The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.03.2018 11:44  Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TRR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.

В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).

Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.

В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера "https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental". Для развёртывания своего DoH-сервера можно использовать doh-proxy от Facebook, DNSCrypt Proxy или rust-doh.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах
  4. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: firefox, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:14, 21/03/2018 [ответить] [смотреть все]
  • +9 +/
    Ха. Годно. Провы, мухлющие с подменой DNS, аки бакланы, пролетают мимо...
     
     
  • 2.4, Аноним, 12:28, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +14 +/
    Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь мало того надо убедиться что юзается dns за vpn / dnscrypt, еще надо будет как-то убедиться, что браузер не шлет их непойми куда...
     
     
  • 3.9, Аноним, 12:49, 21/03/2018 [^] [ответить] [смотреть все]
  • +/
    Ну да, тут, конечно, не все гладко Но пусть лучше будет такая возможность, чтоб... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 13:24, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Не туда смотрите На гаджетах сейчас установить dnscrypt можно только через рути... весь текст скрыт [показать]
     
     
  • 5.58, dimqua, 15:00, 21/03/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    Вот только DNS-запросы отправляет не только браузер, а значит, нужность DNSCrypt... весь текст скрыт [показать]
     
     
  • 6.66, Аноним, 15:29, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Чо это Об чем речь то Никто об этом и не заявляет Вот только DNSCrypt постави... весь текст скрыт [показать]
     
     
  • 7.92, Аноним, 17:32, 21/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Наверное root там нужен для того, что бы трафик фильтровать ... весь текст скрыт [показать]
     
     
  • 8.104, Аноним, 19:24, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Там загрузить сам сабж не сможешь, просто потому что ФС в r o ну так далее Там... весь текст скрыт [показать]
     
  • 5.77, Oleg, 16:27, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Не поверишь, но даже под ненавистный iOS есть https itunes apple com us app dn... весь текст скрыт [показать]
     
     
  • 6.81, Аноним, 16:45, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Не поверишь Я общался с разрабом И даже пробовал и для 32 и для 64 Это DNS ... весь текст скрыт [показать]
     
  • 3.18, Аноним, 13:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Что за крик а драги нет? С VPN все просто, с dnscrypt - отрубить в FF эту фичу.
     
  • 1.2, Аноним, 12:20, 21/03/2018 [ответить] [смотреть все]  
  • –7 +/
    Хорошее начало, но про то, что Cloudflare это общий проект АНБ с Китайцами, в... весь текст скрыт [показать]
     
     
  • 2.23, Аноним, 13:25, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Нам АНБ не почем. Это вам там за бугром угроза ))
     
     
  • 3.35, Аноним, 13:43, 21/03/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    У нас своих желающий регулировать, перлюстрировать, логировать на полгода хоть... весь текст скрыт [показать]
     
     
  • 4.39, Аноним, 13:49, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Так вот и первая задача от этих г регуляторов скрыть свои запросы А кто там ... весь текст скрыт [показать]
     
  • 3.38, Аноним, 13:49, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Cloudflare - они ребята щедрые, - достанется и тебе https blog cloudflare com... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 13:53, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ураденные данные - это украденные протекшие В оперативных целях использоватьт м... весь текст скрыт [показать]
     
     
  • 5.74, тов. майор, 16:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    в суде тоже можем Здесь вам не гейропа и не толерантостан Но ты и так во всем ... весь текст скрыт [показать]
     
     
  • 6.80, Аноним, 16:44, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну дык если все так, так к чему этот фарс с ДНС Сдадут не сдадут, утекут не ... весь текст скрыт [показать]
     
     
  • 7.115, тов. майор, 20:46, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    так у нас принято Традиция с 30го года, что поделать Заметьте - все осужденные... весь текст скрыт [показать]
     
  • 5.96, Аноним, 18:03, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    А налоговая в этих самых европах не знала и у работников свисс-банков данные пок... весь текст скрыт [показать]
     
     
  • 6.135, Аноним, 22:56, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Все те Не надо вырывать события из контекста и извращать смысл событий Тогда ... весь текст скрыт [показать]
     
  • 2.126, Аноним, 22:10, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Про китайцев непонятно Причём тут китайцы Основатель компании - европеоид, и а... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.155, Аноним, 05:59, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Главная страница Cloudflare, список спонсоров ("Backed by")
     
  • 1.3, Аноним, 12:27, 21/03/2018 [ответить] [смотреть все]  
  • –1 +/
    Пора сделать протокол EoH - everything over http А кому-то семиуровневая модель... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 12:39, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://en.wikipedia.org/wiki/BOSH_(protocol)
     
  • 1.5, Аноним, 12:31, 21/03/2018 [ответить] [смотреть все]  
  • +/
    Давно ждал подобной фичи, вот только тут масса подводных камней в реализации.
     
     
  • 2.49, Аноним, 14:12, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Надо было не ждать, а польтзваться. Давно куча решений существует
     
  • 2.59, dimqua, 15:03, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Каких именно?
     
  • 2.111, 0x0, 20:21, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чёт, до сих пор никак не разберусь, почему, начиная с ядра 4 15 при использовани... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.114, 0x0, 20:31, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    ^ Там вместо слова 'весь' лучше было использовать 'сетевой'...))
     
  • 1.6, Pahanivo, 12:36, 21/03/2018 [ответить] [смотреть все]  
  • +4 +/
    Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к этому HTTP, но сначала надо зарезолвить его адрес ...
     
     
  • 2.14, тютю, 13:07, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    но это же нужно будет сделать только раз, в отличие от
     
  • 2.24, Аноним, 13:27, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    HTTPS а не HTTP. Чего там надо то сделать?
     
  • 2.45, Аноним, 14:02, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Для вашего удобства адрес будет неизменным - 8.8.8.8
     
     
  • 3.76, гугль, 16:24, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    это нетолерантно, у пользователя должен быть выбор Поэтому вы сможете ввести и ... весь текст скрыт [показать]
     
     
  • 4.142, Аноним, 23:15, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Кстати, да Легко Провайдер может заворачивать на себя или на любой другой адр... весь текст скрыт [показать]
     
     
  • 5.150, ГН, 02:20, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ему ещё как минимум потребуется завладеть ключом владельца сертификата Если мы ... весь текст скрыт [показать]
     
     
  • 6.160, Аноним, 12:48, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вы используете уникальные сертификаты в стандартных браузерах?
     
  • 3.98, Аноним, 18:10, 21/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Лучше 1.4.8.8
     
     
  • 4.161, Аноним, 12:50, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Еще лучше 1664 ))
     
  • 2.97, Аноним, 18:10, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    HTTP работает без DNS ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.156, alex, 06:09, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    тогда можно совсем убрать резолвер из браузера а то вон сколько проблем из-за... весь текст скрыт [показать]
     
     
  • 4.159, Аноним, 12:00, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Можно, если помнишь все ip адреса сайтов.
     
  • 1.8, 0x0, 12:46, 21/03/2018 [ответить] [смотреть все]  
  • –1 +/
    Здесь как не крути, но у кого-то всегда будет возможность контролировать информацию о хостах, которые открывают пользователи :)
     
     
  • 2.10, 0x0, 12:50, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    всегда 8210 это в смысле, что пользователь никак не может резолвить в одино... весь текст скрыт [показать] [показать ветку]
     
  • 2.11, Аноним, 12:52, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Тогда пусть кто-то принимает соответствующий закон, и отгребает потом, когда а... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Аноним, 13:39, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Да плевать Лишь бы не ваша контора это делала Да товаристч майор ... весь текст скрыт [показать]
     
  • 2.26, Аноним, 13:28, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Всегда кто то кого то контролирует! Вы о чем?
     
  • 1.12, Аноним, 12:52, 21/03/2018 [ответить] [смотреть все]  
  • +1 +/
    Ага, надо понимать, что через 8 8 8 8 ничто и никому не утекает и никто ничего н... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 12:54, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Есали провайдер резолвит его на себя - может и не утекать
     
     
  • 3.57, 0x0, 14:57, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    А провайдер 8210 это, как правило, сосед , который может больше, чем нужно т... весь текст скрыт [показать]
     
     
  • 4.65, Аноним, 15:25, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А еще он просверлил к тебе в туалет  дырку и подсматривает 24/7
     
     
  • 5.72, 0x0, 16:02, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Не, ну, дырку он по-любому просверлил :))
     
  • 2.29, Аноним, 13:34, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну а это тут причем?
     
     
  • 3.46, Аноним, 14:05, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    При том, что Cloudflare узнает поменяет хосты это ужас-ужас, а с гуглом все норм... весь текст скрыт [показать]
     
     
  • 4.48, Аноним, 14:10, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну так тестирование ЖЕ Пишите в багрепорт... весь текст скрыт [показать]
     
  • 1.15, Аноним, 13:16, 21/03/2018 [ответить] [смотреть все]  
  • +2 +/
    Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данн... весь текст скрыт [показать]
     
     
  • 2.17, Володька, 13:21, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Tor
    > NSA
    > Приватность

    Ну ты понел.

     
     
  • 3.19, Аноним, 13:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +6 +/
    >Рептилоиды
     
  • 3.27, Аноним, 13:32, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Не понял. И чо?
     
  • 2.22, Аноним, 13:25, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А как это сделать Есть готовая ссылка ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 13:41, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    ЛОВИ - Torproject org ... весь текст скрыт [показать]
     
  • 3.36, Аноним, 13:45, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Самое простое - ставь Proxifier и создавай правило как душе угодно Там же есть ... весь текст скрыт [показать]
     
  • 3.50, Аноним, 14:12, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    В файле конфигурации демона tor есть директива 171 DNSPort 187 ... весь текст скрыт [показать]
     
     
  • 4.68, Аноним, 15:39, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Да и называется torrc Чел спросил просто так Вряд ли он будет настраивать dns o... весь текст скрыт [показать]
     
  • 2.32, Аноним, 13:40, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Т е вы в новости ничего не поняли ... весь текст скрыт [показать] [показать ветку]
     
  • 2.99, Аноним, 18:13, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Что ты хотел от изкоробочных бриждей на которых сидят многие пользователи тора ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.122, Аноним, 21:29, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Отсутствия возможности вести лог DNS-запросов с моего IP-адреса Т к IP-адрес о... весь текст скрыт [показать]
     
     
  • 4.127, Аноним, 22:14, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободн... весь текст скрыт [показать]
     
     
  • 5.145, Аноним, 23:22, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Да ну Они могут это сделать Бриджи на свободные Б ь, ну это еще чт... весь текст скрыт [показать]
     
  • 3.143, Аноним, 23:16, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот оно чо а ничего что бриджи используются при выборе obfs Или это от незнан... весь текст скрыт [показать]
     
  • 1.16, xdroid, 13:18, 21/03/2018 [ответить] [смотреть все]  
  • +6 +/
    1. Покупаем VPN с поддержкой DNS-серверов.

    2. Идем на ipleak.net...

    3. Profit!

     
     
  • 2.30, Аноним, 13:37, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    С поддержкой чего Если я на VPS подниму openvpn и пропишу dns 8 8 8 8 работать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Namka, 13:42, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    С поддержкой собственных DNS, видимо Или DNS большого брата тебе больше нравитс... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 13:46, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Кому что, а я могу и dnscrypt поставить.
     
  • 3.93, Crazy Alex, 17:36, 21/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?
     
     
  • 4.151, ГН, 02:28, 22/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Посоветуйте IP честного ресолвера... весь текст скрыт [показать]
     
     
  • 5.158, PnDx, 11:22, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    ip='dig +short unbound.net'
     
  • 3.109, Ordu, 20:06, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Будет, но какой в этом толк Это чтобы рассказать гуглу по каким сайтам ты ходиш... весь текст скрыт [показать]
     
     
  • 4.152, ГН, 02:31, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну можно же ещё принять на себя груз ответственности перед Гуглом за посещение э... весь текст скрыт [показать]
     
  • 1.20, Zenitur, 13:24, 21/03/2018 [ответить] [смотреть все]  
  • +/
    1). Скачиваем Tor Browser >= 7.5
    2). Открываем about:support
    3). Смотрим "Операционная система"
    4). Анонимность!

    На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так не было

     
     
  • 2.25, Володька, 13:28, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И ты конечно не открыл его?
     
  • 2.28, Аноним, 13:33, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Срочно!!!! Пиши! Смотришь в книгу - видишь фигу!
     
  • 2.94, Аноним, 17:56, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Видимо лучше показывать то что у большинства Так же и с User Agent только там е... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, An, 13:53, 21/03/2018 [ответить] [смотреть все]  
  • +1 +/
    Эт как в том мультике ... "...Если говорят, что народ не пострадает - это значит спасайся кто может..."  
     
     
  • 2.43, Аноним, 13:58, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Это всего лишь тестирование В работе это пользовать нельзя Просто кто то гонет... весь текст скрыт [показать] [показать ветку]
     
  • 1.42, Аноним, 13:56, 21/03/2018 [ответить] [смотреть все]  
  • –1 +/
    теперь я понял зачем они с гулоидами натягивают всем хттс кто не понял - чтобы ... весь текст скрыт [показать]
     
     
  • 2.44, Аноним, 13:59, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Точно И они то знают как применить эти персональные данные на полную катушку ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.102, rshadow, 19:15, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Любая рекламная сеть знает как применять твои персональные данные, и историю тво... весь текст скрыт [показать]
     
     
  • 4.110, Аноним, 20:14, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот оно как.. а если нет истории браузера то чо?
     
     
  • 5.116, гуглезила, 20:51, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    история - она всегда есть, если ты им вообще пользуешься То что ее нет на _твое... весь текст скрыт [показать]
     
     
  • 6.136, Аноним, 22:59, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот вы любите мусировать разную пургу про фингерпринтинг Если бы все так прос... весь текст скрыт [показать]
     
  • 1.47, Аноним, 14:07, 21/03/2018 [ответить] [смотреть все]  
  • +/
    Существующая система изжила себя Все эти накостыляния создают больше проблем, ч... весь текст скрыт [показать]
     
     
  • 2.52, username, 14:19, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    О чем вы говорите, мы тут в 2018 транспорт не можем на tls перевести потому ... весь текст скрыт [показать] [показать ветку]
     
  • 1.51, username, 14:16, 21/03/2018 [ответить] [смотреть все]  
  • +2 +/
    Похоже комментирующие просто не в теме как обстоят дела с безопасным днс. Если кратко - никак.
    Мы проиграли, безопасной реализации в массах не будет потому как все куплено, никто не хочет отдавать этот инструмент контроля.
    DoH этот по сути отчаянная попытка хоть как то сдвинуть с мертвой точки ситуацию. Причем рабочий, причем уже сейчас рабочий.  Сейчас три публичных сервера есть для DoH клиентов, один от лицокниги, другой от гугла третий от сабжа. Хотите свой - прекрасно. На гитхабе есть пару реализаций сервера.
    Нужно что то решать уже сейчас. Никакой dnscrypt dnss+ не будет внедрен массово, это все шумиха для отвода глаз и затягивания процесса.
     
     
  • 2.61, Аноним, 15:20, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну вот пришел мастер и объяснил сирым, что все плохо Ю бест мастэ Остальные ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, username, 15:25, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Могут конечно Могут Но стараниями некоторых товарищей в массы это не пойдет ... весь текст скрыт [показать]
     
     
  • 4.67, Аноним, 15:34, 21/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы недооцениваете массы Dnscrypt досточно распространен на ПК В гаджетах зооп... весь текст скрыт [показать]
     
     
  • 5.73, username, 16:22, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    В массы это я про глобальный переход Понятно что все можно если сильно захотеть... весь текст скрыт [показать]
     
     
  • 6.83, Аноним, 16:55, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Глобальный переход никому не нужен, как не нужна глобальная безопасность 90 Ва... весь текст скрыт [показать]
     
  • 6.85, Аноним, 17:01, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Старый проток чего DNSCrypt А чем проток то не устраивает Версия 2 шагает по ... весь текст скрыт [показать]
     
  • 2.78, Аноним, 16:40, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    gt оверквотинг удален Что за пессимизм Вы как то замешали все в одну кашу Ес... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (7)

  • 1.53, Аноним, 14:27, 21/03/2018 [ответить] [смотреть все]  
  • +/
    днс крипт для гиков, а толпа будет сидеть на том, что ей дают - этого то и доста... весь текст скрыт [показать]
     
     
  • 2.54, Аноним, 14:37, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да-да, этого достаточно, чтобы гоогле, пейсбук, и прочим дефолтным DoH сервисам... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, username, 14:41, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ставьте себе сервер, делитесь только с собой.
     
     
  • 4.60, dimqua, 15:11, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Но тогда отпадает весь смысл массового внедрения этой фичи.
     
     
  • 5.63, Аноним, 15:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Чего там отпадает? Вы о чем?
    Фича фичей, а свой резолвер это +/- безопасность
     
     
  • 6.69, dimqua, 15:44, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    А я про приватность Не круто, если все, используемые по-умолчанию, DoH-серверы ... весь текст скрыт [показать]
     
     
  • 7.75, username, 16:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Свой держи ну как маленький Или тебе надо чтобы кто то за тебя держал на серве... весь текст скрыт [показать]
     
  • 7.79, Аноним, 16:41, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Короче, склифасовский, посмотри список днс-резолверов, которые поддерживают dnsc... весь текст скрыт [показать]
     
     
  • 8.84, dimqua, 16:59, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот именно, что DNSCrypt, но не DoH.

     
     
  • 9.105, Аноним, 19:25, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Короче бегом читать про dnscrypt
    А то у нас разговор как между глухим и немым
     
     
  • 10.119, dimqua, 21:18, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Давно использую dnscrypt-proxy, поэтому знаю, что серверов, поддерживающих DNSCr... весь текст скрыт [показать]
     
     
  • 11.132, Аноним, 22:47, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    дружище, давай ты самостоятельно почитаешь - https github com jedisct1 dnscry... весь текст скрыт [показать]
     
  • 4.87, 0x0, 17:04, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А "свой" резолвиться сам по себе будет? :)
     
  • 4.88, 0x0, 17:09, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    В принципе, оно, конечно, понятно, что теоретически TTL можно на вечность устано... весь текст скрыт [показать]
     
     
  • 5.90, 0x0, 17:17, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Короче, будем ждать появления методички Настраиваем DNS через Wi-Fi соседей ... весь текст скрыт [показать]
     
  • 2.62, Аноним, 15:22, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кончай демагогию Давай днскрипт в массы Не болтайте чушь Идите в гугл Там ва... весь текст скрыт [показать] [показать ветку]
     
  • 1.56, Нанобот, 14:49, 21/03/2018 [ответить] [смотреть все]  
  • +/
    >соглашение не защитит от ... злого умысла отдельных сотрудников

    да кому сдались эти ихние днс-запросы?

     
     
  • 2.71, Аноним, 15:58, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Парадоксально, но я больше доверяю сотрудникам CloudFlare, чем своему провайдеру... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.82, Аноним, 16:51, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Доверие доверием, но анонимность то лучше Если Вас невозможно вычленить из обыч... весь текст скрыт [показать]
     
  • 1.86, qwas, 17:03, 21/03/2018 [ответить] [смотреть все]  
  • +2 +/
    Чем DNS-over-HTTPS лучше DNS-over-TLS?
    Разработчик DNSCrypt уже сам не пользуется им.
    Есть, конечно DNSCrypt2, но чем он лучше DNS-over-TLS?
     
     
  • 2.95, Аноним, 17:56, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тем, что может быть запихнуто в браузер и навязано пользователям с указанием опр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.107, Аноним, 19:44, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Читать новость и понимать что написано!
     
  • 3.121, dimqua, 21:23, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    DNSCrypt тоже можно, есть в Яндекс Браузере, например ... весь текст скрыт [показать]
     
     
  • 4.137, Аноним, 23:01, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    О докатились это этого.. все можно тему накрест забивать
    гвоздями
     
  • 2.106, Аноним, 19:43, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Так не языком тренпать надо, а идти изучать матчасть А то у него разработчик ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.124, qwas, 21:54, 21/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Если не знаешь ответа на вопрос, помолчал бы https twitter com jedisct1 statu... весь текст скрыт [показать]
     
     
  • 4.139, Аноним, 23:07, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну откуда вы такие беретесь ААа Что ж вы в бутылку лезете без знаний Оставит... весь текст скрыт [показать]
     
     
  • 5.164, qwas, 17:14, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    По количеству выпитых бутылок анонимов мне никак уж не догнать. ))
     
     
  • 6.166, Аноним, 18:12, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Не надо бухать, нужно просто следить за темой, если это интереснео!
     
  • 2.128, dimqua, 22:15, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это у Google надо спросить https www xda-developers com android-dns-over-tls-... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.129, qwas, 22:32, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Спасибо за гуглинг В общем, пришел к выводу, что не лучше И никто не доказал... весь текст скрыт [показать]
     
     
  • 4.134, Аноним, 22:51, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Что у тебя там все лучше хуже Читай документацию по dnscrypt v2 а не гадай на к... весь текст скрыт [показать]
     
     
  • 5.157, dimqua, 10:51, 22/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот как раз небольшое сравнение тут есть: https://dnscrypt.info/faq/
     
  • 4.146, Аноним, 00:18, 22/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Разработчик оригинального тот же самый человек, что теперь пилит DNSCrypt 2... весь текст скрыт [показать]
     
     
  • 5.163, qwas, 17:11, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    https://bugs.archlinux.org/task/57027
    Это баг. ) И все запуталось. )
     
     
  • 6.165, Аноним, 18:10, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    какой баг Причем здесь Арч Куратор сложил полномочия и предложил кому нибудь в... весь текст скрыт [показать]
     
     
  • 7.167, qwas, 18:59, 22/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Поздравляю Но мне он уже не нужен Есть другие решения Пользуйся, так и быть ... весь текст скрыт [показать]
     
     
  • 8.168, Аноним, 19:19, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Себя поздравь с выходом из комы!
     
  • 1.89, Аноним, 17:09, 21/03/2018 [ответить] [смотреть все]  
  • +1 +/
    И о чём думали авторы DNSSEC ... весь текст скрыт [показать]
     
     
  • 2.91, Аноним, 17:19, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Неправильно назвали, надо было DNSTRUST ... весь текст скрыт [показать] [показать ветку]
     
  • 2.108, Аноним, 19:54, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    О том, что вам с предыдущем ораторам нужно матчасть поизучать ... весь текст скрыт [показать] [показать ветку]
     
  • 1.101, qwas, 18:53, 21/03/2018 [ответить] [смотреть все]  
  • +/
    Все это только для маскировки утечки данных. )

    This is thanks to something in https called Server Name Indication (SNI).

    When you make a connection to an https enabled website there is a process called a handshake.
    This is the exchange of information before the encryption starts.

    During this unencrypted handshake (ClientHello) one of the things that is sent by you is a remote host name.
    This allows the server on the other end to choose appropriate certificate based on the requested host name.
    This happens when multiple virtual hosts reside on the same server, and this a very common setup.
    Unfortunately, your ISP can see this, slurp it up, and log this to your account/profile.

     
     
  • 2.103, Аноним, 19:15, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да, да! Для маскировки.
    Ты опять разоблачил заговор! ))
     
     
  • 3.113, Аноним, 20:29, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Зачем сразу предполагать глобальный заговор рептилоидов, если все объясняется ба... весь текст скрыт [показать]
     
  • 2.120, KonstantinB, 21:18, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И чо Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это р... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.125, qwas, 22:03, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Про "понятно все" можно подробнее? )
     
     
  • 4.153, KonstantinB, 04:33, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Понятно, что в заголовке Host домен, на которые выдан единственный настроенный д... весь текст скрыт [показать]
     
  • 3.149, пох, 00:57, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    опеннетовские пиoнеры они такие пиoнеры Без sni все прекрасно работает - проток... весь текст скрыт [показать]
     
     
  • 4.154, KonstantinB, 04:35, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    И какой же это старомодный браузер не выдаст предупреждение при несовпадении Com... весь текст скрыт [показать]
     
     
  • 5.170, пох, 00:05, 24/03/2018 [^] [ответить] [смотреть все]  
  • +/
    они там, понимаете ли, именно что предупреждение выдавали А не страницу бессмыс... весь текст скрыт [показать]
     
  • 2.162, Аноним, 13:35, 22/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    SNI палит домен провайдерам. А здесь решили взять в долю cloudflare
     
  • 1.112, Василий Незнайкин, 20:23, 21/03/2018 [ответить] [смотреть все]  
  • +3 +/
    Объясните нубу про шифрование DNS, и надо ли оно мне, если мой VPN и так предоставляет собственные DNS-сервера (заместо гугловских 8.8.8.8). Читаю уже который раз про dnscrypt, но не могу найти простую статью для новичка - надо ли это мне, с чего начать, как установить на комп с линуксом. Будет ли полезен dnscrypt там где нет VPN и т.д., вот это все хотелось бы понять.
     
     
  • 2.117, Аноним, 20:52, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если весь трафик идет через тунель, то не нужно Файерволом прибить максимально ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.123, я, 21:48, 21/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А вдруг он про впн провайдера имел введу? Тогда днс прокси ему нужен!
     
     
  • 4.130, Аноним, 22:33, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    ВПН провайдера оприори не имеется ввиду, ну если только чел совсем не в теме
     
  • 2.118, нах, 20:56, 21/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    в общем и целом - нет твой впн и так знает о тебе если не все, то достаточно мн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.131, Аноним, 22:36, 21/03/2018 [^] [ответить] [смотреть все]  
  • +/
    То есть ВПН выбрасываем за ненадобностью Вариантов по середине, исходя из напис... весь текст скрыт [показать]
     
     
  • 4.148, пох, 00:53, 22/03/2018 [^] [ответить] [смотреть все]  
  • +/
    из какого слова сделан такой вывод На деле - зависит от уровня паранойи Я вот ... весь текст скрыт [показать]
     
  • 1.169, rvs2016, 17:21, 23/03/2018 [ответить] [смотреть все]  
  • +/
    > в случае DoH запрос на определение IP-адреса хоста
    > инкапсулируется в трафик HTTPS и отправляется
    > на HTTP-сервер, на котором резолвер обрабатывает
    > запросы через Web API

    Какой ещё Web API?

    Вот наваяю я на HTTP-сервере CGI-скрипт, отечающий на любые запросы браузеров только страницей с фразой "привет, мир", а какой-то браузер вместо запроса страницы пришлёт запрос на резолвинг доменного имени, к которому прицеплен мой CGI-скрипт. Что мой скрипт ответит на такой запрос? Правильно, ответит "привет, мир". А браузер-дурак, надеялся на то, что мой CGI (а не dns!) скрипт раррезолвит ему доменное имя. Да не тут-то было! И ведь мой CGI-скрипт-то будет абсолютно прав, ибо DNS-запросы отправлять-то положено на серверы DNS, а не на серверы HTTP.

     
  • 1.171, Fedd, 15:38, 24/03/2018 [ответить] [смотреть все]  
  • +/
    Интересно network.trr.mode=3 не грузится ничего. При 2 обходит блокировку на dns но только по https
     
  • 1.172, Аноним, 03:34, 29/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Прокси от Facebook Нет им веры после их бесплатного vpn, спасибо, что тщательно... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor