forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз DNS-сервера Unbound 1.7.0"
Отправлено DmA, 19-Мрт-18 08:55

обычные пользователи используют сетевые настройки , которые им выдаёт провайдер, в том числе и днс сервера. Поэтому запросы на разрешения имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер знает по каким сайтам вы ходите. можно поднять свой кеширующий сервис имён и не использовать днс сервер провайдера. Unbound - отличный вариант для этого, маленький и многоплатформенный! Он имея список корневых серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, который ввёл пользователь в адресной строке. Все днс запросы посылаются без шифрования: и от браузера к днс серверу и дальше от одного днс сервера к другому. Так что формально провайдер может видеть запросы от вашего unbound, но для этого ему уже нужны снифферы.
Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента к серверу днс. для этого на клиенте и на сервере нужно установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое!
Но запросы между серверами всё равно будут идти открытым текстом!
Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно заменить ip, которое он выдаст вам в ответ и вы пойдёте например на сайт сбербанка(но попадёте на другой IP, где будет размещён похожий сайт) и там введёте свои данные, которые могут быть украдены этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом от вашего днс провайдера!
DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", поэтому вы получате именно тот IP, который должен быть и гарантия этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip пакетов и когда пакет идёт от вас, то меняют поля "куда идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет отбить вашу девушку :)
Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно тем сайтом! И в первую очередь это должно использоваться там, где может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп

Исходное сообщение
"Релиз DNS-сервера Unbound 1.7.0" Отправлено DmA, 19-Мрт-18 08:55
обычные пользователи используют сетевые настройки , которые им выдаёт провайдер, в том числе и днс сервера. Поэтому запросы на разрешения имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер знает по каким сайтам вы ходите. можно поднять свой кеширующий сервис имён и не использовать днс сервер провайдера. Unbound - отличный вариант для этого, маленький и многоплатформенный! Он имея список корневых серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, который ввёл пользователь в адресной строке. Все днс запросы посылаются без шифрования: и от браузера к днс серверу и дальше от одного днс сервера к другому. Так что формально провайдер может видеть запросы от вашего unbound, но для этого ему уже нужны снифферы. Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента к серверу днс. для этого на клиенте и на сервере нужно установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое! Но запросы между серверами всё равно будут идти открытым текстом! Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно заменить ip, которое он выдаст вам в ответ и вы пойдёте например на сайт сбербанка(но попадёте на другой IP, где будет размещён похожий сайт) и там введёте свои данные, которые могут быть украдены этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом от вашего днс провайдера! DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", поэтому вы получате именно тот IP, который должен быть и гарантия этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip пакетов и когда пакет идёт от вас, то меняют поля "куда идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет отбить вашу девушку :) Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно тем сайтом! И в первую очередь это должно использоваться там, где может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> обычные пользователи используют   сетевые настройки , которые им выдаёт провайдер, 
> в том числе и днс сервера.  Поэтому запросы на разрешения 
> имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер 
> знает по каким сайтам  вы ходите. можно поднять свой кеширующий 
> сервис имён и не использовать днс сервер провайдера. Unbound - отличный 
> вариант для этого, маленький и многоплатформенный!  Он имея список корневых 
> серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, 
> который ввёл пользователь в адресной строке. Все днс запросы посылаются без 
> шифрования: и от браузера к днс серверу и дальше от одного 
> днс сервера к другому. Так что формально провайдер может видеть запросы 
> от вашего unbound, но для этого ему уже нужны снифферы.
> Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента 
> к серверу днс. для этого на клиенте и на сервере нужно 
> установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое!
> Но запросы между серверами всё равно будут идти открытым текстом!
> Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно 
> заменить ip, которое он выдаст вам в ответ и вы пойдёте 
> например на сайт сбербанка(но попадёте на другой IP, где будет размещён 
> похожий сайт) и там введёте свои данные, которые могут быть украдены 
> этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом 
> от вашего днс провайдера!
> DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", 
> поэтому вы получате именно тот IP, который должен быть и гарантия 
> этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот 
> же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip 
> пакетов и когда пакет идёт от вас, то меняют поля "куда 
> идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы 
> сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, 
> а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет 
> отбить вашу девушку :) 
> Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно 
> тем сайтом! И в первую очередь это должно использоваться там, где 
> может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру