The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox

07.09.2019 08:44

Разработчики Firefox объявили о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.

Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны проблемы с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).

Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).

При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.

Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта "DoH always" (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla предлагает внедрить единый проверочный хост use-application-dns.net, который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".


  1. Главная ссылка к новости (https://blog.mozilla.org/futur...)
  2. OpenNews: В Firefox будет проведён эксперимент, связанный с DNS-over-HTTPS
  3. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
  4. OpenNews: В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок
  5. OpenNews: Четвёртый этап тестирования DNS-over-HTTPS в Firefox
  6. OpenNews: Новый этап тестирования DNS поверх HTTPS в Firefox
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: dns, https, dns-over-https, doh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (247) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:08, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https. Инцидент с сертификатами их ничему не научил. Требую настройки, которая бы отключала автоматическое отключение dns-over-https.
     
     
  • 2.17, AnonPlus (?), 10:23, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Обломишься, там CloudFlare, у них-то мониторинг протухания сертификатов настроен отлично.
     
  • 2.31, Аноним (31), 11:46, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    по умолчанию https://mozilla.cloudflare-dns.com/dns-query
     
  • 2.60, Аноним (60), 12:50, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https.

    Вы так боитесь, что спецслужбы не смогут читать лог ваших запросов? Простите, вы эксгибиционист?

     
     
  • 3.87, And (??), 14:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере. Как сейчас уже с серыми сертефикатами сделали.

    Ну и так же всё закроют.

     
     
  • 4.100, Аноним (60), 14:50, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере.

    И правильно, нефиг из-под радара уходить.

     
  • 4.252, dkdk (?), 09:57, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никто не запретит "обычные механизмы" кроме тебя.
    Кстати, если поставить 2 (тобишь dohб если не але то днс), то doh тупо отключается в локальной сети. Нафига так сделали? Ну не прокатил один запрос по doh, делаешь по днс и все. Обычно там пару адресов локальных в кэше надо держать и все.
    ну и nsi все еще не шифруется. /0 Хотя я днс от адгуард поставил, может он не умеет.
    проверка
    https://www.cloudflare.com/ssl/encrypted-sni/
     
  • 2.112, Аноним (-), 15:18, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Теперь браузер будет стучать на ещё один адрес в интернете?
     
     
  • 3.121, Аноним (121), 16:17, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    а еще CF смогут с запросами делать всё что угодно
     
  • 2.242, Аноним (242), 08:03, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Требую настройки, которая бы отключала автоматическое отключение dns-over-https.

    ...Проблема решена добавлением в настройки пункта "DoH always" (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом...

    читать статьи иногда все же надо не наискосок.

     

  • 1.2, ыы (?), 09:10, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    то есть иметь собственный DNS-сервер теперь не по фэншую?
     
     
  • 2.3, жека воробьев (?), 09:23, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Настрой свой doh и укажи в настройках ff
     
     
  • 3.44, Аноним (60), 12:25, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А через что он резолвить будет, через АНБ^W CloudFlare, или через "небезопасный" DNS?
    Прямо загадка о двух стульях.
     
     
  • 4.64, dimqua (ok), 13:28, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >через "небезопасный" DNS

    А через что резолвит сервер Cloudflare?

    В любом случае, нет смысла держать свой сервер, чтобы перенаправлять запросы в АНБ, поэтому ответ думаю очевиден.

     
     
  • 5.243, Коньвпальто (?), 08:06, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    АНБ спецслужба иностранного государства, не замеченная в намеренном сливе на болванках на Митинском рынке. Потому мне данных им не жаль, пусть хоть уперехватываются, Пинкертоны хреновы. Лишь бы нашим не попало и у жуликов не оказалось, намеренно или нечаянно.
     
     
  • 6.244, Коньвпальто (?), 08:12, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я думаю так мыслит процентов 95, использующих подобные технологии. Просто элементарно заворачивая через какой-нибудь привокси часть траффика в Тор, дабы трекеры и подрезая рекламку у реально толкового админа должно поддерживаться от того, что он светит днс запросами. Просто обязано подергиваться, иначе так себе он админ.
     
     
  • 7.245, Коньвпальто (?), 08:13, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Подёргиваться, извините.
     
     
  • 8.246, Коньвпальто (?), 08:17, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хотя этому толковому админу должно быть пофиг поддерживает ли эту фичечку браузе... текст свёрнут, показать
     
  • 4.169, жека воробьев (?), 20:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Что за тупой вопрос?! А через что он до этого резолвил?
     
  • 3.145, хотел спросить (?), 18:10, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я сейчас об это раздумываю.

    С чего начать? Bind?

    Какие вообще есть варианты?

     
     
  • 4.164, timeout (?), 19:54, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    pi-hole
     
  • 4.166, 123 (??), 20:09, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    dnssec-trigger
     
  • 2.8, Zenitur (ok), 09:56, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё - трудности при использовании сайтов в локальных сетях городов
     
     
  • 3.21, Аноним (21), 10:52, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А такие ещё остались?
    Все известные мне сети, будучи раньше с упором на локал, теперь открывают прямой доступ в интернет
     
     
  • 4.198, Аноним (198), 23:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, плюс интранет офисов
     
  • 2.25, timur.davletshin (ok), 11:17, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Только централизация и привязка к Сloudflare. Они там наверное с ним контракт секретный подписали.
     
     
  • 3.47, Аноним (60), 12:28, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну мозилловцы до этого явно не сами дошли, а их попросили. Пойти воооон к тому дяде, который с кем надо сотрудничает.
     

  • 1.4, Аноним (4), 09:32, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а у меня уже включён doh на роутере
     
     
  • 2.27, timur.davletshin (ok), 11:19, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DoH ущербен от самого рождения. Если и привязываться к Cloudflare, то только по DNS-over-TLS. Особенно с учётом того, что его поддержка уже есть в системном резолвере systemd.
     
     
  • 3.46, Аноним (46), 12:27, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В нём много чего есть. Вопрос в том насколько часто оно работает - это раз. Как на системный ресолвер может повлиять мозилла из браузера - это два.
     
     
  • 4.49, Аноним (60), 12:30, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мозилла, естественно, будет игнорировать системные резолверы, потому что они могут использовать DNS-серверы, не одобренные NSA.

    Firefox — браузер для честных людей, а им скрывать нечего.

     
     
  • 5.104, Аноним (104), 14:58, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Даже ВВП есть что скрывать, а простым смертным тем более.
     
     
  • 6.230, Xasd (ok), 15:20, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Даже ВВП

    ДАЖЕ ему?!

     
  • 6.253, dkdk (?), 10:02, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так сказано же честным скрывать нечего.
     
     
  • 7.261, mr.tacitus (ok), 13:21, 11/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    даже честным есть что скрывать
     
  • 3.67, dimqua (ok), 13:32, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В openwrt нет никакого системГэ.
     
     
  • 4.70, Аноним (70), 13:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > В openwrt нет никакого системГэ.

    И это прекрасно! Зато в ней есть stubby.
    https://openwrt.org/docs/guide-user/services/dns/dot_dnsmasq_stubby

     
     
  • 5.78, dimqua (ok), 13:48, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.
     
     
  • 6.149, Аноним (149), 18:55, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.

    Этот вариант также предусмотрен:
    https://openwrt.org/docs/guide-user/services/dns/dot_unbound

     
  • 6.181, Аноним (70), 21:33, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.

    dnsmasq там из коробки, если ты не в курсе.

     
  • 3.137, Аноним (137), 17:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то ущербен dns-over-tls. И останется ущербным, потому что светит ему только апдейт до следующей версии tls. А dns-over-https уже лучше, и способен становиться лучше апдейтами http и tls.
    См. сравнение протоколов: https://dnscrypt.info/faq/
    И никто не мешает использовать dns-over-https не в браузере, а на системном уровне или роутере для всего (а в лисе отключить). Поддержка есть в dnscrypt и наверняка не только в нем.
    Обоснуйте свою позицию.
     
     
  • 4.139, timur.davletshin (ok), 17:53, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т.к. DoT более оптимален в плане размера и скорости установки соединения (особенно с TLS 1.3 и TCP fast open), да оно и не удивительно, его же IETF разрабатывало.
     
  • 4.156, Криптоаноним (?), 19:20, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Весёлое сравнение. Например, для DNS-over-TLS в недостатках указано "Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world", "Allows insecure algorithms and parameters", "Readily compatible with industry-standard TLS interception/monitoring devices. Having people install additional root certificates is easier than custom software. Vendors are always ready to passively extract information from TLS 1.3 sessions" и т. д. Хотят сказать, к DNS-over-HTTPS это не относится?
     
     
  • 5.161, timur.davletshin (ok), 19:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С точки зрения безопасности они на одном уровне. За исключением момента со sni. У DoH плюс в том, что его можно использовать из обозревателя, но меньше шанс его внедрения на уровне сетевого железа.
     
  • 5.256, rshadow (ok), 13:43, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наверно они хотят сказать что за это ответственны не они, а потому этот вариант предпочтительней =)
     
  • 4.254, dkdk (?), 10:08, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А то что появляется дополнительный отпечаток клиента вас не смущает? Он постоянный или сессионный?
     

  • 1.5, Грусть (?), 09:38, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как теперь с рекламой бороться?
     
     
  • 2.48, Аноним (46), 12:30, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зачем с ней бороться? В обществе потребления надо её потреблять.
    Ну или поставь себе парентал контроль, из-за него мозилла выключит DoH. Да здравствуют бессысленные для пользователей действия опаченные госдепом.
     
     
  • 3.249, госдеп (?), 09:44, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мы такой херни не оплачивали, мы еще за стену не рассчитались

    это, вон, к гуглю.

     
  • 2.114, anon228 (?), 15:31, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    block cloudflare resolver domain
     
  • 2.115, cocacola (?), 15:47, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    сейчас везде стоит либо pi-hole либо фильтр на openwrt (забыл как называется).
    есть еще diversion для роутеров asus. не прошло и 20 лет, сейчас начали что-то подозревать. что их рекламные домены и трекеры уже давно не резолвятся. вот и бесятся. все просто. в роутерах zyxel вообще из коробки сразу можно поставить фильтр от adguard dns даже ничего не надо настраивать.

    как же хорошо что там отбитые наглухо сидят, просто берем и блочим их DoH резолвер по его домену, точнее доменам я так понял их там несколько. вот и все.

    немного побесятся и успокоятся, так что расслабтесь!

     
  • 2.133, DerRoteBaron (ok), 17:21, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если вы боретесь с рекламой через DNS (что криво by design), думаю, выключить в тоpмозилле DoH сможете.
     
     
  • 3.136, Аноним (60), 17:33, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока эту возможность выключения не убрали нафиг.
     
  • 3.165, Грусть (?), 19:55, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не только с рекламой. Это дёшево и сердито, отключает все к xyям.
     

  • 1.11, Mikevmk (?), 10:08, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Локальный unbound с DNS-over-SSL тоже хорошая опция. Год полет нормальный

    server:
        access-control: 127.0.0.0/8 allow  
        cache-max-ttl: 14400    
        cache-min-ttl: 900  
        hide-identity: yes  
        hide-version: yes  
        interface: 127.0.0.1    
        minimal-responses: yes  
        prefetch: yes      
        qname-minimisation: yes
        rrset-roundrobin: yes  
        ssl-upstream: yes  
        use-caps-for-id: yes    
        verbosity: 1        

    forward-zone:
        name: "."  

        
        forward-addr: 8.8.8.8@853  
        forward-addr: 1.1.1.1@853  

     
     
  • 2.61, Аноним (61), 13:07, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    qname-minimisation: yes - у меня с этой настройкой что то упорно некоторые домены не резолвились.
    Потом ты же все свои похождения сливаешь в гугль/анб, в отличии от наших долбоящеров они умеют аналитику.
     
  • 2.68, Аноним (70), 13:32, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Локальный unbound с DNS-over-SSL тоже хорошая опция.

    Почему «тоже»?

     
  • 2.69, dimqua (ok), 13:34, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >     forward-addr: 8.8.8.8@853
    >     forward-addr: 1.1.1.1@853

    Товарищ майор одобряет.

     
     
  • 3.101, Аноним (60), 14:51, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У _товарища_ майора 77.88.8.8.

    А то _господин_ майор.

     
     
  • 4.153, ilyafedin (ok), 19:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Господин шериф.
     
  • 2.71, OpenEcho (?), 13:38, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. доверие к двум крупнейшим data ворам значительно выше чем локальнму провайдеру? И они конечо-же святые и не могут подгладывать/изменять DNS ?
     
     
  • 3.90, Аноним (90), 14:09, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >двум крупнейшим data ворам

    Пруфы где, балабол?

     
     
  • 4.108, Аноним (60), 15:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пруф — молчание канарейки, то есть отсутствие доказательств того, что CF и Google НЕ сотрудничают с АНБ.
     
     
  • 5.119, Аноним (90), 16:07, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты даже не знаешь, что такое свидетельство канарейки. Это не отсутствие доказательств, а беспричинное оповещение о том, что ордеров на слежку нет.
     
     
  • 6.129, Аноним (60), 17:06, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > беспричинное оповещение о том, что ордеров на слежку нет.

    Когда канарейка кукарекает — это уже не молчание.

    Свидетельство канарейки by design не предполагает сотрудничества со стороны канарейки.

     
     
  • 7.141, Аноним (90), 18:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Warrant_canary
     
  • 4.118, OpenEcho (?), 16:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>двум крупнейшим data ворам
    > Пруфы где, балабол?

    Ты правда сам не можешь набрать в поисковике "privacy policy" для гугла и cf ??? Читай только полностью и все и очень внимательно...

    Жалко мне тебя...

     
     
  • 5.142, Аноним (90), 18:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они собирают всё согласно их политикам приватности, на которые пользователи соглашаются. Я попросил пруфы воровства данных. Это не одно и то же.
     
     
  • 6.167, OpenEcho (?), 20:11, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И много возможностей у пользователя отказаться от их полиси, только для того что... текст свёрнут, показать
     
     
  • 7.175, Аноним (90), 20:56, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Для того чтобы правильно осмыслить их полиси, нужнo реально профессиональное юридическое образование.

    А GDPR для кого сделали?

     
     
  • 8.186, OpenEcho (?), 22:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Оно намного сильно нагнуло гугл и им подобных писать менее юридически завуалиров... текст свёрнут, показать
     
     
  • 9.187, Аноним (90), 22:20, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Именно это и произошло Никак Но по крайней мере, проживающие там теперь имеют ... текст свёрнут, показать
     
     
  • 10.192, OpenEcho (?), 23:01, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Произошло что Big data spreading stopped Это очень наивно верить в VPN-ы, сов... текст свёрнут, показать
     
     
  • 11.195, Аноним (90), 23:12, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я и не говорил, что они хороши для анонимности Я имел в виду, что в европейских... текст свёрнут, показать
     
     
  • 12.199, OpenEcho (?), 23:27, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я сорри, не догнал причем здесь VPN-ы и Швецария А это Пруфы где, балабол ... текст свёрнут, показать
     
     
  • 13.201, Аноним (90), 23:43, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пример Сидя в США или в РФ, где на GDPR клали, использовать VPN сервер из ЕС, г... текст свёрнут, показать
     
     
  • 14.204, OpenEcho (?), 00:15, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что, зайдя из США на европейский VPN и пытаясь попасть на сайты gmail к приме... текст свёрнут, показать
     
     
  • 15.211, Аноним (90), 00:29, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Любая компания, имеющая филиалы серверы в ЕС обязана следовать GDPR в этих регио... текст свёрнут, показать
     
     
  • 16.215, OpenEcho (?), 01:41, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы помоему не понимаем друг друга USA - VPN_in_EU- USA В этом случае, в USA к... текст свёрнут, показать
     
     
  • 17.217, Аноним (90), 01:50, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не попадёте на серверы Google в США из под европейского VPN Только в случае,... текст свёрнут, показать
     
     
  • 18.218, OpenEcho (?), 03:09, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А вы 100 уверенны Спрашиваю потому, как я без проблем с наших и клиентских... текст свёрнут, показать
     
  • 7.180, Аноним (90), 21:14, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >И много возможностей у пользователя отказаться от их полиси

    Тут всё просто. Не соглашаешься — не пользуешься. А альтернатив гуглу и их сервисам предостаточно.

     
     
  • 8.190, OpenEcho (?), 22:46, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не просто буду благодарен, Я буду просто невероятно благодарен, если Вы мне от... текст свёрнут, показать
     
     
  • 9.193, Аноним (90), 23:01, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только что анонсировали даты на Librem 5 Если не устраивает, берите смартфо... текст свёрнут, показать
     
     
  • 10.197, OpenEcho (?), 23:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы это серьезно о них А вы не пробовали поставить такой девайс, с такой чудной... текст свёрнут, показать
     
     
  • 11.200, Аноним (90), 23:36, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да Зачем мне проводить аудит самого популярного свободного Андроид дистрибутива... текст свёрнут, показать
     
     
  • 12.202, OpenEcho (?), 00:01, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сорри, но это пока в будущем и я не уверен что они выживут У гугла тоже пол ми... текст свёрнут, показать
     
     
  • 13.205, Аноним (90), 00:16, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это неправда и в этом всё отличие Я не настолько параноик, я даже не програ... текст свёрнут, показать
     
     
  • 14.212, OpenEcho (?), 01:02, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я вижу счастливых юзеров гугла каждый день, просто приблизительно прикидываю мир... текст свёрнут, показать
     
     
  • 15.213, Аноним (90), 01:11, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, у меня больше нет желания продолжать этот разговор Скажу лишь, что за... текст свёрнут, показать
     
     
  • 16.216, OpenEcho (?), 01:48, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично, у меня тоже работа подходит к концу и пора домой Вопрос то не во м... текст свёрнут, показать
     
  • 15.214, Аноним (90), 01:23, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Такова цена владения смартфона в это время Кто виноват, что так получилось Кор... текст свёрнут, показать
     
  • 6.171, Аноним (171), 20:30, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Видеохостинг YouTube, которым владеет Google, был оштрафован на сумму в $170 млн за незаконный сбор данных о несовершеннолетних. Сообщается, что это крупнейший штраф в истории американского регулятора, наложенный за нарушение закона о защите конфиденциальности детей в интернете.

    Обтекай.

     
     
  • 7.177, Аноним (90), 21:01, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут ты ни ссылки не дал, ни чего ещё. Здесь не ясно, совершалось ли это нарочно. Обычно штрафы за сбор данных о несовершеннолетних дают, если у тебя в EULA не указано возрастное ограничение в 13 лет. Такие ошибки совершаются довольно часто — это неудивительно.
     
     
  • 8.226, Аноним (226), 12:03, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Бедненький, как с такими навыками ты умудряешься ещё на опеннет постить Простую... текст свёрнут, показать
     
  • 3.170, Аноним (-), 20:29, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да Кто ближе - тот представляет большую опасность априори Даже если дальние со... текст свёрнут, показать
     
     
  • 4.172, Аноним (171), 20:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё один дурачок. Они в бигдата умеют в отличии от наших. И подсовывание нужных ссылок и управление мнением(см. больше такого как Трамп не допустим)только начало. Следующий шаг это цена за любой товар и услугу согласно твоей платежеспособности. У Пети соседа-безработного за покупку кружки выставят счет 10 рублей, а тебе умнику 500 рублей.
     
  • 3.250, пох. (?), 09:46, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    конечно - тут-то кровавая гебня, а там-то честнейшие ребята, делающие правой рукой.

     
  • 2.86, Аноним (86), 14:02, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Браво, поднять свой днс и обращаться к гугл-днс.
     
     
  • 3.91, xm (ok), 14:09, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу. Раз уж поднял свой кэширующий DNS то смысл в форвардинге чёрти куда?
     
     
  • 4.120, OpenEcho (?), 16:16, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Угу. Раз уж поднял свой кэширующий DNS то смысл в форвардинге чёрти
    > куда?

    +1

    To OP:
    убери forwarding, возьми свежий лист корневых DNS http://ftp.internic.net/domain/named.cache, добавь корневой якорь
    https://data.iana.org/root-anchors/root-anchors.xml
    добавь DLV ключ http://ftp.isc.org/www/dlv/dlv.isc.org.key
    и стань caching (Not a Forwarding) DNS резолвером для своей сетки

     
     
  • 5.151, Аноним (149), 19:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уверены что это поможет избежать DNS-leak со стороны ISP?
     
     
  • 6.183, OpenEcho (?), 21:54, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А при чем здесь ISP, если Unbound будет резолвить в обход ISP Или имелось в вид... текст свёрнут, показать
     
     
  • 7.203, Аноним (149), 00:08, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Или имелось в виду ISP sniffing?

    Да, для определённости будем считать этот вектор наиболее серьезным.

    >Так это уже другая опеpа, прямая дорога на 853 port, RFC7858, RFC8310.

    Так корневые серверы это умеют?
    Если нет, то остается только пользоваться тем, что есть.

     
     
  • 8.207, OpenEcho (?), 00:20, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Root DNS сервера отвечают только за com, net, org т е только за самый первый... текст свёрнут, показать
     
  • 5.157, xm (ok), 19:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > убери forwarding

    да

    > возьми свежий лист корневых DNS

    скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список root серверов. разве что очень хочется...

    > DLV ключ

    нет. он давно deprecated.

     
     
  • 6.178, OpenEcho (?), 21:01, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> возьми свежий лист корневых DNS
    > скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список
    > root серверов. разве что очень хочется...

    вообще-то IPs у корневых DNS меняются, не часто, но случается, именно потому есть опция:
    root-hints: "/etc/unbound/roots.cache"


    >> DLV ключ
    > нет. он давно deprecated.

    Opps moment...

     
     
  • 7.188, xm (ok), 22:33, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > именно потому есть опция

    Ну на это я и намекнул, собственно.

     
  • 5.163, Аноним (163), 19:51, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только пусть не забудет в течении 3 дней подключиться к РКН и скачать актуальный... текст свёрнут, показать
     
     
  • 6.185, OpenEcho (?), 21:59, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Только пусть не забудет в течении 3 дней подключиться к РКН и
    > скачать актуальный списочек забаненых. И реализовать все запреты, конечно:

    Т.е. вcе юзеры новой лисы, даже не зная, что там включили DoH - теперь криминалы ?

    Сдается мне, что в background-e идет война за юзеров или влияния на них:)

     
     
  • 7.191, Аноним (163), 23:00, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Формулировка хитрее - никто не запрещает конечному пользователю использоват... текст свёрнут, показать
     
     
  • 8.194, OpenEcho (?), 23:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    сурово однако ... текст свёрнут, показать
     
  • 7.227, Онаним (?), 12:26, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не важно какой днс и как вы к нему обращаетесь, блокировка сайтов не только по доменам но и по IP в первую очередь. Смена DNS это же не VPN честное слово.
     
  • 2.89, xm (ok), 14:08, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, over-TLS, а, во-вторых, не "тоже", а только.
     

     ....большая нить свёрнута, показать (59)

  • 1.12, Hellraiser (??), 10:12, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).

    огласите владельца(/владельцев) "распределённой инфраструктуры резолверов DNS в DoH", пожалуйста

     
     
  • 2.16, AnonPlus (?), 10:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Вместо распределённой инфраструктуры резолверов DNS, <как в традиционном DNS>, в DoH использовона"

    так понятнее?

    Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.

     
     
  • 3.43, Аноним (60), 12:23, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.

    Зато сделать kill switch, чтобы DNS резко помер у определенной группы людей, в традиционном DNS сложнее.

    Не говоря уже о банальном слежении за трафиком. Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.

     
     
  • 4.88, Аноним (86), 14:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Товарищ майор куда смотрите, тут одним предложением раскрыли всю затею ради чего его разрабатывали
     
  • 4.138, Аноним (137), 17:48, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.

    В DOH теперь вырезают лишние заголовки http. Юзерагент уже вырезали, емнип.

     
  • 3.79, Hellraiser (??), 13:49, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то, что традиционная инфраструктура ДНС является распределённой - это понятно и известно;
    интригует фраза про "централизованные DoH-сервера DNS" - централизация предполагает узкий круг владельцев; кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?
     
     
  • 4.111, Аноним (60), 15:09, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?

    Написано же — NSA
    > По умолчанию используется DNS-сервер CloudFlare

     

     

  • 1.18, th3m3 (ok), 10:25, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    С DNS-сервер CloudFlare ничего не открывается, наверное Роскомндазор постарался. Зато с "https://9.9.9.9/dns-query" - работает! Оставлю включенным по умолчанию в режиме 3.
     
     
  • 2.22, th3m3 (ok), 11:00, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А нет - облом. Вообще ничего не открывается, все адреса пробовал. Впрочем, как только они запилил эту опцию, уже тогда пробовал. Было тоже самое.
     
     
  • 3.28, Аноним (28), 11:20, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у меня вместо https://9.9.9.9/dns-query прописано https://dns.quad9.net/dns-query и режим 3 использую. Всё норм
     
     
  • 4.36, th3m3 (ok), 12:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прописал. Тоже ничего не работает в режиме 3.
     
     
  • 5.93, TotalAnonimus (?), 14:15, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool) и вставить в параметр network.trr.bootstrapAddress
     
     
  • 6.105, th3m3 (ok), 14:59, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool)
    > и вставить в параметр network.trr.bootstrapAddress

    Так кажется, наконец - заработало. Спс!

     
     
  • 7.116, th3m3 (ok), 15:49, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет. Не заработало. После перезапуска браузера всё работало, но то ли изменения ещё не применились, то ли кеш какой. Но через некоторое время, все страницы перестали открываться. Ладно, фиг с ним с этим DoH. Не буду больше пробовать.
     
  • 5.225, Аноним (28), 11:56, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, извиняюсь, я в режиме 2 использую, но большинство сайтов работают через DOH
     
  • 4.76, OpenEcho (?), 13:47, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IP

    DNSы именно поэтому указываются по IP, а не по имени :)

     
     
  • 5.106, th3m3 (ok), 15:01, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IP
    > DNSы именно поэтому указываются по IP, а не по имени :)

    Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что неполная.

     
     
  • 6.126, OpenEcho (?), 16:36, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что
    > неполная.

    К великому сожалению, в настоящем мире нельзя верить - никому, даже документации и справочникам (недавно сожгли кучу микросхем, только из-за того что в официальной спецификации перепутали ножки как выяснилось)

     
  • 6.140, Аноним (137), 17:53, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот полные префы: https://github.com/bagder/TRRprefs
    В режиме 2 нужно только преф режима поменять (и урл, если нужен не дефолтный CF). В режиме 3 еще обязателен bootstrapAddress.
    Работе doh могут мешать впн-расширения.
     

  • 1.19, AnonPlus (?), 10:33, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >> Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

    Смысл очевиден, если чуток подумать. В выдуманном мире, в котором живёт автор новости, есть только два сценария: либо трафик ходит свободно, либо пользователя атакует тот, кто ставит целью любым способом не дать ему использовать DoH.

    В реальности же, большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH. Точно так же, как в России провайдеру глубоко плевать, что Вася читает заблокированный сайт Навального через VPN, провайдер блокирует так, чтобы проверяющее оборудование Роскомнадзора было удовлетворено, и не более. Бороться с Васей провайдеру совершенно не упёрлось, ему плевать вообще, чего там Вася читает.

     
     
  • 2.51, Аноним (60), 12:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда всех юзеров Firefox отправят в уютный загончик CloudFlare, это будет уже не полтора процента анонимусов, а целая толпа людей, которые даже не подозревают, что мозилла сдала их американским спецслужбам.

    Так что в кои-то веки от РКН может случайно наступить и польза, если они своих американских коллег побанят.

    Пусть люди сами выбирают себе DNS-провайдера — так хоть некоторые из них не под колпаком окажутся.

     
     
  • 3.251, товарищ майор (?), 09:53, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну нет, не так общо - пусть _определенные_ люди, уполномоченные специальным образом, выберут вам dns-провайдеров - где-то это будет ns....простите, cloudgoogle, где-то наше родное и скрепное.

    А то ж вам дай - вы такого понавыбираете, что потом сами же наперегонки побежите ко мне,чтоб я вас защитил от интернета.

     
  • 2.52, Аноним (52), 12:35, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Один из основных принципов информационной безопасности - предсказуемость. Защита или есть, или её нет, половинчатые решения только создают иллюзию защищённости. У мозиллы возникает ситуация, когда сейчас защита есть, а через 5 минут она может исчезнуть, и даже индикатора не предусмотрено для контроля.
     
     
  • 3.57, Аноним (60), 12:41, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отправка вашего DNS-трафика конторе, сотрудничающей со спецслужбами — это защита?
    Ну да, защита, только не для вас, а для государства.
     
     
  • 4.107, Аноним (104), 15:02, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Путать свою безопасность с государственной - это патриотично.
     
     
  • 5.109, Аноним (60), 15:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ксенопатриотично, я бы сказал (вряд ли аноним выше является гражданином США).
     
  • 2.196, Аноним (70), 23:18, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH.

    Теперь анонимусов станет (подставить недопродолбанную долю FF на рынке браузеров) и провайдер задумается, а не стоит ли ему как-то с этим бороться? А бороться-то просто: всего лишь добавить одну запись в свой DNS, и — voila — все снова ходят через него. Жопу рвать не надо.

     

  • 1.20, Аноним (20), 10:37, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > https://dns.google.com/experimental

    что-то я не понял, как я туда попаду, если у меня в опции 4 стоит

    > https://9.9.9.9/dns-query

    сертификаты работают тупо с ip? где гарантии, что провайдер туда что-то своё не засунет?

     
     
  • 2.23, Дмитрий П. (?), 11:02, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сертификат на IP сделать можно. Но в этом случае удостоверяющий центр обязан удостовериться, что ты являешься владельцем IP, как и в случае с доменом.
     
  • 2.54, Аноним (46), 12:37, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ох сколько нам открытий чудных готовит просвещенья век.
    https://1.1.1.1
    Сертификаты на ip-адрес недоступны только быдлу.

    ПС. Сертификаты работать с интернет протоколом (IP) вообще не умеют.
    Сертификат и протокол обмена данными это сущности разного порядка.

     

  • 1.24, timur.davletshin (ok), 11:15, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Долбанулись на отличненько. Вместо распределённого и в политическом и в техническом смысле DNS получим каличную привязку к Cloudflare.
     
     
  • 2.30, конь в пальто (?), 11:42, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    а ради этого и затевалось.
    стада мамкиных анонимусов - всего лишь пушечное мясо на поле боя корпораций и государств.
     
     
  • 3.56, Аноним (46), 12:39, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Главное, что они продолжат распростанять не рефлексируя.
    Поэтому эта музыка будет вечной.
     
  • 2.45, user90 (?), 12:26, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже не понимаю, какого черта столько шума из-за подобной фигни.
    Тем более, мне откровенно плевать на 99% инициатив Мозиллы, а будут как-то мешать - сменю браузер.
     
     
  • 3.53, Аноним (-), 12:37, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Тоже не понимаю, какого черта столько шума из-за подобной фигни.

    Да просто тут все. Теперь следить за тем, куда пользователь ходит, сможет не провайдер, а владелец централизованного DNS-сервера. Очередную гадость пиарят, потому и шум.

     

  • 1.29, Сейд (ok), 11:37, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Своему провайдеру я доверяю больше, чем Cloudflare.
     
     
  • 2.33, timur.davletshin (ok), 11:48, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это кстати да, под одной из прошлых новостей писал уже. В сугубо юридическом смысле с провайдером, отношения с которым закреплёны в договоре, встретиться в суде будет гораздо проще, чем с американской конторой, которая даже юрлица не имеет в РФ.
     
     
  • 3.41, Аноним (60), 12:20, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Основная задача всё же — следить за внутриамериканским трафиком. Далеко не все DNS-провайдеры так дружат с АНБ, как CloudFlare.
    А возможность отключить всяким отсталым странам DNS в качестве санкций — это так, приятный бонус.
     
  • 3.72, Аноним (72), 13:41, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят? Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
     
     
  • 4.81, Dapredator (ok), 13:53, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.

    Оставь его, он php-шник :-)))

     
  • 4.102, Аноним (60), 14:56, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят?

    "У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.
    В США стремятся загнать под колпак PRISM вообще всех.

    > Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.

    Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?

     
     
  • 5.144, Аноним (90), 18:08, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >"У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.

    Ты правда такой наивный?

    > Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
    >>Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?

    Если ты не понял — это была шутка.

     
  • 2.37, th3m3 (ok), 12:04, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чего ты привязался к CloudFlare? Пропиши другой сервис или даже свой подними.
     
     
  • 3.39, Аноним (60), 12:17, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    О да, поднять свой сервис на локальном роутере и ходить к нему по HTTPS (лучше еще это потом завернуть в OpenVPN, а его в IPSec).

    Тут речь идет о принудительном переводе пользователей на единого DNS-провайдера, сотрудничающего с американскими спецслужбами. Раньше выбор DNS был делом довольно рандомным — кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS. Но теперь 99.99% пользователей FF будут резолвить через сервак господина майора.

    Ждем в следующих релизах удаления возможности отключения DoH и смены сервака.

     
     
  • 4.73, dimqua (ok), 13:42, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS.

    Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором? Про Google и OpenDNS (Cisco) и говорить нечего.

    Вместо 10 сортов говна, теперь только один.

     
     
  • 5.83, OpenEcho (?), 13:57, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Централизованное гoвнo ! :)))
     
     
  • 6.97, dimqua (ok), 14:22, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://codeberg.org/crimeflare/cloudflare-tor
     
     
  • 7.123, OpenEcho (?), 16:29, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > https://codeberg.org/crimeflare/cloudflare-tor

    О, спасибо за линк, а то здесь НамНечегоСкрывать читатели пруфы просили

     
     
  • 8.132, Аноним (60), 17:20, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как таковых пруфов там нет, просто наглядная книжка с картиночками для самых мал... текст свёрнут, показать
     
  • 8.150, Аноним (90), 19:02, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфов там действительно нет Это больше похоже на https www urbandictionary c... текст свёрнут, показать
     
  • 8.235, Аноним (70), 18:12, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что именно этот пруф должен пруфить То, что у некоторых подгорает от ложных с... текст свёрнут, показать
     
  • 5.99, Аноним (60), 14:48, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором?

    Не все, и не с одним и тем же.

     
     
  • 6.110, dimqua (ok), 15:05, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Но если говорить о США, то все с одним.
     
     
  • 7.130, Аноним (60), 17:08, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы всё было бы так просто, вряд ли они бы стали навязывать DoH.
     
     
  • 8.158, dimqua (ok), 19:29, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они ведь не только в США собираются включать его по умолчанию ... текст свёрнут, показать
     
  • 3.229, Сейд (ok), 13:01, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что только её сервер и предлагается в Mozilla Firefox.
    Сейчас у меня прописан локальный DNS-сервер провайдера, расположенный на соседней улице, и не уверен, что когда мой провайдер включит DNS поверх HTTPS, это будет иметь какой-то большой смысл.
     
     
  • 4.257, Сергей (??), 18:12, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно поставить любой
     
     
  • 5.259, Сейд (ok), 22:14, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что, правда? И даже своего провайдера?
     
  • 2.189, Ilya Indigo (ok), 22:42, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Своему провайдеру я доверяю больше, чем Cloudflare.

    Ну и дурак!
    Провайдер по первому требованию ФСБ или прочих гос структур сольёт всё имеющуюся о Вас информацию!
    При этом им, возможно, даже требовать ничего не придётся, так как на оборудовании каждого провайдера стоят чёрные ящики от них.
    А вот от Китая они будут долго и безрезультатно требовать!
    Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете собственнолично послать!

     
     
  • 3.228, Сейд (ok), 12:35, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сам дурак. Я-то хоть не боюсь своих DNS-запросов.

    >Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете

    Это в США никто не отслеживает? Почитай хотя бы про глобальную систему контроля ECHELON, которая сканирует весь Интернет-трафик подряд.

     

  • 1.32, Аноним (32), 11:47, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Cloudflare им хоть платит за это? Потому что когда вставляют юзерам зонды ради прибыли, это хотя бы объяснимо. Но когда это делают добровольно и с радостью - это уже шизо.
     
     
  • 2.38, Аноним (60), 12:11, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Учитывая имеющиеся сведения о тесной связи CloudFlare с NSA, скорее наоборот, CF получает бабло от властей на создание и поддержание единой системы тотального слежения за DNS.
     
     
  • 3.65, Аноним (72), 13:29, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пруфы есть?
     
     
  • 4.84, OpenEcho (?), 14:00, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    зачем ? Brandolini's law всегда работало и будет еще долго работать :(
     
     
  • 5.95, Аноним (90), 14:19, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы тут все совсем поехали...
     
     
  • 6.122, OpenEcho (?), 16:23, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы тут все совсем поехали...

    Че товарищ майор, - не нравится ?
    Или ты из тех, кто верит в добро на халяву и которому "нечего скрывать" ?

    Очень рекомендую тогда:
    https://www.ted.com/talks/glenn_greenwald_why_privacy_matters

     
     
  • 7.147, Аноним (90), 18:39, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что?
     
  • 7.148, Аноним (90), 18:52, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С чего ты взял, что я против приватности? Я против таких трепло, которые говорят, что ни попадя, не имея доказательств.
     
     
  • 8.173, OpenEcho (?), 20:49, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а это Вы тут все совсем поехали к чему тогда было Декодируй плз Или ты ож... текст свёрнут, показать
     

  • 1.34, Онаним (?), 11:57, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров

    Не может. Количество вариантов отключения таково, что оно в таком виде бесполезно - достаточно поставить ответ "родительского контроля", и всё.

     
  • 1.35, Бэтман (?), 11:58, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На фоне dns-over-tls выглядит как понос
     
     
  • 2.58, Аноним (46), 12:46, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С точки зрения бизнеса выглядит как деньги.
    То что буржую хорошо, то поносеру - смерть.
     

  • 1.40, Andrey Mitrofanov_N0 (??), 12:20, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >о завершении тестирования поддержки DNS поверх HTTPS (DoH,
    > DNS over HTTPS)
    >пользователей из США.
    >После охвата США
    >включения DoH
    > и в других странах...

    https://duckduckgo.com/?q=doh+homer+simpson&t=ffnt&ia=images&iax=images

     
  • 1.42, segesg (?), 12:20, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да, да, у них прям девиз "сливайте, ребята, свои ДНС запросы нам! (гуглю и клоуду)"
    А мозилле за это "умолчание", видать, просто заплатили.
     
     
  • 2.59, Аноним (60), 12:46, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее, на заплатили, а наоборот, просто не стали натравливать SJW (которые в америках выполняют примерно ту же функцию, что нашисты-ольгинцы в этой стране).

    Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.

    Нынче это вполне типичный способ общения спецслужб с корпорациями на цивилизованном Западе.

     
     
  • 3.62, Аноним (62), 13:13, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "ущемляет" чернокожих трансгендеров

    И конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.

     
     
  • 4.103, Аноним (60), 14:57, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.

    SJW и доказательства живут в разных вселенных.

     
     
  • 5.152, Аноним (62), 19:03, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, согласен. Но говорят очень трудно (на данном этапе развития) достучатся из одной Вселенной в другую. Но SJW видать могут ;)
    Так же, любые сведения показанные в передачах типа ТОМ2 и Поле дураков, хомячками всасываются без необходимости доказательств. Остальные тоже опасносте, так как ТОМ2 растет до ТОМ3 и далее, а Поле дураков растет в Дураполис повсюду. Спасает только одно, Вселенная расширяется очень быстро (особенно на "краях" ;).
     
  • 3.75, Аноним (70), 13:46, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.

    Не подскажешь, где посмотреть курс акций Мозиллы?

     

  • 1.63, Аноним (70), 13:18, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну чё, всё типа пошифровали, для товарища майора вывалили подробную инструкцию, как это шифрование отключить с минимальным вмешательством в трафик. Молодцы, всё правильно сделали.
     
     
  • 2.74, dimqua (ok), 13:44, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У товарища майора есть SNI.
     
     
  • 3.77, Аноним (70), 13:47, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если в SNI будет только адын-адын-адын-адын, толку от этого мало.
     
     
  • 4.223, Аноним (223), 11:29, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет. SNI отсылается на тот сервер, куда вы хотите зайти. 1111 – это же не VPN, а лишь DNS, с конечными сайтами соединение будет напрямую через TLS+SNI или без TLS вообще, и в обоих вариантах майор может узнать куда вы ходили.
     
  • 3.82, Dapredator (ok), 13:56, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У товарища майора есть SNI.

    А у Mozilla есть ESNI :-)))

     

  • 1.80, TotalAnonimus (?), 13:50, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Судя по коментам - школота , сидящая на хромом , не знает что в лисе можно полностью всё настроить . А не тупо сидеть на умолчальных ознакомительных параметрах . И теперь брызгает слюной от зависти что хромой в отстающих . Все настройки - https://github.com/bagder/TRRprefs Обновляемый список работающих DoHdns - https://github.com/curl/curl/wiki/DNS-over-HTTPS Встроеный определитель ip нужного резольвера в настройках сети .
     
     
  • 2.94, Аноним (86), 14:16, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отключить можно когда знаешь что отключать
     
  • 2.98, dimqua (ok), 14:31, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Почему хром в отстающих?
     
     
  • 3.208, Аноним (198), 00:22, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что там даже интерфейса для настройки прокси нет, либо системный либо через командную строку передавать, хром это прошлый век.
     

  • 1.85, And (??), 14:02, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как фичу выключить?
    Какая настройка?
     
     
  • 2.209, Аноним (198), 00:23, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В конце же написано: network.trr.mode 0
     

  • 1.92, Аноним (86), 14:13, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    При ручном добавлением DNS-over-HTTPS автоматика мне его также отключит?
     
     
  • 2.96, TotalAnonimus (?), 14:21, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отключение срабатывает при network.trr.mode=2 (так включается через интерфейс) . Принудительное включение (network.trr.mode=3) "автоматику" блокирует .
     

  • 1.113, Аноним (113), 15:20, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему настройка своего сервера находиться в какой-то жопе, а не рядом с копкой включения doh?
     
     
  • 2.124, Аноним (62), 16:31, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что нажатие на кнопку включения doh, mozilla получает копеечку, а пользователь продвигается в то место в котором находится "настройка своего сервера". Ну а если пользователь нажмет кнопку настройки своего сервера, то хотя пользователь и явно не получит копеечку (только опосредованно) а mozilla может (и наверняка) эту копеечку не получит.
     
  • 2.143, Аноним (137), 18:06, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    О чем ты? Указание своего сервера находится прямо под галкой включения doh в лисе.
     

  • 1.125, Аноним (125), 16:34, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот у меня стоит pi-hole, и куда его заворачивать чтобы все было секьюрно, чтоб было и шифрование и не читал никто? Я думал клаудфларе хорошие, а они оказывается вон какие...
     
     
  • 2.131, Аноним (60), 17:13, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > чтобы все было секьюрно

    DNSSEC http://www.opennet.ru/openforum/vsluhforumID3/118394.html#120
    Защищает только от подмены, но не от чтения или блокировки.

    > чтоб было и шифрование и не читал никто?

    Взаимоисключающие требования. DNS изначально не предполагает шифрования. Значит, где-то там должен быть endpoint, то есть выход из шифротуннеля, который дальше делает запросы по нешифрованному DNS. И если этот endpoint у дяди, то читать может, как минимум, дядя.

     
  • 2.224, Аноним (223), 11:31, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    См. ссылку в сообщении https://www.opennet.ru/opennews/art.shtml?num=51439#137
     

  • 1.127, Аноним (121), 16:46, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эти защитные меры сокращают количество людей, которые могут видеть историю посещённых вами страниц. Но они полностью не исключают утечки данных.

    После выполнения поиска в DNS для получения IP-адреса по-прежнему необходимо подключиться к веб-серверу по этому адресу. Для этого необходимо отправить запрос. Запрос включает в себя SNI (server name indication) с указанием конкретного сайта на сервере. И этот запрос не шифруется.

    То есть ваш интернет-провайдер по-прежнему способен выяснить, какие сайты вы посещаете, потому что они указаны прямо там, в SNI. Информация открыта и для маршрутизаторов, которые передают первоначальный запрос из вашего браузера на веб-сервер.

    Это значит, что то куда вы ходите теперь известно и провайдеру и CF

     
     
  • 2.128, Аноним (60), 17:04, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Эти защитные меры сокращают количество людей
    > Это значит, что то куда вы ходите теперь известно и провайдеру и CF

    Сами себе противоречите.

     
  • 2.135, vitalif (ok), 17:28, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть Encrypted SNI, постепенно включают
     
     
  • 3.162, dimqua (ok), 19:37, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На серверах Cloudflare?
     
     
  • 4.258, Сергей (??), 18:16, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Повсюду
     

  • 1.134, vitalif (ok), 17:23, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Меня другое интересует - /etc/hosts-то при этом вообще работает?

    ...не работает. Олени

    А, ну хотя при mode=2 вроде работает ... оно при невозможности найти домен по doh видимо отваливается на обычный. Но да, т.е. именно заблокировать что-то через hosts видимо не получится при включенном doh-е...

     
  • 1.146, artenox (?), 18:33, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно пора. DNS запросы отравляют все, кому не лень. С огорчением узнал, что Riseup VPN блокирует сторонние DNS запросы и вообще много чего порезал (скачку с sourceforge, например). Придется подключать DNSCrypt.
     
     
  • 2.155, Аноним (-), 19:14, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    можете подсказать актуальный гайд по настройке dnscrypt на опенврт? Ну и, если не секрет, чьими услугами будете пользоваться в качестве днс ресолвера? Таки клаудфлаер, или опенник? Или сами будете хостить на впс?
     
     
  • 3.179, artenox (?), 21:07, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Насчет openwrt не знаю. На убунте я настраивал так:
    https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation-linux
    https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation-on-Debian-and-Ubu
    sudo nano /etc/resolv.conf (создать с нуля)
    nameserver 127.0.0.1
    sudo chattr +i /etc/resolv.conf (заблокировать файл от изменений)
    sudo chattr -i /etc/resolv.conf (снять блокировку)

    sudo systemctl status|enable|disable|restart|stop dnscrypt-proxy
    sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml (конфиг)

    dnscrypt-proxy использует dnscrypt v2 сервера по протоколу UDP:443 (хотя может и v1 и DNS over HTTPS aka DoH на TCP:443). UDP:443 летает. Поставь свежую версию dnscrypt, выбери быстрые сервера и убедись, что DoH отключен. Мой конфиг dnscrypt-proxy.toml https://pastebin.com/raw/3kJaHDFp (your-server заменить на свой). Если закомментировать server_names, dnscrypt-proxy при запуске сделает тест и покажет какие сервера самые быстрые. В моем случае NL и FR.
    А DoH и DoT не умеют использовать UDP.

     

  • 1.154, Аноним (-), 19:06, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а почему из всех альтернатив был выбран именно DoH? Его же проще всего поделить на ноль еще в момент поднятия подключения
     
     
  • 2.159, Аноним (62), 19:31, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже они серьезно взялись за стюардессу. Наверное скоро закапывать придется. Видать очень не хочется, лакомый поводок может порваться.
    Пока (мне) трудно представить как жить без централизованного DNS, но Будущее наверняка свое возьмет.
     
  • 2.160, dimqua (ok), 19:33, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что его проще реализовать в веб-браузере, скорее всего.
     
  • 2.168, TotalAnonimus (?), 20:15, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    DoH выбран потому - что это , наоборот , самый навороченый вариант . Прочитайте отличия - https://forum.ru-board.com/topic.cgi?forum=5&topic=49013&start=0&limit=1&m=4#1
     
  • 2.176, Аноним (137), 20:57, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты путаешь. Наоборот, DoT проще всего заблочить, потому что отдельный порт использует. Просто блокируешь и всё, убит только он. А DoH использует 443 порт и представляет из себя снаружи обычный https. Заблокировать можно известные doh-сервера (хотя и тут есть проблемы, вероятно к doh-серверу cloudflare можно обратиться на любой айпишник облака cloudflare, с сайтами их сеть так работала), но не приватные сервера, потому что соединение ничем не выделяется среди тонны https.
    Другие минусы DoT: https://dnscrypt.info/faq/
     
     
  • 3.184, Аноним (62), 21:58, 07/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > вероятно к doh-серверу cloudflare можно обратиться на любой айпишник

    Очень вероятно к doh-серверу кого угодно можно обратиться на айпишник который не заблокирован.
    С учетом к примеру SSLH ( https://habr.com/ru/post/412779/ ), или nginx, или прочих программных продуктов данной категории от современных разработчиков, каждый сможет настроить свой сервак с шахматами и поэтессами!
    Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...

     
     
  • 4.231, Xasd (ok), 15:30, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...

    а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?

    при чём делать это -- через тот же самый кусок кода который испольуется в sslh для "разветвления" трафика?

     
     
  • 5.237, Аноним (70), 18:21, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?

    Сам понял, что написал? DoH работает _поверх_ HTTPS. Провайдёру не отличить, что именно там запрашивается.

     

  • 1.174, Аноним (174), 20:55, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это все прикольно, но чего делать с VPN на работу?
     
     
  • 2.210, Аноним (198), 00:27, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отключать DoH
     

  • 1.219, Онаним (?), 03:19, 08/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется как - Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера? Почему в Ростелеком такие упороты и хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?

    Для РТ пользователя который привык к 8.8.8.8 и его 20-30мс задержки, это приведет к 60-80мс.

     
     
  • 2.220, timur.davletshin (ok), 06:53, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это правда, но главный вопрос в том, зачем вообще использовать cf или google, ведь рт не блокирует резолв даже для заблокированных ресурсов.
     
  • 2.222, Аноним (70), 10:20, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера?

    Внутримкадыши должны страдать. У меня между сеткой провайдера и 1.1.1.1 только один хоп (в Амстердаме).

     
  • 2.232, анонн (ok), 16:11, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется
    > как - Москва - Европа - Лондон - Германия - Москва
    > - пинг до твоего роутера? Почему в Ростелеком такие упороты и
    > хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?
    > Москва

    Я понимаю, в это трудно поверить, но вне Центра Мира и Бытия не всегда все только хуже.

    [code]
    ping 8.8.8.8
    PING 8.8.8.8 (8.8.8.8): 56 data bytes
    64 bytes from 8.8.8.8: icmp_seq=0 ttl=57 time=14.605 ms
    64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=15.315 ms
    64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=14.299 ms
    [/code]
    [code]
    ping 1.1.1.1
    PING 1.1.1.1 (1.1.1.1): 56 data bytes
    64 bytes from 1.1.1.1: icmp_seq=0 ttl=58 time=25.349 ms
    64 bytes from 1.1.1.1: icmp_seq=1 ttl=58 time=22.814 ms
    64 bytes from 1.1.1.1: icmp_seq=2 ttl=58 time=26.709 ms
    [/code]
    [code]
    ping speedport.ip
    PING speedport.ip (192.168.1.1): 56 data bytes
    64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=2.324 ms
    64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=4.728 ms
    64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=2.622 ms[/code]

    Поселок городского типа (3500 населения, согласно педивикии), старенькая медь 1960 года прокладки, стандартный тариф 50k (V)DSL.

     
     
  • 3.233, artenox (?), 17:29, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, зачетные пинги. На 3G 200 ms роскошь.
     
  • 3.234, timur.davletshin (ok), 17:46, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня 1.1.1.1 ровно в 2 раза "дальше", чем 8.8.8.8 и так было всегда.
     
  • 3.236, Онаним (?), 18:16, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот и сделай
    traceroute 8.8.8.8
    traceroute 1.1.1.1
     
     
  • 4.238, Аноним (70), 18:24, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Протри очки и узрей ttl.
     
     
  • 5.239, Онаним (?), 21:58, 08/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Протри очки и узрей ttl.

    Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать. Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут. Единственный валидный показатель - время отклика, да и то может из двух разных маршрутов сложиться.

     
     
  • 6.241, Аноним (70), 00:20, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать.

    И часто ты такое видел?

    > Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут.

    И на фига ж ты, спрашивается, traceroute просил?

     
     
  • 7.247, Онаним (?), 08:18, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Cisco ASA по умолчанию TTL не уменьшает, например.
     
  • 7.248, Онаним (?), 08:18, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И на фига ж ты, спрашивается, traceroute просил?

    А, это не я просил, у меня тут двойник по ходу.

     

  • 1.240, TotalAnonimus (?), 21:58, 08/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автору новости стоит добавить про настройку network.trr.mode , что параметры 1 и 4 использовались для тестирования и будут удалены в 69 релизе . Зато уже добавлено 5 - "отключено по выбору" , то есть больше не предлагать использование .
     
     
  • 2.255, мурзилла (?), 10:19, 09/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ага, мы тоже в восторге от этой идеи. Завтра еще ноль начнем считать как 1, а послезавтра вообще перейдем на двузначные коды (все старые, разумеется, будут интерпретироваться как "включено, игнорировать все прочие пользовательские настройки")

    А вы не забывайте отслеживать стопиццотого уровня вложенности обсуждения где-то в недрах мазиласайтов, и вовремя менять цифирки.

     

  • 1.260, Guest007 (?), 11:32, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Encrypted SNI и DoH включил, https://www.cloudflare.com/ssl/encrypted-sni/ показывает все 4 галочки, но террористический ресурс djangopackages.org недоступен всё равно (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 159.203.191.135 Блокировка по ip: Подсеть: 159.203.0.0/16) Пишет, что "server not found"

    А вот экстремистский ресурс https://gitea.io доступен (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 167.99.137.12 Блокировка по ip: Подсеть: 167.99.0.0/16)

    Ну и до кучи - читать по-прежнему запрещено (flibusta.is) - тут уж не просто не найденный сервер, а вся мощь Ростелекома на страже белизны ума (возможно потому что http - по https тоже просто не находит сервера)

    Так что, как я понимаю, пока применимость технологии ограничена.

    Ну и до кучи - это всё по части запроса вот прям из РФ. С включенным европейским VPN всё открывается.
    Что ж, посмотрим, что дальше будет...

     
  • 1.262, Аноним (262), 18:45, 16/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OPENBSD эту фичу вырубило

    https://undeadly.org/cgi?action=article;sid=20190911113856

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру