The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.03.2018 11:44  Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TRR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.

В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).

Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.

В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера "https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental". Для развёртывания своего DoH-сервера можно использовать doh-proxy от Facebook, DNSCrypt Proxy или rust-doh.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах
  4. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: firefox, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:14, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +9 +/
    Ха. Годно. Провы, мухлющие с подменой DNS, аки бакланы, пролетают мимо...
     
     
  • 2.4, Аноним (-), 12:28, 21/03/2018 [^] [ответить]    [к модератору]
  • +14 +/
    Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь мало того надо убедиться что юзается dns за vpn / dnscrypt, еще надо будет как-то убедиться, что браузер не шлет их непойми куда...
     
     
  • 3.9, Аноним (-), 12:49, 21/03/2018 [^] [ответить]     [к модератору]
  • +/
    Ну да, тут, конечно, не все гладко Но пусть лучше будет такая возможность, чтоб... весь текст скрыт [показать]
     
     
  • 4.21, Аноним (-), 13:24, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не туда смотрите. На гаджетах сейчас установить dnscrypt можно только через рутирование. Если FF будет идти сразу с этой фичей, то это большое подспорье
     
     
  • 5.58, dimqua (ok), 15:00, 21/03/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Вот только DNS-запросы отправляет не только браузер, а значит, нужность DNSCrypt эта фича не отменяет.
     
     
  • 6.66, Аноним (-), 15:29, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Чо это Об чем речь то Никто об этом и не заявляет Вот только DNSCrypt постави... весь текст скрыт [показать]
     
     
  • 7.92, Аноним (-), 17:32, 21/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Наверное root там нужен для того, что бы трафик фильтровать ... весь текст скрыт [показать]
     
     
  • 8.104, Аноним (-), 19:24, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Там загрузить сам сабж не сможешь, просто потому что ФС в r/o
    ну так далее.. Там вопросом немало, которые без root никак
     
  • 5.77, Oleg (??), 16:27, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не поверишь, но даже под ненавистный iOS есть
    https://itunes.apple.com/us/app/dnscloak-dnscrypt-doh-client/id1330471557?mt=8
     
     
  • 6.81, Аноним (-), 16:45, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не поверишь! )) Я общался с разрабом.
    И даже пробовал и для 32 и для 64
    Это DNS over VPN )) Иначе джейлбрейк!
     
  • 3.18, Аноним (-), 13:23, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Что за крик а драги нет? С VPN все просто, с dnscrypt - отрубить в FF эту фичу.
     
  • 1.2, Аноним (-), 12:20, 21/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –7 +/
    Хорошее начало, но про то, что Cloudflare это общий проект АНБ с Китайцами, в... весь текст скрыт [показать]
     
     
  • 2.23, Аноним (-), 13:25, 21/03/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Нам АНБ не почем. Это вам там за бугром угроза ))
     
     
  • 3.35, Аноним (-), 13:43, 21/03/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    У нас своих желающий регулировать, перлюстрировать, логировать (на полгода) хоть отбавляй.
     
     
  • 4.39, Аноним (-), 13:49, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Так вот и первая задача от этих г..регуляторов скрыть свои запросы )) А кто там дальше.. АНБ или АБВГД уже без разницы
     
  • 3.38, Аноним (-), 13:49, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Cloudflare - они ребята щедрые, - достанется и тебе https blog cloudflare com... весь текст скрыт [показать]
     
     
  • 4.41, Аноним (-), 13:53, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ураденные данные - это украденные/протекшие. В оперативных целях использоватьт можно - в суде.. ну ты сам знаешь )) или не знаешь? %-)
     
     
  • 5.74, тов. майор (?), 16:23, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    в суде тоже можем. Здесь вам не гейропа и не толерантостан.
    Но ты и так во всем уже чистосердечно признаешься и в двух местах распишешься, данные судья даже смотреть не будет.
     
     
  • 6.80, Аноним (-), 16:44, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну дык если все так,
    так к чему этот фарс с ДНС? ))
    Сдадут не сдадут, утекут не утекут..
    Дзержинский жив на Лубянке? ))
     
     
  • 7.115, тов. майор (?), 20:46, 21/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    так у нас принято Традиция с 30го года, что поделать Заметьте - все осужденные... весь текст скрыт [показать]
     
  • 5.96, Аноним (-), 18:03, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    А налоговая в этих самых европах не знала и у работников свисс-банков данные пок... весь текст скрыт [показать]
     
     
  • 6.135, Аноним (-), 22:56, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Все те Не надо вырывать события из контекста и извращать смысл событий Тогда ... весь текст скрыт [показать]
     
  • 2.126, Аноним (-), 22:10, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Про китайцев непонятно. Причём тут китайцы? Основатель компании - европеоид, и американец по национальности.
     
     
  • 3.155, Аноним (-), 05:59, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Главная страница Cloudflare, список спонсоров ("Backed by")
     
  • 1.3, Аноним (-), 12:27, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Пора сделать протокол EoH - everything over http. А кому-то семиуровневая модель казалась большой....
     
     
  • 2.7, Аноним (-), 12:39, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    https://en.wikipedia.org/wiki/BOSH_(protocol)
     
  • 1.5, Аноним (-), 12:31, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давно ждал подобной фичи, вот только тут масса подводных камней в реализации.
     
     
  • 2.49, Аноним (-), 14:12, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Надо было не ждать, а польтзваться. Давно куча решений существует
     
  • 2.59, dimqua (ok), 15:03, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Каких именно?
     
  • 2.111, 0x0 (?), 20:21, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Чёт, до сих пор никак не разберусь, почему, начиная с ядра 4 15 при использовани... весь текст скрыт [показать]
     
     
  • 3.114, 0x0 (?), 20:31, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ^ Там вместо слова 'весь' лучше было использовать 'сетевой'...))
     
  • 1.6, Pahanivo (ok), 12:36, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к этому HTTP, но сначала надо зарезолвить его адрес ...
     
     
  • 2.14, тютю (?), 13:07, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    но это же нужно будет сделать только раз, в отличие от
     
  • 2.24, Аноним (-), 13:27, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    HTTPS а не HTTP. Чего там надо то сделать?
     
  • 2.45, Аноним (-), 14:02, 21/03/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Для вашего удобства адрес будет неизменным - 8.8.8.8
     
     
  • 3.76, гугль (?), 16:24, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    это нетолерантно, у пользователя должен быть выбор Поэтому вы сможете ввести и ... весь текст скрыт [показать]
     
     
  • 4.142, Аноним (-), 23:15, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Кстати, да. Легко. Провайдер может заворачивать на себя (или на любой другой адрес) днс трафик (53/UDP) идущий на любые destination.
     
     
  • 5.150, ГН (?), 02:20, 22/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ему ещё как минимум потребуется завладеть ключом владельца сертификата Если мы ... весь текст скрыт [показать]
     
     
  • 6.160, Аноним (-), 12:48, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы используете уникальные сертификаты в стандартных браузерах?
     
  • 3.98, Аноним (-), 18:10, 21/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Лучше 1.4.8.8
     
     
  • 4.161, Аноним (-), 12:50, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Еще лучше 1664 ))
     
  • 2.97, Аноним (-), 18:10, 21/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к
    > этому HTTP, но сначала надо зарезолвить его адрес ...

    HTTP работает без DNS.

     
     
  • 3.156, alex (??), 06:09, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    тогда можно совсем убрать резолвер из браузера :)
    а то вон сколько проблем из-за него
     
     
  • 4.159, Аноним (-), 12:00, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Можно, если помнишь все ip адреса сайтов.
     
  • 1.8, 0x0 (?), 12:46, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Здесь как не крути, но у кого-то всегда будет возможность контролировать информацию о хостах, которые открывают пользователи :)
     
     
  • 2.10, 0x0 (?), 12:50, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    "всегда" ‒ это в смысле, что пользователь никак не может резолвить в одиночку :)
     
  • 2.11, Аноним (-), 12:52, 21/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Тогда пусть кто-то принимает соответствующий закон, и отгребает потом, когда а... весь текст скрыт [показать]
     
     
  • 3.31, Аноним (-), 13:39, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Да плевать Лишь бы не ваша контора это делала Да товаристч майор ... весь текст скрыт [показать]
     
  • 2.26, Аноним (-), 13:28, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Всегда кто то кого то контролирует! Вы о чем?
     
  • 1.12, Аноним (-), 12:52, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ага, надо понимать, что через 8.8.8.8 ничто и никому не утекает и никто ничего не контролирует, лол.
     
     
  • 2.13, Аноним (-), 12:54, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Есали провайдер резолвит его на себя - может и не утекать
     
     
  • 3.57, 0x0 (?), 14:57, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А провайдер ‒ это, как правило, "сосед", который может больше, чем нужно тобою интересоваться и делиться инфо с другими интересующимися :)
     
     
  • 4.65, Аноним (-), 15:25, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А еще он просверлил к тебе в туалет  дырку и подсматривает 24/7
     
     
  • 5.72, 0x0 (?), 16:02, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не, ну, дырку он по-любому просверлил :))
     
  • 2.29, Аноним (-), 13:34, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну а это тут причем?
     
     
  • 3.46, Аноним (-), 14:05, 21/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    При том, что Cloudflare узнает поменяет хосты это ужас-ужас, а с гуглом все норм... весь текст скрыт [показать]
     
     
  • 4.48, Аноним (-), 14:10, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну так тестирование ЖЕ Пишите в багрепорт... весь текст скрыт [показать]
     
  • 1.15, Аноним (-), 13:16, 21/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данн... весь текст скрыт [показать]
     
     
  • 2.17, Володька (??), 13:21, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Tor
    > NSA
    > Приватность

    Ну ты понел.

     
     
  • 3.19, Аноним (-), 13:23, 21/03/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    >Рептилоиды
     
  • 3.27, Аноним (-), 13:32, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Не понял. И чо?
     
  • 2.22, Аноним (-), 13:25, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.

    А как это сделать?
    Есть готовая ссылка?

     
     
  • 3.33, Аноним (-), 13:41, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >>использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.
    > А как это сделать?
    > Есть готовая ссылка?

    ЛОВИ - Torproject.org

     
  • 3.36, Аноним (-), 13:45, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Самое простое - ставь Proxifier и создавай правило как душе угодно. Там же есть DNS through Proxy
     
  • 3.50, Аноним (-), 14:12, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > как это сделать?

    В файле конфигурации демона tor есть директива «DNSPort».

     
     
  • 4.68, Аноним (-), 15:39, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Да и называется torrc
    Чел спросил просто так. Вряд ли он будет настраивать
    dns over tor
     
  • 2.32, Аноним (-), 13:40, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Т е вы в новости ничего не поняли ... весь текст скрыт [показать]
     
  • 2.99, Аноним (-), 18:13, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Что ты хотел от изкоробочных бриждей на которых сидят многие пользователи тора ... весь текст скрыт [показать]
     
     
  • 3.122, Аноним (-), 21:29, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не видят, условие выполняется.
     
     
  • 4.127, Аноним (-), 22:14, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободн... весь текст скрыт [показать]
     
     
  • 5.145, Аноним (-), 23:22, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Да ну Они могут это сделать Бриджи на свободные Б ь, ну это еще чт... весь текст скрыт [показать]
     
  • 3.143, Аноним (-), 23:16, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вот оно чо.. а ничего что бриджи используются при выборе
    obfs? Или это от незнания?
     
  • 1.16, xdroid (?), 13:18, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    1. Покупаем VPN с поддержкой DNS-серверов.

    2. Идем на ipleak.net...

    3. Profit!

     
     
  • 2.30, Аноним (-), 13:37, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    С поддержкой чего? Если  я на VPS подниму openvpn и пропишу dns 8.8.8.8 работать не будет? ))) Нужно вот обязательно с поддержкой "DNS-серверов"? Или вы васе таки о своем резолвере? )))
     
     
  • 3.34, Namka (?), 13:42, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    С поддержкой собственных DNS, видимо. Или DNS большого брата тебе больше нравится?
     
     
  • 4.37, Аноним (-), 13:46, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Кому что, а я могу и dnscrypt поставить.
     
  • 3.93, Crazy Alex (ok), 17:36, 21/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?
     
     
  • 4.151, ГН (?), 02:28, 22/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?

    Посоветуйте IP честного ресолвера

     
     
  • 5.158, PnDx (ok), 11:22, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ip='dig +short unbound.net'
     
  • 3.109, Ordu (ok), 20:06, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > пропишу dns 8.8.8.8 работать не будет?

    Будет, но какой в этом толк? Это чтобы рассказать гуглу по каким сайтам ты ходишь со своей вепеески?

     
     
  • 4.152, ГН (?), 02:31, 22/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну можно же ещё принять на себя груз ответственности перед Гуглом за посещение э... весь текст скрыт [показать]
     
  • 1.20, Zenitur (ok), 13:24, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    1). Скачиваем Tor Browser >= 7.5
    2). Открываем about:support
    3). Смотрим "Операционная система"
    4). Анонимность!

    На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так не было

     
     
  • 2.25, Володька (??), 13:28, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И ты конечно не открыл его?
     
  • 2.28, Аноним (-), 13:33, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Срочно!!!! Пиши! Смотришь в книгу - видишь фигу!
     
  • 2.94, Аноним (-), 17:56, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Видимо лучше показывать то что у большинства Так же и с User Agent только там е... весь текст скрыт [показать]
     
  • 1.40, An (??), 13:53, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Эт как в том мультике ... "...Если говорят, что народ не пострадает - это значит спасайся кто может..."  
     
     
  • 2.43, Аноним (-), 13:58, 21/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Это всего лишь тестирование В работе это пользовать нельзя Просто кто то гонет... весь текст скрыт [показать]
     
  • 1.42, Аноним (-), 13:56, 21/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    теперь я понял зачем они с гулоидами натягивают всем хттс кто не понял - чтобы ... весь текст скрыт [показать]
     
     
  • 2.44, Аноним (-), 13:59, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Точно!! И они то знают как применить эти персональные данные на полную катушку!! ДА!?
     
     
  • 3.102, rshadow (ok), 19:15, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Любая рекламная сеть знает как применять твои персональные данные, и историю твоего браузера.
     
     
  • 4.110, Аноним (-), 20:14, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вот оно как.. а если нет истории браузера то чо?
     
     
  • 5.116, гуглезила (?), 20:51, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    история - она всегда есть, если ты им вообще пользуешься То что ее нет на _твое... весь текст скрыт [показать]
     
     
  • 6.136, Аноним (-), 22:59, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот вы любите мусировать разную пургу про фингерпринтинг Если бы все так прос... весь текст скрыт [показать]
     
  • 1.47, Аноним (-), 14:07, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Существующая система изжила себя. Все эти накостыляния создают больше проблем, чем решают. Давно надо было внедрить NameCoin или Ethereum Domain Naming System.
     
     
  • 2.52, username (??), 14:19, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    О чем вы говорите, мы тут в 2018 (!транспорт!) не можем на tls перевести потому что бабло и закостенелость системы.
    Безопасность сверху нагородим хоть какой то прогресс и польза.
     
  • 1.51, username (??), 14:16, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Похоже комментирующие просто не в теме как обстоят дела с безопасным днс. Если кратко - никак.
    Мы проиграли, безопасной реализации в массах не будет потому как все куплено, никто не хочет отдавать этот инструмент контроля.
    DoH этот по сути отчаянная попытка хоть как то сдвинуть с мертвой точки ситуацию. Причем рабочий, причем уже сейчас рабочий.  Сейчас три публичных сервера есть для DoH клиентов, один от лицокниги, другой от гугла третий от сабжа. Хотите свой - прекрасно. На гитхабе есть пару реализаций сервера.
    Нужно что то решать уже сейчас. Никакой dnscrypt dnss+ не будет внедрен массово, это все шумиха для отвода глаз и затягивания процесса.
     
     
  • 2.61, Аноним (-), 15:20, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну вот пришел мастер и объяснил сирым, что все плохо Ю бест мастэ Остальные ... весь текст скрыт [показать]
     
     
  • 3.64, username (??), 15:25, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Могут конечно. Могут.
    Но стараниями некоторых товарищей в массы это не пойдет.  
     
     
  • 4.67, Аноним (-), 15:34, 21/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Вы недооцениваете массы Dnscrypt досточно распространен на ПК В гаджетах зооп... весь текст скрыт [показать]
     
     
  • 5.73, username (??), 16:22, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    В массы это я про глобальный переход Понятно что все можно если сильно захотеть... весь текст скрыт [показать]
     
     
  • 6.83, Аноним (-), 16:55, 21/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Глобальный переход никому не нужен, как не нужна глобальная безопасность 90 Ва... весь текст скрыт [показать]
     
  • 6.85, Аноним (-), 17:01, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Старый проток чего DNSCrypt А чем проток то не устраивает Версия 2 шагает по ... весь текст скрыт [показать]
     
  • 2.78, Аноним (-), 16:40, 21/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    gt оверквотинг удален Что за пессимизм Вы как то замешали все в одну кашу Ес... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.53, Аноним (-), 14:27, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    днс крипт для гиков, а толпа будет сидеть на том, что ей дают - этого то и достаточно для сильных мира сего
     
     
  • 2.54, Аноним (-), 14:37, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Да-да, этого достаточно, чтобы (гоогле, пейсбук, и прочим дефолтным DoH сервисам) не делиться траффиком и данными ни с кем, кроме себя.
     
     
  • 3.55, username (??), 14:41, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ставьте себе сервер, делитесь только с собой.
     
     
  • 4.60, dimqua (ok), 15:11, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Но тогда отпадает весь смысл массового внедрения этой фичи.
     
     
  • 5.63, Аноним (-), 15:23, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Чего там отпадает? Вы о чем?
    Фича фичей, а свой резолвер это +/- безопасность
     
     
  • 6.69, dimqua (ok), 15:44, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А я про приватность. Не круто, если все, используемые по-умолчанию, DoH-серверы будут принадлежат Google, Facebook, Cloudflare и т.п.
     
     
  • 7.75, username (??), 16:23, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Свой держи ну как маленький Или тебе надо чтобы кто то за тебя держал на серве... весь текст скрыт [показать]
     
  • 7.79, Аноним (-), 16:41, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Короче, склифасовский, посмотри список днс-резолверов, которые поддерживают
    dnscrypt, и поймешь что их немало! И еще раз, ты можешь сделать свой.
    Никто не запрещает.
     
     
  • 8.84, dimqua (ok), 16:59, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вот именно, что DNSCrypt, но не DoH.

     
     
  • 9.105, Аноним (-), 19:25, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Короче бегом читать про dnscrypt
    А то у нас разговор как между глухим и немым
     
     
  • 10.119, dimqua (ok), 21:18, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Давно использую dnscrypt-proxy, поэтому знаю, что серверов, поддерживающих DNSCrypt много, в отличии от DoH. О котором тут речь.
     
     
  • 11.132, Аноним (-), 22:47, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    дружище, давай ты самостоятельно почитаешь:
    - https://github.com/jedisct1/dnscrypt-proxy
    - https://dnscrypt.info/public-servers/
    Потом спросишь если чо
     
  • 4.87, 0x0 (?), 17:04, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А "свой" резолвиться сам по себе будет? :)
     
  • 4.88, 0x0 (?), 17:09, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    В принципе, оно, конечно, понятно, что теоретически TTL можно на вечность установить :))
     
     
  • 5.90, 0x0 (?), 17:17, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Короче, будем ждать появления методички "Настраиваем DNS через Wi-Fi соседей" :))
     
  • 2.62, Аноним (-), 15:22, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Кончай демагогию! Давай днскрипт в массы!
    Не болтайте чушь. Идите в гугл. Там вагон и маленькая тележка
    манов по установке и настройке сабжа
     
  • 1.56, Нанобот (ok), 14:49, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >соглашение не защитит от ... злого умысла отдельных сотрудников

    да кому сдались эти ихние днс-запросы?

     
     
  • 2.71, Аноним (-), 15:58, 21/03/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Парадоксально, но я больше доверяю сотрудникам CloudFlare, чем своему провайдеру... весь текст скрыт [показать]
     
     
  • 3.82, Аноним (-), 16:51, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Доверие доверием, но анонимность то лучше Если Вас невозможно вычленить из обыч... весь текст скрыт [показать]
     
  • 1.86, qwas (??), 17:03, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Чем DNS-over-HTTPS лучше DNS-over-TLS?
    Разработчик DNSCrypt уже сам не пользуется им.
    Есть, конечно DNSCrypt2, но чем он лучше DNS-over-TLS?
     
     
  • 2.95, Аноним (-), 17:56, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.
     
     
  • 3.107, Аноним (-), 19:44, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Читать новость и понимать что написано!
     
  • 3.121, dimqua (ok), 21:23, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.

    DNSCrypt тоже можно, есть в Яндекс.Браузере, например.

     
     
  • 4.137, Аноним (-), 23:01, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    О докатились это этого.. все можно тему накрест забивать
    гвоздями
     
  • 2.106, Аноним (-), 19:43, 21/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Так не языком тренпать надо,
    а идти изучать матчасть!
    А то у него разработчик что то бросил!
     
     
  • 3.124, qwas (??), 21:54, 21/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Если не знаешь ответа на вопрос, помолчал бы.
    https://twitter.com/jedisct1/status/928942292202860544
     
     
  • 4.139, Аноним (-), 23:07, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну откуда вы такие беретесь? ААа??
    Что ж вы в бутылку лезете без знаний?
    Оставить бы тебя в твоем каматозе..
    СМОТРИ СЮДА - https://github.com/jedisct1/dnscrypt-proxy
    Научись работать с инетом!
     
     
  • 5.164, qwas (??), 17:14, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    По количеству выпитых бутылок анонимов мне никак уж не догнать. ))
     
     
  • 6.166, Аноним (-), 18:12, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Не надо бухать, нужно просто следить за темой, если это интереснео!
     
  • 2.128, dimqua (ok), 22:15, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это у Google надо спросить https www xda-developers com android-dns-over-tls-... весь текст скрыт [показать]
     
     
  • 3.129, qwas (??), 22:32, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за гуглинг. ) В общем, пришел к выводу, что не лучше. И никто не доказал иное.
    В предыдущей ссылке моей видно, что рекомендует разработчик оригинального DNSCrypt.
     
     
  • 4.134, Аноним (-), 22:51, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Что у тебя там все лучше хуже?
    Читай документацию по dnscrypt v2
    а не гадай на кофейной гуще из гугла
     
     
  • 5.157, dimqua (ok), 10:51, 22/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот как раз небольшое сравнение тут есть: https://dnscrypt.info/faq/
     
  • 4.146, Аноним (-), 00:18, 22/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Разработчик оригинального тот же самый человек, что теперь пилит DNSCrypt 2... весь текст скрыт [показать]
     
     
  • 5.163, qwas (??), 17:11, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    https://bugs.archlinux.org/task/57027
    Это баг. ) И все запуталось. )
     
     
  • 6.165, Аноним (-), 18:10, 22/03/2018 [^] [ответить]     [к модератору]  
  • +/
    какой баг Причем здесь Арч Куратор сложил полномочия и предложил кому нибудь в... весь текст скрыт [показать]
     
     
  • 7.167, qwas (??), 18:59, 22/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Поздравляю. Но мне он уже не нужен. Есть другие решения. Пользуйся, так и быть. )
     
     
  • 8.168, Аноним (-), 19:19, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Себя поздравь с выходом из комы!
     
  • 1.89, Аноним (-), 17:09, 21/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    И о чём думали авторы DNSSEC ... весь текст скрыт [показать]
     
     
  • 2.91, Аноним (-), 17:19, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Неправильно назвали, надо было DNSTRUST ... весь текст скрыт [показать]
     
  • 2.108, Аноним (-), 19:54, 21/03/2018 [^] [ответить]     [к модератору]  
  • +/
    О том, что вам с предыдущем ораторам нужно матчасть поизучать ... весь текст скрыт [показать]
     
  • 1.101, qwas (??), 18:53, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Все это только для маскировки утечки данных. )

    This is thanks to something in https called Server Name Indication (SNI).

    When you make a connection to an https enabled website there is a process called a handshake.
    This is the exchange of information before the encryption starts.

    During this unencrypted handshake (ClientHello) one of the things that is sent by you is a remote host name.
    This allows the server on the other end to choose appropriate certificate based on the requested host name.
    This happens when multiple virtual hosts reside on the same server, and this a very common setup.
    Unfortunately, your ISP can see this, slurp it up, and log this to your account/profile.

     
     
  • 2.103, Аноним (-), 19:15, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, да! Для маскировки.
    Ты опять разоблачил заговор! ))
     
     
  • 3.113, Аноним (-), 20:29, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Да, да! Для маскировки.
    > Ты опять разоблачил заговор! ))

    Зачем сразу предполагать глобальный заговор рептилоидов, если все объясняется банальным сговором с целью наживы?

     
  • 2.120, KonstantinB (ok), 21:18, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    И чо?

    Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это работать не будет.
    Если на сервере на одном IP-адресе только один виртуальный хост, то и без SNI понятно все.

     
     
  • 3.125, qwas (??), 22:03, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Про "понятно все" можно подробнее? )
     
     
  • 4.153, KonstantinB (ok), 04:33, 22/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Понятно, что в заголовке Host домен, на которые выдан единственный настроенный д... весь текст скрыт [показать]
     
  • 3.149, пох (?), 00:57, 22/03/2018 [^] [ответить]     [к модератору]  
  • +/
    опеннетовские пиoнеры они такие пиoнеры Без sni все прекрасно работает - проток... весь текст скрыт [показать]
     
     
  • 4.154, KonstantinB (ok), 04:35, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/

    > Единственный минус - визг новых-модных браузеров, что тут все несекьюрно, давайте лучше
    > я вам котиков покажу. К счастью, пока еще с кнопкой "продолжить".

    И какой же это старомодный браузер не выдаст предупреждение при несовпадении CommonName? И чего в этом хорошего?

     
     
  • 5.170, пох (?), 00:05, 24/03/2018 [^] [ответить]    [к модератору]  
  • +/
    они там, понимаете ли, именно что предупреждение выдавали. А не страницу бессмысленных воплей, очень похожих на угрозы. И честно писали прямо в тексте этого диалога (и да, это было принято делать - модальным диалогом, как и положено делать важные предупреждения в нормальных программах, а не через жопу, как ныне. Попутно оно работало для элементов страниц, а не только самих страниц) что ты шел на одессу, а вышел вот нахрен. Но - немодно, немолодежно, юзер не умеет читать, давайте о нем позаботимся - вместо запрошенного сайта выведем большуюкраснуюстраницуневедомойбредятины...

    (впрочем, это вряд ли даже такая "забота" - скорее диалог надо еще нарисовать, а вот нагуаноскриптить на html+css было куда проще)

     
  • 2.162, Аноним (-), 13:35, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    SNI палит домен провайдерам. А здесь решили взять в долю cloudflare
     
  • 1.112, Василий Незнайкин (?), 20:23, 21/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Объясните нубу про шифрование DNS, и надо ли оно мне, если мой VPN и так предоставляет собственные DNS-сервера (заместо гугловских 8.8.8.8). Читаю уже который раз про dnscrypt, но не могу найти простую статью для новичка - надо ли это мне, с чего начать, как установить на комп с линуксом. Будет ли полезен dnscrypt там где нет VPN и т.д., вот это все хотелось бы понять.
     
     
  • 2.117, Аноним (-), 20:52, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Если весь трафик идет через тунель, то не нужно.
    Файерволом прибить максимально возможно все запросы мимо VPN
     
     
  • 3.123, я (?), 21:48, 21/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А вдруг он про впн провайдера имел введу? Тогда днс прокси ему нужен!
     
     
  • 4.130, Аноним (-), 22:33, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ВПН провайдера оприори не имеется ввиду, ну если только чел совсем не в теме
     
  • 2.118, нах (?), 20:56, 21/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    в общем и целом - нет твой впн и так знает о тебе если не все, то достаточно мн... весь текст скрыт [показать]
     
     
  • 3.131, Аноним (-), 22:36, 21/03/2018 [^] [ответить]    [к модератору]  
  • +/
    То есть ВПН выбрасываем за ненадобностью?
    Вариантов по середине, исходя из написаного тобой, нет?
    Или майор контролирует, или мойору скучно и он не контролирует?
    Оригинально...
     
     
  • 4.148, пох (?), 00:53, 22/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > То есть ВПН выбрасываем за ненадобностью?

    из какого слова сделан такой вывод?
    На деле - зависит от уровня паранойи. Я вот склонен предполагать, что vpn'ы, советуемые torrentfreaks, вполне себе vPn'ы и никакой майор их не контролирует.
    Полные параноики могут засунуть в этот vpn еще один vpn, приземляя его на сервер где-нибудь подальше - уже личный (исчезает использование этого сервера в качестве маячка, а у админов коммерческого vpn - возможность проявлять любопытство).

    но мне пока и так неплохо дышится.

     
  • 1.169, rvs2016 (ok), 17:21, 23/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > в случае DoH запрос на определение IP-адреса хоста
    > инкапсулируется в трафик HTTPS и отправляется
    > на HTTP-сервер, на котором резолвер обрабатывает
    > запросы через Web API

    Какой ещё Web API?

    Вот наваяю я на HTTP-сервере CGI-скрипт, отечающий на любые запросы браузеров только страницей с фразой "привет, мир", а какой-то браузер вместо запроса страницы пришлёт запрос на резолвинг доменного имени, к которому прицеплен мой CGI-скрипт. Что мой скрипт ответит на такой запрос? Правильно, ответит "привет, мир". А браузер-дурак, надеялся на то, что мой CGI (а не dns!) скрипт раррезолвит ему доменное имя. Да не тут-то было! И ведь мой CGI-скрипт-то будет абсолютно прав, ибо DNS-запросы отправлять-то положено на серверы DNS, а не на серверы HTTP.

     
  • 1.171, Fedd (?), 15:38, 24/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно network.trr.mode=3 не грузится ничего. При 2 обходит блокировку на dns но только по https
     
  • 1.172, Аноним (172), 03:34, 29/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Прокси от Facebook? Нет им веры после их бесплатного vpn, спасибо, что тщательно сохраняете и анализируете наши данные.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor