Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-over-HTTPS"	+/–
Сообщение от opennews (?), 19-Фев-21, 11:22
Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма  XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH  доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7.  После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54617
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Таненбаум (?), 19-Фев-21, 11:22	+4 +/–
вот и славно
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от YetAnotherOnanym (ok), 19-Фев-21, 12:09	+2 +/–
Вооот, теперь и в коде, обеспечивающем DoH и DoT, тоже будут находить дыры.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (3), 19-Фев-21, 12:39	–6 +/–
Переписать на Rust! Make Bind great again
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #14

4. Сообщение от пох. (?), 19-Фев-21, 13:26	–8 +/–
Естественно, поскольку это невменяемая блоатварь. Для того, впрочем, и брали. И да, вишенка на тортике - "когда-нибудь, может быть, мы эту зависимость от ненужно сделаем отключаемой".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9

5. Сообщение от Сейд (ok), 19-Фев-21, 13:32	+/–
https://github.com/bluejekyll/trust-dns
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Rustishishka (?), 19-Фев-21, 14:01	+/–
Rust не гарантирует отсутствие UB
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Онаним (?), 19-Фев-21, 14:09	+1 +/–
Накотец-то. Одним биндом охватить всё - это просто праздник какой-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

8. Сообщение от Онаним (?), 19-Фев-21, 14:10	+2 +/–
А то, что поддерживает работу за балансировщиком - и вообще прекрасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Онаним (?), 19-Фев-21, 14:13	+4 +/–
DoH - да, в определённой мере блоаттварь. DoT - не очень. Биндинги к OpenSSL особо не напрягают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11

10. Сообщение от Онаним (?), 19-Фев-21, 14:15	+1 +/–
Верифицируемый TLS для передачи зон - вообще прекрасно, можно будет VPN местами разобрать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от пох. (?), 19-Фев-21, 14:34	–4 +/–
Оба сорта одного и того же. Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26, #31

12. Сообщение от Ssss (?), 19-Фев-21, 15:11	–2 +/–
Есть нормальный DNS over TLS, нет, надо было эту хрень over HTTPS делать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #25

13. Сообщение от th3m3 (ok), 19-Фев-21, 15:26	+3 +/–
А как скоро завезут ECH (Encrypted Client Hello)? А то Mozilla в Firefox резко на него перешла, теперь заблоченные сайты опять нужно на прокси насаживать.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от YetAnotherOnanym (ok), 19-Фев-21, 17:07	+2 +/–
> Make Bind bound again Не благодари.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от msgod (ok), 19-Фев-21, 17:54	+/–
И в каких операционных системах системный резольвер поддерживает эти дох и дот? На браузеропомойки плевать. Давайте на уровне системного резольвера.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #18, #24

16. Сообщение от Сейд (ok), 19-Фев-21, 18:28	+2 +/–
А у меня на работе открыт только 443 порт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20, #27

17. Сообщение от depo (?), 19-Фев-21, 19:08	+/–
> Давайте на уровне системного резольвера. Ну давайте. С криокамеры только вылез? https://shivering-isles.com/Configure-DoT-on-systemd-resolved https://developers.cloudflare.com/1.1.1.1/dns-over-https/clo... https://github.com/testdasi/pihole-dot-doh https://www.bentasker.co.uk/documentation/linux/407-building... https://www.nginx.com/blog/using-nginx-as-dot-doh-gateway/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21

18. Сообщение от Аноним (18), 19-Фев-21, 19:09	+1 +/–
системдос
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Х (?), 19-Фев-21, 19:20	+1 +/–
В РКН еще не добавили альфа-поддержку блокировки этого счастья?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #30

20. Сообщение от Аноним (-), 19-Фев-21, 19:47	+1 +/–
Перепишем же на расте весь днс пару раз во славу твоего открытого 443го порта на работе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от msgod (ok), 19-Фев-21, 20:03	+3 +/–
И что из этого является системным ресольвером? GetHostByName из libc? Не не слышали. Ну и гнушники пошли ныне. Уже мокрописьки считают частью системы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (22), 19-Фев-21, 20:19	–1 +/–
BIND впереди планеты всей!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

23. Сообщение от Pahanivo (ok), 19-Фев-21, 21:57	+3 +/–
Блокировку чего-то "over HTTPS" приказать то можно, вот только сделать ... ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #28

24. Сообщение от Stax (ok), 19-Фев-21, 22:54	+/–
В самой распространенной в мире ОС - поддерживает на уровне системного: https://www.bleepingcomputer.com/news/security/microsoft-add...в пользовательский релиз вошло начиная с 2004) А что касается линукса, так как бы NSS поверх systemd-resolved (nss-resolve) уже не первый год в glibc. Пропишите "hosts:          mymachines resolve [!UNAVAIL=return] files myhostname" в nsswitch.conf и DNS over HTTP в systemd-resoled и все будет как пожелаете. С точки зрения pluggable архитектуры NSS нет никакой разницы, используете ли вы libnss_resolve или libnss_dns.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

25. Сообщение от пох. (?), 19-Фев-21, 23:33	–2 +/–
А чего в нем нормального-то? Такой же лютейший трэш и п-ц... http/2 хотя бы рано или поздно доведут до рабочего вида (поскольку этим занимается не isc). А там - надежды никакой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

26. Сообщение от AnonymPatient (?), 20-Фев-21, 04:24	–1 +/–
>Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл. 1500, UDP - понимаю проблемы, но есть же SCTP, слабосоображающие, нет (тут матюг) лезут еще со своей текство-портянкой HTTP, прочим json`om замусорили своими костылями всю RR TXT, корпoративные редиски; WiKi мультииерoглифную туда(TXT) еще вкорячить, слов нет, (и тут матюг) лица по комитетам сидят - стандартиризаторы (матюк легкой степени), полнейшая мешанина бинарно-текстовая по факту там еще npm и прочий js не планирют прикручиват в BIND9 ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

27. Сообщение от Аноним (27), 20-Фев-21, 11:42	+/–
Значит на х нужен такой работодатель.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #29

28. Сообщение от Аноним (27), 20-Фев-21, 11:44	+1 +/–
В НурСултанСтане же сделали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #39

29. Сообщение от Сейд (ok), 20-Фев-21, 12:54	+2 +/–
Я там не за Интернет, а за зарплату работаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от Dima1 (?), 20-Фев-21, 23:46	–2 +/–
только в США добавили. Тым мало того, что просто так банят сотни тысяч аккаунтов, так уже стали целые страны блокировать. Ты отстал от жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

31. Сообщение от crypt (ok), 21-Фев-21, 10:40	+/–
тоже вижу это как минус. так со всем айти происходит, к сожалению. это еще чудо, что из-за большой инерции у нас сохраняются базовые IP протоколы. из плюсов: может, DDoSить через DNS будут меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #32, #36

32. Сообщение от пациентович (?), 21-Фев-21, 15:44	–1 +/–
> из плюсов: может, DDoSить через DNS будут меньше. Какие, *ть плюсы - тут куча матюков... Завернут DNS службу через всех "облачных" *ов(МАТЮГ 100500 ЛЕВЕЛА), а в ПРЕДЕЛЕ  ХОТЯТ СДЕЛАТЬ ТАК - что за каждый !!! DNS запрос будете ОТСТЕГИВАТЬ И ОТКАШЛИВАТЬ Будет вам ПОЛНЕЙШИЙ DnsAAS - куда ЭТИ УБЛАЧНЫЕ PEДИСКИ( МАТЮГ 100500 ЛЕВЕЛА)  ЗАТACКИВАЮТ С НАСТУПАЮЩИМ ДИВНЫМ НОВЫМ ИНТЕНРЕТОМ - КРЕДИТ ЗАПРОСОВ ДЛЯ ВАШЕГО ДОМЕНА В ЭТОМ МЕСЯЦЕ ИСЧЕРПАН, ПОПОЛНИТЕ БАЛАНС - ДОПОЛНИТЕЛЬНО ВАМ НАДО ПРОДЛИТЬ ВРЕМЯ ДЕСТВМЯ SSL-СЕРТИФИКАТА ДЛЯ ВАШЕГО ДОМЕНА P.S.: Походу и РЕБЯТA с УOЛЛ-CTРИТА и их дочерние структуры ПОДОФИГЕЛИ - cyкa, к чему не прикaсаются - ВСЕ МАРЕКТ ПЫТАЮТСЯ ПРЕВРАТИТЬ БАНKCТЕРЫ - ВООБЩЕ БЕРЕГА ПОТЕРЯЛИ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35

35. Сообщение от пациентович (?), 21-Фев-21, 16:05	–1 +/–
ЕЩЕ ДОПОЛНЮ, Примечaние, для модераторов - все мною сказаное - в ЗДРАВОМ рассудке и ТРЕЗВОЙ памяти MАТЬ, MAТЬ, MAТЬ - мало того, что весь HTTP и прочий WEB загадили повальным SSL и прочим JS, всю инфрaструктуру хотят ОБМЕНЕТИЗИРОВАТЬ & ( и всмысле)ЗAГAДИТЬ СЛОВ НЕТ - ТОРГАШИ ХРЕНОВЫ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от пох. (?), 22-Фев-21, 20:11	+/–
> из плюсов: может, DDoSить через DNS будут меньше. учитывая что ддосить теперь будут с адресов гугля прекрасным http3 - да, меньше, кому нах сдался тот мамонтов кал в dns, который еще и половина васянов позаблокирует без разбора (ведь ихнему 1.1.1.1 ничего работать не помешает). Дайте другой глобус, этому п-ц уже почти наступил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от пох. (?), 22-Фев-21, 20:13	+/–
> BIND впереди планеты всей! это зад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

38. Сообщение от Аноним (38), 25-Фев-21, 11:09	+/–
Встроенный http-сервер - это сильно.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Pahanivo (ok), 25-Фев-21, 14:04	+/–
> В НурСултанСтане же сделали. Анальным зондом с подменой сертификата?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема