сервис можно юзать через тор (там свое end-to-end шифрование). Иначе на нешифрованном участке от exit до назначения может случиться что угодно.

     
  • 2.25, artenox (?), 18:51, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю.
     
  • 2.39, Аноним (-), 19:09, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "Родительский контроль" в современном мире - это поставить проприетарную пpибдyдy от одного из тысяч гoвноделов, которая ниxpенa не гарантирует, и свалить на работу, пока чадо плавает в [s]океане говна[/s] этих ваших интернетах, в надежде на то что ничего нехорошего там не всплывет))
     
     
  • 3.49, Ты бот (?), 19:31, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По-сравнению с океанами говна во дворе и в школе, интернет просто тихая гавань. В интернете хотя бы твою дочку за гаражами не изнасилуют.
     
     
  • 4.68, Аноним (67), 20:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Во-первых, там её пригласят за гаражи, во-вторых, там потом выложат видеоотчёт.
     
     
  • 5.123, Ты бот (?), 00:09, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну если пригласят и согласится то твоя дочь дура или шлюха и в этом выновны либо родители либо наследственность(тоесть опять родители), а не интернет. А во дворе и приглашать не будут как в "этих ваших интернетах" , в тачку затолкают и на "пикничок" за город. А потом менты на опознание пригласят. А зато не в интернетах сидела, а на свежем воздухе гуляла!
     
     
  • 6.125, Аноним (125), 01:51, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на свежем воздухе гуляла, ...

    ...героинчиком кололась :-)

     
  • 3.138, Аноним (137), 07:07, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Родительский контроль" в современном мире

    ...это когда чадо задолбалось да и вернуло родичам фавор, поставив троян или ограничения. При том в силу уровня владения IT данный сценарий происходит чаще чем обратный :D.

    Представляете, 90% старперов не знают как поставить даже пароль на телевизор. А вот любопытная мелкота его может и найти и даже поставить. И вот тогда случается родительский контроль. Вы хотите посмотреть любимое порево, а у вас - фигакс - пароль какой-то спрашивают! :)))

     

  • 1.8, бублички (?), 18:11, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    принудительный DoH - какой-то совершенно детский бред. под красочной вывеской "не доверяйте DNS-резолверам своего провайдера - доверяйте нам. искренне и навеки ваш, Cloudflare" обезъянам в очередной раз пытаются внушить идею что о них заботятся. у любой более-менее IT-компании как-правило своя сеть резолверов. с DoH или без - по желанию
     
     
  • 2.11, Аноним (84), 18:19, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мы в общем то всегда доверяем "DNS-резолверам своего провайдера". Особенно мы рады когда нам продають доступ в сеть Интернет, без доступа к некоторым IP. А так да, мы доверяем ;)
     
     
  • 3.43, Аноним (43), 19:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так это вопросы не к провайдеру, а к законодательству конкретной страны. Строго говоря, провайдеру вообще неинтересно что-то там блокировать, только лишний геморрой.
     
     
  • 4.121, InuYasha (?), 00:05, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ха! Провай-дыру очень интересно, зато, чтобы я в своём нагиосе увидел на весь экран рекламу "подпишись на почтибесплатный сервис и купи вольксвагин за полдвойнойцены!" без кнопки "нет".
     
     
  • 5.146, бублички (?), 08:57, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    убей не помню в Nagios (до версии 3) такого плагина. думаю подобное интересно наверное лишь тебе, да его автору
     
     
  • 6.150, InuYasha (?), 11:20, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > убей не помню в Nagios (до версии 3) такого плагина. думаю подобное
    > интересно наверное лишь тебе, да его автору

    Я намекал на то что провайдеры наподобие всем известного мегафона вклиниваются в любой доступный им HTTP-трафик (даже твоего собственного сервера) и вколачивают туда всё что им вздумается. Например оргомный постер и JS.

     
     
  • 7.169, Аноним (168), 18:55, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    При использовании HTTPS это невозможно, вне зависимости от шифрования DNS.
     
     
  • 8.170, InuYasha (?), 19:28, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, КО ... текст свёрнут, показать
     
     
  • 9.176, Аноним (67), 21:09, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда смысл в вашем комментарии 4 121 ... текст свёрнут, показать
     
  • 3.66, Аноним (67), 20:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы в общем то всегда доверяем "DNS-резолверам своего провайдера". Особенно мы рады когда нам продають доступ в сеть Интернет, без доступа к некоторым IP.

    Конечно, это позволяет почувствовать себя гражданином United Kingdom.
    Если бы ещё за окном помойки не было...

     
     
  • 4.154, Vanych (?), 13:00, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для того, чтобы почувствовать себя гражданином United Kingdom достаточно:
    обрезать себе скорость интернета до 2kb/s и поднять цену за трафик на порядок.
    А свою помойку за окном убери, она не от страны зависит.
     
  • 2.36, Аноним (-), 19:05, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Отключается в настройках.
     
     
  • 3.51, Ты бот (?), 19:36, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    бублички нынче слишком тупые пошли 🤣 что-то в настройках отключать это черезчур! Они браузир ставили не для того чтобы в настройках крacноглазить!🤣
     

  • 1.9, Аноним (9), 18:15, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По прежнему не работает при включении. Его вообще как нибудь можно включить? Хотя бы на попробовать.
     
     
  • 2.94, Аноним (92), 21:27, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если через роутер, то меняйте настройки DNS в самом роутере. Можно сделать, чтобы все устройства, подключаемые к роутеру, имели соответствующий DNS
     

  • 1.14, Тфьу (?), 18:23, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как отключить все эти дополнительные проверки чтобы DoH всегда был включен?
     
     
  • 2.17, Аноним (16), 18:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие именно?
    Если нравится вариант фф - так и ипользуйте, проверок нет.
    Если не нравится - ставьте stubby, и всё это будет реализовываться прямо на оси. Там и сервер выбрать любой можно.
     
  • 2.83, Аноним (72), 21:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    network.trr.mode=3. На данный момент известно что тогда открытым днс резолвятся только captive portal https://bugzilla.mozilla.org/show_bug.cgi?id=1593873 (его нет смысла резолвить через DoH, и если проверка на портал не нужна, можно выключить network.captive-portal-service.enabled, тогда и днс запроса не будет) и отправка телеметрии при закрытии браузера, т.к. там отдельный процесс и его сложно к DoH привязать https://bugzilla.mozilla.org/show_bug.cgi?id=1610365 (и телеметрию тоже можно выключить).
     

  • 1.15, Cloud (ok), 18:36, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда оно появилось пробовал, жутко тормознуто было.
     
     
  • 2.20, timur.davletshin (ok), 18:45, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оно и сейчас у меня в 4 раза медленнее DNS от оператора.
     
     
  • 3.28, artenox (?), 18:53, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому что не UDP как DNSCrypt.
     
     
  • 4.172, Аноним (67), 20:59, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    UDP как-то позволит избежать большого оверхеда на TLS?
     
  • 2.34, Аноним (-), 19:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Держи в курсе!
     

  • 1.18, Аноним (30), 18:41, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Начали под централизованный колпак хомячьё пересаживать... А кто даст гарантию, что CloudFlare честно разыменует запрос, а не протуннелирует тебя с подменой сертификата? Тем более, что они-то и занимаются контент-деливери сетями.
     
     
  • 2.26, Аноним (24), 18:52, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем ее давать, когда люд потребляэ?
     
  • 2.29, Аноним (84), 18:55, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    4-й же вариант У Вас наверное какая то особая гарантия Вот, предположим Вы, со... большой текст свёрнут, показать
     
  • 2.35, Аноним (-), 19:03, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Под колпаком COPMа уютнее? :-)
     
  • 2.122, InuYasha (?), 00:07, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    CloudFanny те ещё п(ом)идоры. С гуглом в одной койке.
    Мечтают приучить юзеров вводить goolag-капчу на каждый DNS-запрос )
     
     
  • 3.139, Аноним (137), 07:09, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А еще они TLS на себе терминируют. "Для целей ускорения". Ага, после этого безопасность идет лесом и клаудспайварь может hijack-ать траф. Чем и занимается, на примере гуглокапчи. Это ж не контент сайта, это фигня врезанная клаудспайварью в траф.

    Т.е. зеленый замочек ничего не гарантирует. Совершенно левая фирма вклинивается в траф. Круто.

     
     
  • 4.187, Аноним (168), 11:56, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, у Китая есть Великий Китайский Фаервол, а у США есть CloudFlare.
    Оба они выполняют одни и те же функции
    – смотрят, кто куда ходит
    – решают, куда можно ходить, а куда нет

    Надо сказать, у американцев получается лучше, потому что вклиниться в HTTPS и китайцев пока не получилось.

     
  • 2.130, Anonn (?), 03:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > кто даст гарантию, что CloudFlare честно разыменует запрос

    Я могу дать гарантию, что %твой_говнопровайдер% сто процентов подделывает днс-запросы.

    Подними свой DoH и делов то. А вот подняв свой DNS, ты даже как админ не можешь гарантировать, что твои резолвинги не будут исправляться.

     
     
  • 3.140, Аноним (137), 07:10, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше свой dnscrypt поднять. Работает в разы быстрее.
     
  • 3.185, Аноним (168), 11:52, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Я могу дать гарантию, что %твой_говнопровайдер% сто процентов подделывает днс-запросы.

    Какие ваши доказательства?

     

  • 1.21, artenox (?), 18:45, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Не должен хранить логи дольше 24 часов

    Почему бы просто не заюзать Tor DNS или DNSCrypt?

     
     
  • 2.33, Аноним (-), 19:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так и вижу, домохозяйки гуглят мануалы по настройке Tor DNS или DNSCrypt. :D
     
     
  • 3.50, GentooBoy (ok), 19:31, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ Ленин, может вы залогинетесь?
     
  • 3.70, Анончик (?), 20:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    apt install tor
    echo "DNSPort 53" >> /etc/tor/torrc
    echo "nameserver 127.0.0.1" > /etc/resolv.conf
    systemctl restart tor

    Очень сложно, да.

     
     
  • 4.78, Аноним (30), 20:54, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    systemctl: команда не найдена
     
     
  • 5.95, Аноним (95), 21:29, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда страдай, утенок
     
     
  • 6.186, Аноним (168), 11:53, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы нетолерантны к пользователям Шindoшs.
     
  • 4.143, artenox (?), 07:57, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Причем сам Tor может подняться без DNS. Но я правда не уверен сможет ли, если очень давно не включать.
     
  • 3.184, someone (??), 08:02, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    разве DoH и DNS-over-TLS более можный-молодежный-современный? который есть в роутерах изкоробки
     
  • 2.86, Аноним (72), 21:05, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > DNSCrypt

    И что это изменит, умник? Ты в курсе что это просто протокол, как DoH и DoT? Но не являющийся стандартом. Допустим они заюзали бы (или ты заюзаешь) его, как это повлияет на хранение логов?

     
     
  • 3.141, Аноним (137), 07:13, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот так и повлияет - провайдеру не будет видно что там реально было. А то что они хранят какой-то мусор, кому это мешает?
     
     
  • 4.188, Аноним (168), 11:57, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте про SNI (и заодно про провал eSNI и блокировку domain fronting).
    Если ваш провайдер захочет, то всё увидит.
     
  • 2.88, Аноним (72), 21:08, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И еще, разработчик dnscrypt хвалит DoH (и ругает DoT). И в своем dnscrypt имеет поддержку DoH протокола.
    https://dnscrypt.info/faq/
     
  • 2.144, artenox (?), 08:10, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Tor DNS или DNSCrypt

    Но для этого еще надо eSNI,  иначе домен легко вытаскивается из пакета. Они также могут конфликтовать с VPN.

    Так что мозилловская реализация защищает от провайдера в пользу АНБ. Причем, защищает только себя, а у нас репозитории на голом http еще.

     
     
  • 3.189, Аноним (168), 11:59, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Но для этого еще надо eSNI,  иначе домен легко вытаскивается из пакета.

    При блокировке eSNI каким-нибудь MitM-ом (что весьма несложно), браузеры откатываются на обычный SNI.
    И ничего с этим не поделать — надо же как-то обеспечивать совместимость с теми серверами, которые eSNI не поддерживают.

     
     
  • 4.193, Аноним (195), 19:26, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каким митмом? Технология ESNI включается когда в днс домена указана поддержка. Не указана - работаем как раньше. ESNI в лисе завязано на DoH, без него не работает. Митмить и откатывать придется днс.
     

  • 1.23, Аноним (30), 18:49, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

    Вопрос: ЧЬИМ законодательством?

     
     
  • 2.55, Ты бот (?), 19:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ихним, вася. Они ихние сервисы в инхних странах и ихних-же интернетах продвигают🤣 Интернет это вобще проект ЦРУ по заявлению одного пережившего анальную геополитическую трагедию престарелого карлика🤣🤣🤣
     

  • 1.38, Онаним (?), 19:08, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Stubby на openwrt и нет проблем, работает на все устройства в доме. 👺👺
     
     
  • 2.40, Аноним (-), 19:11, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    VPN на OpenWRT и нет проблем, работает на все устройства в доме. 💪💪💪
     

  • 1.41, Аноним (41), 19:16, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите как настроить dnscrypt-proxy и включить DoH в firefox и подключиться к dnscrypt-proxy
     
     
  • 2.44, Аноним (30), 19:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    звучит как немецкое πορно
     
     
  • 3.128, artenox (?), 03:23, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > немецкое

    Я видел только Manuel.

     
     
  • 4.131, artenox (?), 04:20, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот зачем я об этом вспомнил?...
     
  • 2.56, Casm (??), 20:09, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В wiki есть
    https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Local-DoH
     

  • 1.57, abi (?), 20:09, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно как-нибудь это надежно выключить, чтобы потом не вспоминать?
     
     
  • 2.80, Аноним (30), 20:56, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    можно, удалив FF
     

  • 1.71, Аноним (30), 20:44, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > DoH ... CloudFlare

    Называется, пустили козла в огород капусту сторожить

     
  • 1.90, Геймер (?), 21:11, 25/02/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.103, Аноним (72), 21:51, 25/02/2020 Скрыто модератором
  • +/
     

  • 1.93, avocados (?), 21:25, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хэй, камрады, посоветуйте годный браузер, который будет Google Chrome, но не Google Chrome, вернее Chrome, но не Google.
     
     
  • 2.99, OpenEcho (?), 21:43, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    гугли Ungoogled Chromium
     
     
  • 3.107, avocados (?), 22:12, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Буду следить. А что-нибудь более готовое?
     
  • 2.110, Аноним (110), 22:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Яндекс Браузер
     
     
  • 3.111, avocados (?), 22:37, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Яндекс Браузер

    Тогда уж лучше сразу амигу.

     

  • 1.98, OpenEcho (?), 21:40, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В статье ИМХО ошибка,

    network.trr.mode=0 это дефолт, a не запрет и как только они решат что дефолт DoH, то ноль будет DoH

    Для запрета нужо юзать network.trr.mode=5

    https://wiki.mozilla.org/Trusted_Recursive_Resolver

    network.trr.mode

        0 - Off (default). use standard native resolving only (don't use TRR at all)
        1 - Reserved (used to be Race mode)
        2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback.
        3 - Only. Only use TRR, never use the native resolver.
            Up to FF >= 73, this mode also requires the bootstrapAddress pref to be set.
            Starting with Firefox 74, setting the bootstrap address is no longer mandatory - the browser will simply bootstrap itself using regular DNS, unless the DoH server domain can't be resolved.
            The native resolver will still be used for portal detection and telemetry (Bug 1593873)
        4 - Reserved (used to be Shadow mode)
        5 - Off by choice. This is the same as 0 but marks it as done by choice and not done by default.

     
     
  • 2.104, Аноним (72), 21:54, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > network.trr.mode=0 это дефолт, a не запрет и как только они решат что дефолт DoH, то ноль будет DoH

    Не ноль будет DoH, а юзеров с дефолтного 0 будут переводить на 2. Но юзеров с 5 (ручное отключение) переводить не будут.

     
  • 2.148, abi (?), 09:22, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо! Выставил везде в 5
     

  • 1.116, Геймер (?), 23:34, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В общем к хостинг-провайдерам, провайдерам контента и провайдерам доступа добавились ещё и провайдеры секурности. И все хотят денег
     
     
  • 2.155, Аноним (155), 13:30, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот полный список:
    1. Провайдер домена - 500 руб/год
    2. Провайдер хостинга - 1000 руб/год
    3. Провайдер сертификата - 600 руб/год
    4. Провайдер канала - 500 руб/мес.

    Скоро от корпорастов:
    5. Провайдер воздуха - 100 руб/день
    6. Провайдер еды - 500 руб/день
    7. Провайдер кайфа - 1000 руб/мг
    8. Провайдер подъёма с колен - бесценно.

    Ну и так далее.

     
     
  • 3.182, Аноним (137), 23:11, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Провайдер кайфа - 1000 руб/мг

    Еште дети капсаицин - от него тоже кайф и он дешевле :)

     

  • 1.133, Омононим (?), 05:15, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда, будто в новости про политику зашел. Брр...
     
  • 1.145, ryoken (ok), 08:45, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Почитал. Страшно. Дайте плз другой интернет, желательно на других физических принципах (ну там гравимагнитный какой-нибудь)... Видимо надо переползать на links & K...
     
  • 1.149, Аноним (149), 09:58, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уважаемые гуру, почему в Firefox под Минтом 4К видео тормозит, а в Хромиуме нет?
     
     
  • 2.160, Аноним (30), 17:19, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это же Тор... мозилла.
     
  • 2.183, Аноним (137), 23:12, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А почему у меня наоборот?
     

  • 1.151, Следопыт (??), 11:50, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Моментами мне кажется, что часть критиков данной технологии на самом деле имеют иную цель - убедить пользователя сидеть на локальных провайдерских DNS...
     
     
  • 2.163, Аноним (156), 17:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто там минусуёт, человек же сказал, что кажется и говорил по часть комментаторов.
     
  • 2.181, Геймер (?), 22:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не технология а услуга.
     

  • 1.157, Аноним (157), 15:07, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Столько визгу-то! А всего лишь надо взять копеечный VPS в обожаемой вами Африке и поднять на нем shadow-socks
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру