The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новый этап тестирования DNS поверх HTTPS в Firefox

28.11.2018 10:37

Разработчики Mozilla анонсировали третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов.

Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа измеряли производительность непосредственно операций с DNS, то на третьем этапе планируется оценить общую картину, учитывающую и время загрузки тестовой страницы.

Раз в сутки браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит оценить изменение эффективности локализации обращений через сети доставки контента (CDN). DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента. При отправке DNS-запроса c ближайшего к пользователю резолвера CDN вернёт адрес ближайшего хоста, но при отправке DNS-запроса с централизованного резолвера ближайший к пользователю хост определить не получится. Поэтому при использовании DoH важно учитывать не только производительность операций с DNS, но и дополнительные задержки, которые могут возникнуть из-за снижения эффективности загрузки контента через CDN.

Для включения DoH на системах не приглашённых для участия в тестировании, достаточно в about:config изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://blog.mozilla.org/futur...)
  2. OpenNews: Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки
  3. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
  4. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
  6. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/49673-dns
Ключевые слова: dns, https, doh, dns-over-https
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (116) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, timur.davletshin (ok), 10:44, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Да годная, годная штука. Только у меня почему-то ряд адресов в режиме только DoH не резолвится...
     
     
  • 2.7, A.Stahl (ok), 11:17, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я х.з. как это работает, но наверное нужна поддержка этой технологии и со стороны самого DNS-сервера. И эта поддержка, скорее всего, пока ещё есть далеко не везде.
     
     
  • 3.34, dimqua (ok), 14:10, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поддержка необязательна.
     
  • 2.18, andy (??), 12:05, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, не годная.
    https://youtu.be/OxFFTxJv1L4?t=2627
     
     
  • 3.44, Тоха Салогвинов (?), 16:17, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Всё что я увидел в вашем видео по таймкоду это:
    >Ты то куда лезешь χ¥€¢Ø¢№₳ из нижнего интернета
    >Мы тут все крутые DNS мужыки, а ты просто HTTP-школьник-неудачник поверивший сказочкнику Сноудену бла бла бла

    И всё что он сказал про DoH неправда. Я уже пощупал эту штуку в фирефоксе и могу сказать что HTTPS до дефолтого сервера не закрывается через две минуты, а продолжает висеть и висеть. А если бы даже и закрывалось то что? Его-то какое дело? Мало ли реализаций DoH есть и ещё появится? Может я наоборот хочу чтобы закрывалось?
    Что ещё он сказал? Ах, да, кажется, что-то про то, что DoH не поддерживает асинхронные ответы - и это тоже не правда. По крайней мере ответы ipv6 и ipv4 могут приходить независимо, об этом даже настройка соответствующая есть...

    Короче батхертит он знатно. Я хоть и признаю Калловый-флейр ещё большей червем-корпорацией, чем даже Гугл, но этого слушать этого поехавшего больше не смог...

     
     
  • 4.45, Тоха Салогвинов (?), 16:21, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И 500 просмотров у видео... Жаль поздно заметил.
     
  • 3.100, Аноним (-), 11:37, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мужик не убедителен Выше уже отметили другие вещи чувствуется, что его бесит, ... большой текст свёрнут, показать
     
  • 3.108, DerRoteBaron (ok), 15:14, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пожалуй, единственное, в чем он прав, так это в том, что сейчас DOH живёт в браузере, а не в системном резолвере, что может быть хорошо только при использовании доверенного браузера во враждебной ОС. А это само по себе уже плохая идея.
     
     
  • 4.115, Аноним (115), 21:25, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, никто не отрицает, что это не совсем правильно и в идеале надо это делать в ... большой текст свёрнут, показать
     
  • 2.33, th3m3 (ok), 14:01, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Когда ещё только завели эту фичу, у меня ни один сайт не открывался с DoH. Больше не тестил.
     

  • 1.2, Аноним (2), 10:44, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну, теперь будет только один источник цензуры - удостоверяющий центр. Только один, зато на всех. Этож лучше "товарищ майор" - далеко и ему совершенно нет до тебя дела, да? ;)
     
     
  • 2.3, Аноним (3), 10:49, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "Когда вы говорите, такое впечатление, что вы бредите" - Шурик.
     
     
  • 3.4, Аноним (2), 11:02, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "Сейчас к людям надо помягше. А на вопросы смотреть ширше."
    Друг шурика
     
     
  • 4.19, Аноним (19), 12:36, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Друг-ли?..
     
  • 2.5, товарищ майор (?), 11:12, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну чего это "только один"? Сколько надо, столько и будет.

    А "удостоверяющий центр" может быть и впрямь один - это ж гугль, если мы правильно попросим - подпишет чего надо. Они вообще с удовольствием с нами сотрудничают. И с "ними" тоже, конечно, но мы в данном случае - не конкурируем, а тоже сотрудничаем.

     
     
  • 3.15, Аноним (2), 11:57, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "Сколько надо, столько и будет."

    А в том то и дело, товарищ майор, что "достаточно только одной таблетки".

    Так что от такого сотрудничества ожидать можно разве что слияния органов если не сказать совокупления...

     

  • 1.6, Аноним (6), 11:14, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как бы помягчьте сказать ... DNS юзает не только браузер.
     
     
  • 2.8, Аноним (8), 11:19, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Что сказать то хотели?
     
  • 2.9, Аноним (-), 11:25, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    1. Основная часть конфиденциальных днс-запросов это именно браузер. Резолвы клиента стима сильно хочется шифровать?
    2. ОСям никто не мешает реализовывать нативную поддержку. Вон, последний андроид уже умеет. Но ждать люди будут 10 лет. Независимо от того, что будет делать мозилла.
    3. Что тебе не нравится и что ты хочешь от мозиллы в этом плане?
     
     
  • 3.11, Аноним (11), 11:42, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот именно в случае браузера DoH добавляет мало конфиденциальности: имена видны в самих https запросах.
     
     
  • 4.13, Аноним (-), 11:50, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ты не пробовал подумать на 1 шаг вперёд? Или хотя бы логику включить?
    Смотри, на данный момент (условно) мы имеем два слива: DNS и SNI. И ты тут такой говоришь, что какой смысл фиксить x, если остался y. Или какой смысл фиксить y, если остался x. Это смешно, лол. Внедрять надо оба, в любом порядке. И именно это делается. ESNI уже тоже есть и работает.
    Более того, зырнуть в открытый днс попросту технически легче, чем в сертификат сервера (в TLS 1.2, в 1.3 он уже шифрован) или нешифрованный SNI. Так что даже если бы ESNI ещё не был готов к стандартизации, шифрование dns уже лучше чем ничего.
     
     
  • 5.21, нах (?), 12:41, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    иксперды опеннета такие иксперды sni отправляет имя твоего порноресурса откры... большой текст свёрнут, показать
     
     
  • 6.35, dimqua (ok), 14:14, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

    А по-твоему, других провайдеров кроме Cloudflare не существует?

     
     
  • 7.47, нах (?), 16:48, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    для типового опеннетчика - нет, не существует. Для сильно продвинутого - ну да, еще же и гугль ;-)

    Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища, а не случайному мимокрокодилу (которому меньше всего, пожалуй, интересны имена сайтов)?

    У тех кого на самом деле волнуют такие вещи-то, давно, полагаю, настроен криптотуннель подальше от товарищмайоров, без всяких модных openрешет, встроенных в браузер. Но вот они-то могут теперь лохануться, забыв отключить стопиццотую "очень полезную фичу", ага.

    Вот выпилить sni - задача куда посложнее, в современных браузерах она решения, imho, не имеет (поскольку они давно разучились модальным диалогам, и им просто негде будет переспрашивать подтверждения)

     
     
  • 8.61, dimqua (ok), 18:20, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А разве эти люди не сливают её сейчас все тем же Google и Cloudflare Так хоть б... текст свёрнут, показать
     
     
  • 9.69, пох (?), 20:06, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну, очевидно же, не в полном объеме - особенно cloudflare, которая на этом рынке... большой текст свёрнут, показать
     
  • 8.65, анон (?), 19:12, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ростелеком, например, корпорация, а не мимикрокодил П... текст свёрнут, показать
     
     
  • 9.70, пох (?), 20:06, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ростелекому твои котики даром не нужны ... текст свёрнут, показать
     
  • 8.76, Аноним (76), 20:44, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    CleanBrowsing ещё https cleanbrowsing org dnsoverhttps... текст свёрнут, показать
     
  • 6.36, Колюня (?), 14:54, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Таки погугли ESNI
     
     
  • 7.49, нах (?), 16:54, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    твой esni - это точно такой же оверинжиниренный ненужно-мусор, как и doh.

    sni ненужен. Ни e, ни обычный.
    Нужно выводить предупреждение каждый раз, как в ответ вместо сертификата запрошенного сервера вылезло мурло клаудфлари.

    но современные мартышки, др...щие на модные фишки, во-первых, на такие сложные изменения неспособны, во-вторых все равно не поймут.

     
     
  • 8.55, OldFart (?), 17:45, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Согласен со всеми вашими предыдущими мыслями, но не с этим sni ненужен Ни e, ... текст свёрнут, показать
     
     
  • 9.58, Аноним (58), 18:06, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего ор... текст свёрнут, показать
     
     
  • 10.105, пох (?), 14:52, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а я не хожу по таким сайтам А на сайте, где ssl - ради удовлетворения гуглоша... текст свёрнут, показать
     
  • 9.72, пох (?), 20:12, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да На каждый сайт, где шифрование - по делу, а не в попытках удовлетворить гугл... большой текст свёрнут, показать
     
     
  • 10.77, Анонимус2 (?), 20:59, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В итоге без SNI адрес сайта к которому твой браузер обращается определяется трив... текст свёрнут, показать
     
     
  • 11.119, пох (?), 19:14, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так cloudflare же ж - сессия останется зашифрованной просто пользователь буд... текст свёрнут, показать
     
  • 10.79, Гентушник (ok), 21:09, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь SNI использует не только cloudflare Есть огромная куча дешёвых shared-х... текст свёрнут, показать
     
     
  • 11.94, пох (?), 07:04, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    естественно именно - и превратить твою секьюрить в тыкву может уже не только clo... большой текст свёрнут, показать
     
  • 10.92, OldFart (?), 01:27, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    SSL шифрование в тыкву не превращется если конечно сисадин не подсадил в браузе... большой текст свёрнут, показать
     
     
  • 11.120, пох (?), 19:32, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wild... большой текст свёрнут, показать
     
     
  • 12.121, OldFart (?), 20:27, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на вс... большой текст свёрнут, показать
     
     
  • 13.123, пох (?), 22:19, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    что неправильного в сертификате mycompany com и тем более www mycompany com a... большой текст свёрнут, показать
     
  • 6.38, Аноним (38), 15:22, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Васян-то может, и для него разницы нет, вайршарк открыть или что-то другое А во... большой текст свёрнут, показать
     
     
  • 7.62, dimqua (ok), 18:23, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > deep packet inspection. И это не так просто для больших провайдеров

    А у них что есть выбор?

     
     
  • 8.66, Аноним (66), 19:50, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нарушители Конституции должны страдать ... текст свёрнут, показать
     
  • 5.39, Аноним (11), 15:48, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И ты тут такой

    Ты читаешь что-то между строк и споришь с голосами в голове.
    Я написал только, что написал.
    Возможно, стоило добавить слово "Сейчас".
    Сейчас, на рандомом сайте нет esni.
    Насколько, с учётом этого, конфиденциальнее становится сёрфинг c doh-ом?

     
  • 4.23, Annoynymous (ok), 12:56, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Доменные имена в https запросах видны? Ты что куришь?
     
     
  • 5.25, Аноним (25), 13:12, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SNI
     
     
  • 6.37, Колюня (?), 14:55, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ESNI. С разморозкой
     
     
  • 7.40, Аноним (11), 15:50, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Колюня, кинь статистику внедрения esni, ознакомимся.
     
  • 5.27, Аноним (27), 13:39, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, имя домена до SNI не шифровалось в HTTPS и шло в хендшейке SSL.

    Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
    но нет гарантий, что она включена и работает.

     
     
  • 6.48, commiethebeastie (ok), 16:51, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, имя домена до SNI не шифровалось в HTTPS и шло в
    > хендшейке SSL.
    > Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
    > но нет гарантий, что она включена и работает.

    Да, опасно по tumblr лазить.

     
  • 6.53, 0x0 (?), 17:19, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > нет гарантий, что она включена и работает

    Есть возможность проверить: https://www.cloudflare.com/ssl/encrypted-sni/

     
  • 6.56, OldFart (?), 17:53, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,"
    Really???
    Да не один шэринг хостинг без SNI не работает уже лет эдак 10...
    Без SNI для SSL нужен отдельный ИП на каждый сертификат, а с SNI хоть сколь хошь на одном ИП и сразными сертификатами
     
  • 6.85, Ключевский (?), 22:54, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > SNI сейчас расширение и это скорее новинка и прикольная штук

    Как там в 2005 году? SNI в IE с 2006, в Firefox с 2006, в Chrome с 2009(то есть с его бет).
    Вылезай из криокамеры. SNI — стандарт, без него ты бы так и жил с 1 httpsным сайтом на 1 IPшнике.

     
     
  • 7.96, Аноним (115), 10:03, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он просто путает термины. Замени в его посте SNI на ESNI и всё будет верно.
     
     
  • 8.98, Ключевский (?), 10:38, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да Мальчик-девочка, какая в дупу разница Подумаешь SNI и ESNI, пофигу что S... текст свёрнут, показать
     
  • 2.90, Ключевский (?), 23:00, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/jedisct1/dnscrypt-proxy
    Тебя спасет!
    А он уже умеет и DoH, и DNSCrypt, и черта лысого верхом на метле.
     

  • 1.10, Аноним (6), 11:30, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Основная часть конфиденциальных днс-запросов это именно браузер

    Это еще зачем ?

     
  • 1.20, Аноним (20), 12:41, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит...

    ...держать на карандаше пользователя браузера.
    > По умолчанию используется DNS-сервер CloudFlare

    Так вот чьи уши из-за кулис торчат.
    > DoH может оказаться полезным для организации утечки сведений о запрашиваемых именах хостов через DoH-серверы провайдеров, обеспечения возможности MITM-атак и подмены DoH-трафика правильными организациями, организации блокировок на уровне DoH или для организации работы так, как это нужно владельцу DoH-сервера в случае невозможности прямого обращения к DNS-серверам

    Можете не благодарить.

     
     
  • 2.30, Аноним84701 (ok), 13:44, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> По умолчанию используется DNS-сервер CloudFlare
    > Так вот чьи уши из-за кулис торчат.

    Видимо, у гугла пока ушей на всех не хватает:
    https://github.com/systemd/systemd/blob/master/meson_options.txt
    >       description : 'space-separated list of default DNS servers',
    >       value : '8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844')

    [...]
    > option('ntp-servers', type : 'string',
    >       description : 'space-separated list of default NTP servers',
    >      value : 'time1.google.com time2.google.com time3.google.com time4.google.com')
    >

     
  • 2.31, Pahanivo (ok), 13:44, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, что в данном случае, для использования липового сертификата спецслужбам не надо даже на канал врезаться - достаточно просто переписать А запись на "своем" ДНС?
     
     
  • 3.43, Аноним (43), 16:11, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что в первый раз по указке спецслужб dns-ответы подменяются? Блокировка рутрекера вас ничему не научила?
     
     
  • 4.91, Pahanivo (ok), 23:14, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может для начала научится отделять гласное от негласного?

     

  • 1.22, Тот_Самый_Анонимус (?), 12:49, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а есть браузеры для корпоративного использования? Чтобы можно было запретить установку расширений и махинаций с ДНС? Очень полезная была бы штука.
     
     
  • 2.24, A.Stahl (ok), 13:05, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IE. Там нельзя устанавливать расширения. Корпоративней некуда...
     
     
  • 3.26, 1 (??), 13:38, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1 и рулится политикой в AD
     
     
  • 4.32, Аноним (32), 13:52, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    только MS рулилку ломает от версии к версии
     
  • 3.51, нах (?), 17:12, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > IE. Там нельзя устанавливать расширения.

    вы прослушали очередную порцию потока сознания типичного опеннетчика, не ведающего ничего за пределами родной бубунточки.

    В IE вполне устанавливаются расширения. Но апи не на жабкоскрипте, поэтому число их было крайне ограничено даже в благословенные времена седьмой версии - не только лишь каждый васян может освоить C++ .

     
  • 3.75, Тот_Самый_Анонимус (?), 20:35, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. линух не пригоден для корпоративного использования?
     
  • 2.28, Аноним (27), 13:41, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Закрывай все проксей и говори что корпорация в серой сети.
     
  • 2.29, НяшМяш (ok), 13:42, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Internet Explorer
     
  • 2.42, commiethebeastie (ok), 16:09, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Firefox, там любой параметр фиксируется.
     
  • 2.54, Аноним (54), 17:43, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Любой опенсорсный броузер, в исходниках которого ты можешь выстричь возможность установки расширений, прибить гвоздями свой корпоративный DNS-сервер и свой корпоративный прокси, прописать один-единственный корневой сертификат своей организации, без возможности добавления новых, а заодно прописать URL веб-интерфейса корпоративной ERP/CRM как стартовый URL, убрав адресную строку и запретив открытие URL'ов "about:".
    Дерзай.
     

  • 1.41, Sw00p akaJerom (?), 15:57, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    хер с пальцем скрещивают лишь бы нормальную технологию не придумывать.
     
     
  • 2.52, нах (?), 17:13, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да они нормальную технологию придумали - только, в очередной раз, под видом заботы о несчастных лохах их собираются снова подоить.

     
     
  • 3.60, Аноним (60), 18:13, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нажал плюс Вашему комменту, а засчиталось как минус. Поэтому напишу так - полностью поддерживаю.
    Заодно еше разок скину - https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connect
     
  • 3.104, Аноним (104), 13:30, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я не могу понять тех нытиков, которым что-то не нравится в tls соединении до днс-резолвера. Что вы ноете? В чем суть ваших претензий? Что сервер собирает стату ваших запросов? Ну, так и обычные, абсолютно все текущие локальные провы могут и делают это. Так же как подменяют ответ, и сливает трафика на сорм. Что вам не нравится? Хотя подменять днс ответы не будут, хотя бы пров не сможет вести стату. Хотя бы такая польза.
     
     
  • 4.106, Sw00p akaJerom (?), 14:54, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Я не могу понять тех нытиков

    вы походу ничего не понимаете

    >>Что вам не нравится?

    выше в коменте написал, хер и палец разные вещи, разницу не ощущаете?

     
     
  • 5.116, ДДДДД (?), 07:44, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А какая технология нормальная? Децентрализованная? Технология ручной правки hosts?
    Мир отрыт для новых технологий. Предлагайте.
     
     
  • 6.117, Sw00p aka Jerom (?), 12:21, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Мир отрыт для новых технологий. Предлагайте.

    Если мир погряз в прошлом, будущее на этом не построишь. Обращаюсь к "старикам", направляйте "новичков" (привет Иванову :)) (будущее поколение), чтобы они создавали кардинально новые технологии, а не "скрещивали старье". Мир меняется, меняются требования, изучайте минусы/плюсы "прошлых" технологий, создавайте кардинально "новое" (новые идеи). При всем этом "скрещивании" вы думаете человек развивается? На сей день стандартный "новичек" даже не способен придумать банальный текстовый протокол.

    пс: Удачи.

     

  • 1.57, Pofigist (?), 17:54, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что бы еще инкапсулировать в HTTPS? IP? Было...  IEEE 802.3? Или тоже уже было?
     
  • 1.59, 0309 (?), 18:09, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Парни я действительно не пойму зачем всё это. Центр обработки данных у клод фларе есть в москве. Я так понимаю что это всеравно что в контакте чтото шифровать. А может я что непойму?
     
     
  • 2.64, OldFart (?), 18:45, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    DoH = Spying mechanism

    Последователи Цукерберга следующие его правилу "We moving fast, we breaking things..." будут очень рады новому инструменту для слежки, так же как и лохи не понимающие простой вещи: не сломалось, - не чини, но дело не в этом, главное здесь контроль толпы

    Верующих в добро от 8.8.8.8 и 1.1.1.1 больше, так что велком в коллективное стадо...
    Спасибо гугловским инсайдерам в мозиле, которые технично и стабильно убивают лису

    Пока что можно запретить все исходящие запросы к DNS и кормить своим ДНС-ом (который кормится только с рут серверов) локалку, но вот запрещать 443 порт не получится так просто, так как Гугля очень хочет что бы все было через HTTPS и рано или поздно они нагнут интернет (ибо certificate transparency всех SSL сертификатов у них хоститься) и блокировать rolling IPs of DoH будет не так просто. Каждый браузер бегает на OSCP проверить сертификаты, поэтому установить зависимость кто куда ходит очень легко. Короче, благодаря любителям всего нового - все в загон или дышим свободой пока network.trr.mode=0 можно использовать...

     
     
  • 3.74, Crazy Alex (ok), 20:21, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если это твой браузер - настрой его чтобы ходил по DNS или по DoH на твой сервер. Если не твой - не лезь, всё просто.
     
     
  • 4.81, OldFart (?), 21:26, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да разговор то не о технарях, которые могут что то настроить чтоб не быть под колпаком, а о массовости трэкинга и когда DoH не будет вызывать много шума, то станет главным резолвером, а если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод...
     
     
  • 5.83, пох (?), 21:51, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не переживай так за банки- в хромом не просто так отломали нафиг pkp. Менять в нем нам ничего не надо, нам гугль уже все поменял - любой https траффик у нас дешифруется на файрволле, если родина скажет - то и подменить можем.

    ну, придется подождать пару часов апдейта от вендора, если вдруг еще фича не предусмотрена штатными средствами той же PA7xxx

    гугель же - он понятливый. хочешь в банку - соблюдай правила. Это мурзила выпендривается - ни системные настройки прокси не подбирает, ни системные же сертификаты ей, видите ли, не подходят (с линуксом, кстати, проще - там как раз прежне-мазильную помойку сделали общесистемной), и pkp кое-где все еще срабатывает, насколько я вижу.

     
  • 5.118, J.L. (?), 17:46, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод

    а зачем вы собрались что-то менять в ПО и на машине которые вам не принадлежат?
    вы в инстаграмчик ходите с рабочей машинки?

     
     
  • 6.122, OldFart (?), 20:41, 30/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод
    > а зачем вы собрались что-то менять в ПО и на машине которые
    > вам не принадлежат?

    С чего вы это взяли, что я что то собираюсь менять не на моих машинах?
    Я говорю о повальном использовании шпионищим Хромом DevOp-ами, привязки к нему


    > вы в инстаграмчик ходите с рабочей машинки?

    Я на истаграмчик вооообще не хожу....


     
  • 3.86, Sw00p aka Jerom (?), 22:55, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Короче, благодаря любителям всего нового - все в загон или дышим свободой

    ага и все приложения скоро по одному порту бегать будут (подразумеваю это tcp 443)

     

  • 1.63, OldFart (?), 18:41, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Welcome в мир коллектевизма под управлением несущих "добро" 1.1.1.1 & 8.8.8.8
     
     
  • 2.87, Sw00p aka Jerom (?), 22:57, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    интернет коммунизм, знаем к чему это все привело, всех в колхозы, ни один крестьянин не получил земли!
     

  • 1.67, Юзер (??), 19:55, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объясняю зачем корпорации и спецслужбы вводят DNS-через-HTTPS:

    1. Блокировка торрентов.

    После ввода DoH можно заблокировать UDP, и торренты перестанут работать, наконец сбудутся голубые мечты копирастов и корпорастов.

    2. Блокировка p2p.

    Также при полном переходе на TCP можно будет избавиться от зарождающихся p2p-сетей, ведь через TCP на порядок сложнее "дырявить" NAT'ы, чем через UDP.

    3. Цензура доменов.

    Так как протокол HTTPS потребует сертификаты подписанные головным удостоверяющим центром, то корпорации опять-таки смогут контролировать DNS-запросы и блокировать неугодные домены.

     
     
  • 2.68, Аноним (68), 20:05, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хотим услышать ваше решение проблемы
     
  • 2.73, Crazy Alex (ok), 20:19, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ...именно поэтому Гугл (и прочие "злые корпорации") проталкивают udp-based HTTP/3...
     
  • 2.84, Аноним (115), 22:15, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя каша в голове, лол. DNS на UDP и 53 порте никак не мешает резать текущие торренты и p2p UDP, ведь они не маскируются под DNS и легко отличимы.
    А гугловский QUIC на UDP, который всех захватит, просто разбивает весь твой бред. С ним наоборот UDP зацветёт полнейшей жизнью, забыв о болях предыдущих десятилетий, когда его дискриминировали и резали.
     
     
  • 3.95, Аноним (95), 07:13, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зацветёт, ага — прям как IPv6 зацвёл. Будет fallback на TCP для 60% популяции.
     
     
  • 4.102, Аноним (115), 12:04, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Цифру из башки взял? 80% популяции это последний хром, там будет HTTP/2-over-QUIC и прочее новьё и никаких фолбеков из-за юзера. Да и лиса тоже будет поддерживать. Не недооценивай реактивность веба.
     
  • 2.89, Ключевский (?), 22:59, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Смешались в кучу кони-люди.
    Где DoH работающий только в браузере и где UDP? Ты вообще понимаешь о чем пишешь?
    Как они связаны, убогий?
     

  • 1.71, topin89 (?), 20:07, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это всё круто, но как там с поддержкой OpenNIC?
     
     
  • 2.88, Ключевский (?), 22:57, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ставишь себе dnscrypt-proxy, говоришь ему ходить к серверам OpenNIC'а и серверам поддерживающим DoH. Он умеет. И обращаешься у себя локально к нему.
     

  • 1.80, Аноним (80), 21:21, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".

    Заведомо неверные параметры конфигурации приводящие к неработоспособности вместо ссылки на список известных серверов https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers ...
    И целый абзац о том какое это ненужно
    Ньюсмейкеры опеннета ничего больше не пишите!*


    *просто нажмите плюсик над этим постом чтобы мы поняли что вы находитесь под дулом тов. майора...

     
     
  • 2.82, тов.майор (?), 21:43, 28/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    жмите, жмите, я разрешаю.

    список васяну-известных-серверов мне вполне нравится, я понимаю, что есть масса васянов, осиливших запустить неведомый им код на го и ноджс, чтобы иметь возможность и самим приобщиться, так сказать, к нашей "и опасна и трудна", и поинтересоваться, кто и каких интересных вещей качает. А тут рассказывают про снифферы, злых провайдеров, проклятый сорм - вот же ж как все просто - взял и создал никому неведомый васян, простите, он тут Димон, не путайте с не-димоном, репу на гитхапе, и выложил список, он-то точно на стороне добра, нет-нет, что вы, что вы, ему в голову не приходит включить лог запросов в своем "toy server".

     

  • 1.93, Анонизмус (?), 01:44, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне однозначно интересно, как у них 3-way handshake в TCP оказался быстрее request-response схемы UDP. Умолчу об ещё одном этапе обмена сертификатами в HTTPS.

    При rtt до 50мс (привет, Starlink/SpaceX) всё будет красиво, не спорю, на практике же, особенно при высоких rtt всё очень печально.

     
     
  • 2.97, Аноним (115), 10:20, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всё просто. TCP и TLS хендшейки делаются один раз при запуске браузера. А потом соединение живёт часами и работает. И там обязательный HTTP/2, кстати, по задумке и реализации. По HTTP/1.1 они даже не планировали вообще. Т.е. корректное название DoH это DNS over HTTP/2. Соответственно все плюшки его имеет.
    Плюс у TLS 1.3 1 rtt при первом соединении, и 0 rtt при возобновлении. https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
    Вот тебе и скорость на плохих каналах, где старый UDP DNS может и потеряться, а tls бегает стабильнее (сам много лет назад заметил, что http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).
     
     
  • 3.99, Анонизмус (?), 10:40, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, теперь стало понятней в теории. На практике, разрабатывая один проект, пришлось использовать DoH, но сервер-резолвер был в США - полминуты тупняка на резолв мне показалось многовато. Но это с отдельного устройства, который локальный UDP-DNS преобразовывал в DoH. Если с клиентских устройств использовать в браузерах, то должно быть нормально.
     
  • 3.101, Аноним (101), 11:45, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).

    Это пока, как в Китае, не ввели белые списки. И остается красивый шифрованный HTTPS (и не только он, конечно) на самом дне приоритетов, да еще и искусственно шейпится.

     

  • 1.103, Аноним (103), 12:15, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И чем ОНО лучше dnscrypt?
     
     
  • 2.107, Аноним (115), 14:55, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тем что стандарт. Даже автор dnscrypt одобряет DoH и поддерживает его в своей софтине. https://dnscrypt.info/faq/
    А вот dns over tls не одобряет.
     
     
  • 3.109, Аноним (-), 15:44, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну там приводится оценка +/-, но нет категоричных выводов.
    Так какие же сертификаты будут использоваться при шифровании?
    Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
     
     
  • 4.111, Аноним (115), 18:23, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если вчитаться в них и поверить что это исчерпывающая правда , то там получаютс... большой текст свёрнут, показать
     
     
  • 5.112, Аноним (-), 20:26, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > блокируется из-за отдельного порта, очень сложно, но всё равно недодуманно и
    > вообще ужасно), а DoH вполне себе хорош.
    >> Так какие же сертификаты будут использоваться при шифровании?
    > X.509.
    >> Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
    > Тебе незачем. Но у других людей выбор стоит между установкой левой проги
    > и смены настроек ос на неё, и включением в лисе. Второе
    > проще.
    > А ты можешь в своём же днскрипте (если v2) использовать этот самый
    > DoH и DoH-сервера, а не только днскрипт-протокол.

    Да так и есть. У меня в конфиге разные сервера, в т.ч. и DoH
    Левая не левая, а ФФ тот еще гарант чистоты ))

     

  • 1.110, Аноним (110), 16:05, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?
     
     
  • 2.113, Аноним (-), 20:27, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу
    > "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то
    > ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?

    А обычный пользователь шарахнется от этого функционала, причем большинство из ЭТИХ на Хроме

     
  • 2.114, Аноним (-), 20:51, 29/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Captive portals  были предусмотрены ещё задолго до.

    Обычные же пользователи об этой настройке даже не подозревают, а по-умолчанию она выключена...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру