The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Chrome 78 начнутся эксперименты с включением DNS-over-HTTPS

14.09.2019 20:23

Следом за Mozilla компания Google сообщила о намерении провести эксперимент для проверки развиваемой для браузера Chrome реализации "DNS поверх HTTPS" (DoH, DNS over HTTPS). В выпуске Chrome 78, намеченном на 22 октября, некоторые категории пользователей будут по умолчанию переведены на использование DoH. В эксперименте по включению DoH примут участие только пользователи, в текущих системных настойках которых указаны определённые DNS-провайдеры, признанные совместимыми с DoH.

В белый список DNS-провайдеров включены сервисы Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112), Cleanbrowsing (185.228.168.168, 185.228.169.168) и DNS.SB (185.222.222.222, 185.184.222.222). Если в настойках DNS у пользователя будет указан один из вышеупомянутых DNS-серверов, DoH в Chrome будет активирован по умолчанию. Для тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы всё останется без изменений и для запросов DNS продолжит использоваться системный резолвер.

Важным отличием от внедрения DoH в Firefox, в котором поэтапное включение по умолчанию DoH начнётся уже в конце сентября, является отсутствие привязки к одному сервису DoH. Если в Firefox по умолчанию используется DNS-сервер CloudFlare, то в Chrome будет лишь произведено обновление метода работы с DNS на эквивалентный сервис, без смены DNS-провайдера. Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DoH-сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DoH сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п.

При желании пользователь сможет включить или отключить DoH при помощи настройки "chrome://flags/#dns-over-https". Поддерживается три режима работы "secure", "automatic" и "off". В режиме "secure" хосты определяются только на основе ранее прокешированных безопасных значений (полученных через защищённое соединение) и запросов через DoH, откат на обычный DNS не применяется. В режиме "automatic" если DoH и защищённый кэш недоступны допускается получение данных из небезопасного кэша и обращение через традиционный DNS. В режиме "off" вначале проверяется общий кэш и если данных нет, запрос отправляется через системный DNS. Режим задаётся через настройку kDnsOverHttpsMode , а шаблон сопоставления серверов через kDnsOverHttpsTemplates.

Эксперимент по включению DoH будет проведён на всех поддерживаемых в Chrome платформах, за исключением Linux и iOS из-за нетривиальности разбора настроек резолвера и ограничения доступа к системным настройкам DNS. В случае если после включения DoH возникнут сбои с отправкой запросов на сервер DoH (например, из-за его блокировки, нарушения сетевой связности или выхода из строя), браузер автоматически вернёт системные настройки DNS.

Целью проведения эксперимента является финальная проверка реализации DoH и изучение влияния применения DoH на производительность. Следует отметить, что фактически поддержка DoH была добавлена в кодовую базу Chrome ещё в феврале, но для настройки и включения DoH требовался запуск Chrome со специальным флагом и неочевидным набором опций.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://blog.chromium.org/2019...)
  2. OpenNews: DNS over HTTPS отключен по умолчанию в порте Firefox для OpenBSD
  3. OpenNews: Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox
  4. Обход блокировки трафика провайдером при помощи iptables
  5. OpenNews: В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
  6. Включение DNS-over-HTTPS в Chrome
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51488-dns-over-https
Ключевые слова: dns-over-https, doh, dns, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (103) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 20:59, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Потихоньку догоняют мозиллу, молодцы
     
     
  • 2.4, BlackRot (?), 21:06, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    мозилла стала лучше за последнее время, мне нравится.
    вот бы они на андроид сделали более удобную версию и я бы соскочил с хрома совсем.
     
     
  • 3.56, Аноним (56), 12:56, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >вот бы они на андроид сделали более удобную версию и я бы соскочил с хрома совсем.

    Без шансов. Разве что с нуля все переделывать.

     
  • 3.59, John (??), 14:25, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть же Firefox preview. Там пока много чего нет, но уже шустрее.
     
     
  • 4.83, Albertio (ok), 03:53, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, по сравнению с основной мозиллой сильно шустрее, почти как десктопный стал по скорости. Но вот дополнения! Где они, Билли?
     
  • 2.17, Anonnn (?), 22:22, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо,посмеялся ;)
     
  • 2.29, Аноним (29), 23:40, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Потихоньку догоняют мозиллу, молодцы

    Фрагментируют потоки данных. За такое NSA по головке не погладит. Впрочем, вряд ли они всерьез будут ссориться со старым партнером.

     

  • 1.3, BlackRot (?), 21:04, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    В роутере указал DNS от Cloudflare поскольку он самый быстрый для меня из всех доступных, даже быстрее чем dns серверы от гугл, я уж молчу о серверах провайдера (что странно, обычно днс серверы провайдеры быстро отзываются)
    Всё хорошо на протяжении трёх лет такой работы, единственное что, так это в настройках андроид устройства при подключении к моей вай-фай сети вручную так же указал DNS от Cloudflare поскольку по умолчанию мой Android 9 упорно пытается использовать днс от гугла.
     
     
  • 2.5, Аноним (5), 21:08, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > В роутере указал DNS от Cloudflare
    > Всё хорошо на протяжении трёх лет такой работы

    Как там в 2021 году? CF dns запущен только в апреле 2018.

     
     
  • 3.8, Аноним (-), 21:21, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так. Это анонс тогда был, а реально запустили немного раньше.
     
  • 3.51, BlackRot (?), 12:19, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Виноват. CF dns я начал использовать с прошлого года, до этого использовал dns от гугла. каюсь
     
     
  • 4.57, Ананнимас (?), 14:01, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спалился путешественник во времени, теперь давай выкладывай чего там видел.
     
     
  • 5.64, Аноним (64), 15:07, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    I've seen the future, baby
    it is murder…
     

  • 1.6, Аноним (6), 21:19, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мне вот интересно, они пишут про защиту от MITM "For example, when connected on a public WiFi, DoH would prevent other WiFi users from seeing which websites you visit, as well as prevent potential spoofing or pharming attacks".

    Но в настройках держат "https://dns.google.com/dns-query" и резолвят dns.google.com через обычный DNS. Кто мешает при желании совершить MITM подменить сам dns.google.com или создать условия для fallback-а на обычный DNS?

     
     
  • 2.13, Онаним (?), 21:56, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У DoH есть bootstrap IP который тот самый DNS. Да и расскажи каким образом ты подменишь _сертификат_ dns.google.com?
     
     
  • 3.20, Sw00p aka Jerom (?), 22:54, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Факторизует n
     
  • 3.24, Sw00p aka Jerom (?), 23:00, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А типа тот же айпи проспуфить никак?
     
     
  • 4.25, Xasd (ok), 23:06, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А типа тот же айпи проспуфить никак?

    а затем после этого ещё понадобится "подделать" TLS-сертификат

     
     
  • 5.77, Sw00p aka Jerom (?), 18:28, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а затем после этого ещё понадобится "подделать" TLS-сертификат

    коментом выше "Факторизует n"


     

  • 1.7, Аноним (-), 21:20, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    индусы из империи "добра" косвенно спалились, что занимаются fingerprinting'ом так же и по настроенным у пользователя DNS-серверам. Ну никогда же небыло, и вот опять! Ай-яй-яй.
     
     
  • 2.27, Аноним (29), 23:39, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > по настроенным у пользователя DNS-серверам

    И что не могут нормально фингерпринтить Linux, кстати.

     
     
  • 3.40, Фамилия Имя Отчество (?), 01:14, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Где почитать о этих "косвенно спалились"?
     
  • 3.91, индус (?), 20:00, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    просто лень нам ради ваших 2.6% и еще в каждом васян-дистре по своему.

     

  • 1.9, Аноним (9), 21:23, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть DoH серверы, не привязанные к гуглу, клаудфларе и прочим компаниям, которые оперируют с передаваемыми данными и могут видеть кому что идёт («облака», хостеры, и т.п.)?
     
     
  • 2.11, Аноним (6), 21:40, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers
     
  • 2.36, xm (ok), 00:43, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну у меня, например, свой работает.
    Можете устроить себе в точности такой же.
    https://kostikov.co/%D1%81%D0%B2%D0%BE%D0&#
     
     
  • 3.72, Аноним (72), 17:14, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем шифровать DNS запросы, если у тебя собственный сервер стоит в локальной сети?
     
     
  • 4.74, xm (ok), 18:05, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это другой сервер расположенный за пределами границ высокодуховных стран. Используется при работе за пределами локальной сети поскольку ставить на каждое устройство свой кэширующий DNS с поддержкой DoT чтоб носить его с собой это как-то чересчур, да и не всегда возможно.
     
     
  • 5.81, Аноним (72), 23:59, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Человек спросил про конкретные DoH серверы, а ты ему посоветовал поднять свой. Собственно, мой вопрос к этому относился.
     
     
  • 6.86, xm (ok), 11:44, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Говорю чисто конкретно. Если и использовать DoH, то только на своём сервере.
     

  • 1.10, Аноним (10), 21:30, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Выбери что круче!

    Клаудфлэйр или Роскомнадзор?

     
     
  • 2.14, Аноним (14), 22:14, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.opennet.ru/opennews/art.shtml?num=46944
     
     
  • 3.19, Аноним (10), 22:42, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато РКН не может, а вот клаудфлэир сможет, и еще как...во имя всеобщего блага конечно, но все же
     
     
  • 4.31, Аноним (29), 23:44, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то должен ради всеобщего блага и в Гуантанамо отправиться. И без помощи CF этих добровольцев не найти.
     
     
  • 5.34, annoynymou5 (?), 00:21, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в Гуантанамо отправиться.

    Не, уж лучше на родные Соловки, конечно.
    Пускай уж лучше товарищ майор позаботится, чем эти проклятые буржуины.

     
  • 2.15, Аноним (14), 22:20, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И кстати, Богатов уехал:
    https://tjournal.ru/news/116382-uznik-tor-matematik-bogatov-uehal-v-ssha
     
     
  • 3.33, Аноним (29), 23:48, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Видимо, работодателю всё же надоела удалёнка, и он оплатил релокацию.
     
  • 2.62, macfaq (?), 14:51, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эскобар.
     

  • 1.16, Аноним (16), 22:20, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Не пойму, нафига и в DNS тащить HTTP? Почему не DNS over (D)TLS?
     
     
  • 2.18, Mikk (??), 22:30, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сам об этом в первую очередь задумался. Хипстеры какие-то
     
     
  • 3.22, Sw00p aka Jerom (?), 22:57, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет бы поставить чтобы включали этот режим, а они тупо всем подрубают, по логике - дураков больше.

    пс: мораль одна, не пользуйтесь всякой дичью "популярной"

     
  • 2.21, Аноним (21), 22:57, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно единообразие трафика, блокировать тяжелее. К тому же через http прокси будет работать.
     
     
  • 3.23, Sw00p aka Jerom (?), 22:59, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что такое прокси? Для любого протокола существует понятия прокси и МИТМа
     
     
  • 4.43, Аноним (43), 05:02, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаете сделать в браузере поддержку нового прокси, в настройках добавить параметры настройки для этого прокси, а конечным потребителям ещё и найти правильный прокси-сервер (не говоря уж о том, чтоб научиться всё это настраивать)? Только для резолва доменов? Это при том, что в конторах бывает выход наружу только через http(s)-прокси?

    Может всё же лучше, чтоб везде само работало через уже настроенный прокси?

     
     
  • 5.75, Sw00p aka Jerom (?), 18:25, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Предлагаете сделать в браузере поддержку нового прокси, в настройках добавить параметры
    > настройки для этого прокси, а конечным потребителям ещё и найти правильный
    > прокси-сервер (не говоря уж о том, чтоб научиться всё это настраивать)?

    нет не предлагаю, "К тому же через http прокси будет работать." автор этого комента предлагал.

    > Может всё же лучше, чтоб везде само работало через уже настроенный прокси?

    конечно лучше, когда все работает из коробки.


     
  • 4.44, ilyafedin (ok), 08:16, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он про то, что в обычном случае можно юзать только либо системный DNS, либо DNS от SOCKS-прокси, в случае же, когда в браузер встроен DoH-ресолвер, есть потенциальная возможность и этот трафик направить через HTTP-прокси (которые ничего кроме HTTP(S) и, вроде, FTP, проксировать не умеют).
     
     
  • 5.76, Sw00p aka Jerom (?), 18:26, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Он про то, что в обычном случае можно юзать только либо системный
    > DNS, либо DNS от SOCKS-прокси, в случае же, когда в браузер
    > встроен DoH-ресолвер, есть потенциальная возможность и этот трафик направить через HTTP-прокси
    > (которые ничего кроме HTTP(S) и, вроде, FTP, проксировать не умеют).

    а я имею ввиду, что любой такой протокол можно проксировать и МИТМить


     
     
  • 6.97, ilyafedin (ok), 07:07, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    DoT/DoH митмить вряд ли выйдет
     
  • 2.26, Xasd (ok), 23:10, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не пойму, нафига и в DNS тащить HTTP? Почему не DNS over (D)TLS?

    а чего ты так разволновался?

    оверхед только при запросе первого DNS-адреса.

    а дальше я-надеюсь-хватит-ума-инженерам HTTPS-сессия будет держаться открытой и следущие DNS-запросы (DoH-запросы) будут уже без лишних рукопожатий

     
     
  • 3.32, Аноним (29), 23:47, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сессия должна быть далеко не одна. Современные сайты подтягивают кучу всяких трекеров типа google-analyics и facebook-button. Скорее всего, при подключении к разным сайтам sidecar-сессии не будут шариться, придётся их каждый раз заново открывать.
     
  • 3.35, annoynymou5 (?), 00:26, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а чего ты так разволновался?

    "Чебурашко" же опасносте.

     
  • 3.37, xm (ok), 00:46, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а дальше я-надеюсь-хватит-ума-инженерам HTTPS-сессия будет держаться открытой и следущие
    > DNS-запросы (DoH-запросы) будут уже без лишних рукопожатий

    Ну так HTTP/2 же. Но оверхед там в разы в сравнении с обычным DNS трафиком.

     
  • 2.41, Дон Ягон (ok), 01:25, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что DoT с бОльшей вероятностью будет поддержан обычными DNS-провайдерам... большой текст свёрнут, показать
     
     
  • 3.45, ilyafedin (ok), 08:22, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эксперты опеннета задрали со своими конспирологическими теориями, какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнее, уже вон даже Adguard Home поддерживает функцию DoH-сервера, т.е. поднять свой DoH-сервер может любой домохозяин через удобный интерфейс, не говоря уже о провайдерах...

    При этом, получаем плюс в виде неотличимости DNS-трафика от трафика обычных сайтов, DPI в пролёте.

     
     
  • 4.48, xm (ok), 10:53, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > \какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнее

    Разница существенная. В случае с DoH надо будет "учить" весь клиентский софт, во-первых, собственно, самому DoH (не завязанные на веб приложения типа мессенджеров и т.п. прямо мечтают втянуть HTTP в свой код, ага), в, во-вторых, использовать сервер провайдера.
    В случае с DoT достаточно чтобы локальный ресолвер его умел.

     
     
  • 5.92, Аноним (92), 20:26, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В случае с DoT достаточно чтобы локальный ресолвер его умел.

    А в случае DoH почему не достаточно? Вон dnscrypt 2 поддерживает DoH (а DoT кстати не поддерживает и автор говорит, что протокол хуже и не имеет смысла добавлять). Ставишь в систему и весь днс трафик всего софта зашифрован с помощью DoH.
    Разницы нет. Старые операционные системы не умеют оба, новые могут реализовать оба, отдельные локальные резолверы могут уметь оба. Но зато у DoH есть оптимизирующие плюшки http/2 (и потенциально будущих протоколов) и идентичность https трафику. А у DoT есть только перспективы будущих tls, отдельный порт, который можно заблокировать, и отличие от массового https трафика.

     
     
  • 6.93, xm (ok), 21:16, 17/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что DoH это не про DNS, а про HTTP, и ему не место в DNS ресолвере, а место где-то в районе middleware веб-сервера.
    Единственное (на самом деле мнимое) преимущество DoH это его маскировка под HTTPS. А дальше сплошные минусы, как то фактический отказ от децентрализации DNS (на стороне клиента) и привязка его к одному источнику данных, оверхед как с точки зрения инкапсуляции в текстовый протокол с кратным ростом трафика, так и, собственно, накладные расходы на сопутствующие конверсии, и, самое главное, это то, что таки требуется HTTP как транспорт. По поводу "оптимизирующих плюшек", если вы ознакомитесь со спецификацией DoT, то увидите что там, например, есть тот же TLS session reuse, а прочие вещи из HTTP/2 типа сжатия данных для пакетов DNS вообще не нужны - они в бинарном формате и весьма компактны, в том числе, и за счёт компрессии имён хоста.
    dnscrypt считаю классическим примером оверинжениринга который теперь уже, и слава богу, окончательно пора закопать. Да и живым он, собственно, никогда и не был.
     
     
  • 7.100, Аноним (92), 08:12, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А при чем тут протокол Это к реализации относится Я могу системный DoT направи... большой текст свёрнут, показать
     
  • 5.95, ilyafedin (ok), 06:55, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> \какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнее
    > Разница существенная. В случае с DoH надо будет "учить" весь клиентский софт,
    > во-первых, собственно, самому DoH (не завязанные на веб приложения типа мессенджеров
    > и т.п. прямо мечтают втянуть HTTP в свой код, ага), в,
    > во-вторых, использовать сервер провайдера.
    > В случае с DoT достаточно чтобы локальный ресолвер его умел.

    Мы говорим про провайдеров или кого? Провайдеру должно быть, пофиг, что там у людей на клиентской стороне - хоть огнелис, хоть dnscrypt-proxy.

    Не знаю, зачем ты хочешь кого-то чему-то учить, когда уже есть общесистемные DoH-ресолверы, осталось только DHCP модернизировать для раздачи адресов DoT/DoH-серверов

     
  • 4.52, Аноним (52), 12:22, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > При этом, получаем плюс в виде неотличимости DNS-трафика от трафика обычных сайтов, DPI в пролёте.

    В текущей ситуации или в будущем? Просто  на днях эксперименты ставил с одной железкой. Не совсем умной, но всё же. Мозилка просто отказалась все сайты открывать. Потому что DOH был порезан установкой на железке. Конечно надо обновляемые списки сайтов иметь, но тут даже DPI не очень нужен.

     
     
  • 5.73, dimqua (ok), 17:22, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    РКН вроде уже блокирует:
    http://isitblockedinrussia.ru/?host=mozilla.cloudflare-dns.com
     
     
  • 6.78, Аноним (52), 18:41, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эти умники его по одному ип блокируют что-ли? Решение от 13 года. Дичь какая-то.
     
  • 5.98, ilyafedin (ok), 07:09, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуй порезать DoH гугла без бана самого гугла
     
  • 4.53, Dapredator (ok), 12:22, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Эксперты опеннета задрали со своими

    Оставь его. Ему повсюду мерещится, что мозилла всё сливает то клаудфлеру, то гуглу. Этот толи пхп-шник, толи девопс в упор не хочет читать про десятки других бесплатных dns. Видимо у него так бомбит от того, что роисся-ливер-органы уже очень скоро начнут тyнца лизать, что аж кушать не может. :-)))

     
     
  • 5.60, Аноним (52), 14:28, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы тут про скумбриевых ванхуете с 14 года, а оно всё никак не настает. Только у вас згада-пегемога непрерывная.
     
  • 5.66, Дон Ягон (ok), 16:21, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Те, кто умеют читать про "десятки других бесплатных DNS" и так выберут что-то отличное от гугла/cf. Речь исключительно про то, что дефолты более не нейтральны (в FF, в хромом пока нейтральны).

    Придумать причину, по которой власти любой страны не смогут перебанить запросы в 443 порт этих "других бесплатных DNS" (на самом деле, DoH провайдеров) я не могу.


     
  • 5.88, Аноним (88), 15:22, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что ты выберешь, когда за тебя поставят нужный не спрашивая. Потом напишут что автоматика не в ту сторону сработала
     
  • 3.47, xm (ok), 10:32, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях. Если пипл массово схавает DoH через сервера принадлежащим этим дядям (а Google, как я вижу, других вариантов, в отличие от Mozilla, пока не предлагает), то задача будет решена.
    В любом случае, массово внедрять надо DoT в связке с DNSSEC/DANE.
     
     
  • 4.55, Dapredator (ok), 12:29, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях.

    Мне вот интересно, что должно быть в голове у человека, который УЖЕ использует ГУГЛ браузер, вводит в него все свои урлы, логины, пароли и прочую мнформацию, но не желает использовать гугловый dns, потому, что Гугл может узнать, что же он такого резолвит в Гугл браузере...

    Вам в Кащенко, господа :-)))

     
     
  • 5.68, Дон Ягон (ok), 16:28, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях.
    > Мне вот интересно, что должно быть в голове у человека, который УЖЕ использует ГУГЛ браузер, вводит в него все свои урлы, логины, пароли и прочую мнформацию, но не желает использовать гугловый dns, потому, что Гугл может узнать, что же он такого резолвит в Гугл браузере...

    Мозги?
    Chromium - опенсорсный продукт и внедрять в него очевидные закладки глупо и уничтожительно для репутации. Очевидные закладки не очень умно добавлять и в Chrome - за ним следят достаточно пристально и стоит лишь раз облажаться - будут смеяться и показывать пальцем. Примерно как в этой истории - https://habr.com/ru/post/416219/ (не про гугл).
    Поэтому, для слива данных используется всякий safe browsing и аналогичное. Но люди поумнее выключают это - неуспех. А DoH - это то, что озабоченые приватностью, но не очень грамотные хомячки побегут включать САМИ.

    Очень, кстати, симптоматично, что ты пишешь гугл с заглавной буквы.

    Короче, если есть мозги - используйте DoT, а не DoH.

     
     
  • 6.96, ilyafedin (ok), 07:01, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > Chromium - опенсорсный продукт и внедрять в него очевидные закладки глупо и
    > уничтожительно для репутации. Очевидные закладки не очень умно добавлять и в
    > Chrome - за ним следят достаточно пристально и стоит лишь раз
    > облажаться - будут смеяться и показывать пальцем. Примерно как в этой
    > истории - https://habr.com/ru/post/416219/ (не про гугл).
    > Поэтому, для слива данных используется всякий safe browsing и аналогичное. Но люди
    > поумнее выключают это - неуспех. А DoH - это то, что
    > озабоченые приватностью, но не очень грамотные хомячки побегут включать САМИ.
    > Очень, кстати, симптоматично, что ты пишешь гугл с заглавной буквы.
    > Короче, если есть мозги - используйте DoT, а не DoH.

    Здрасти-приехали
    https://spyware.neocities.org/articles/chrome.html

    Хоть бы загуглил перед тем, как включать Шерлока (неудачно)

     
     
  • 7.101, Дон Ягон (ok), 11:16, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Здрасти-приехали
    > https://spyware.neocities.org/articles/chrome.html
    > Хоть бы загуглил перед тем, как включать Шерлока (неудачно)

    Удачно.

    Срывы покровов, в духе "если вы печатаете в search bar, то все нажатия попадают в гугл" или "если вы пользуетесь хромом и залогинены в гугле, то ай-ай-ай". Всё это выключается, как пресловутый safe browsing.
    Я сейчас ещё страшную тайну открою: если вы используете поисковик от гугла, то они знают ваши поисковые запросы! Да-да - вы не поверите!

    Ну да, проще использовать chromium/iridium/firefox (во всех трёх случаях таже надо будет отключать всякие службы, активно стучащие на тебя или потенциально могущие это делать). А DoH - это то, что будут включать добровольно. В то время, как ума отключать "suggestions" и не логиниться в гугл у тех, кто беспокоится о приватности ума обычно хватает.

     
     
  • 8.102, ilyafedin (ok), 12:08, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Если бы это было так, но это не так, например И не гово... текст свёрнут, показать
     
     
  • 9.103, Дон Ягон (ok), 12:25, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не говорю, что chrome совсем не занимается слежкой, я говорю, что там нет очев... текст свёрнут, показать
     
     
  • 10.104, ilyafedin (ok), 12:34, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, мой парсер не так интерпретировал ... текст свёрнут, показать
     
     
  • 11.105, Дон Ягон (ok), 12:37, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я тоже не определил достаточно хорошо, что такое очевидная закладка , справ... текст свёрнут, показать
     
  • 4.69, Дон Ягон (ok), 16:40, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а Google, как я вижу, других вариантов, в отличие от Mozilla, пока не предлагает

    Мм, вроде же Mozilla предлагает cloudflare по умолчанию, а гугл играет в свободу выбора?

    С прочим всецело согласен. Особенно с:

    > В любом случае, массово внедрять надо DoT в связке с DNSSEC/DANE.

     
     
  • 5.71, xm (ok), 17:07, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вроде же Mozilla предлагает cloudflare по умолчанию, а гугл играет в свободу выбора?

    Mozilla предлагает возможность заменить его на любой другой, а Google, насколько я понимаю, реализовать это столь же простым способом, не предоставляет.

     
     
  • 6.79, Дон Ягон (ok), 21:41, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а Google, насколько я понимаю, реализовать это столь же простым способом, не предоставляет.

    Понял о чём ты. Странно кстати. Но, судя по тексту новости, ты прав. Не знаток хрома, проверять слегка лень.

     
     
  • 7.80, xm (ok), 23:28, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не знаток хрома, проверять слегка лень

    Там, вроде, через какие-то недокументированные ключи можно что-то настроить, но мне тоже впадлу его ковырять. Firefox устраивает более чем, а на мобильниках у нас DoT насроен на свой DNS (там же и личный DoH живёт, кстати, чтоб два раза не вставать).

     
  • 3.58, Ананнимас (?), 14:11, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Плюс в винде и в том же ГНУ-системдос есть свои кеширующие днс сервера. И как правило запрос к днс будет осуществляться лишь раз в период указанный для данной зоны. Что нередко бывает от 12ч до суток. Что ты там наанализируешь с такой частотой запросов?

    А если еще и коробочка с кеширующим днс в качестве домашнего сервера, то количество запросов от остальных устройств стремительно сократиться. Это еще не дошли до hosts и прочих rejik и банерорезалок. А как там будет работать это хипстерское поделие - большой вопрос. Будет ли оно вообще резольвить hosts, как быть с локальными доменами? Сейчас настройка есть, но как только добрый гугл подумает за сирых и убогих и решит все делать автоматом тут-то и начнется интересное.

     
  • 3.63, macfaq (?), 14:53, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ей богу, лучше уж провайдеру эту инфу сливать (лучше, конечно, никому). Провайдер никак не повлияет на персонализацию выдачи поисковиков и на рекламу.

    Смотря где и какой провайдер.
    В США не исключено, что кликстрим сливается и у провайдера.

     
  • 3.67, пох. (?), 16:22, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Провайдер никак не повлияет на персонализацию выдачи поисковиков и на рекламу.

    вообще-то - пытались. Забыл уже как называется та херня. Идея ж блестящая (кстати, https с прекрасным sni от нее не защищает) - раз у нас все равно есть для товарищмайора врезка в твой канал с де-анонимизацией и детальным сливом твоего траффика - чего бы тот же спан не использовать и еще с одной интересной целью - посмотреть роботом сразу же за тобой тот же урл (сайт, если достался только sni) - вдруг там чего интересное для товарищмайора, ну или для продажи рекламодателям, мы не жадные, можем и два раза продать. dns, как ты сам понимаешь, тут был излишен.

    Но с такими провайдерами разговор короткий - увидел следом за собой заход с demdex'овых серверов - досвидос, за те же деньги еще три в очереди стоят с кабелем наперевес.

    А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и не будет.

     
     
  • 4.70, Дон Ягон (ok), 16:43, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > посмотреть роботом сразу же за тобой тот же урл (сайт, если достался только sni) - вдруг там чего интересное для товарищмайора, ну или для продажи рекламодателям, мы не жадные, можем и два раза продать. dns, как ты сам понимаешь, тут был излишен

    Кстати да, спасибо. Я и забыл про такое.

    > досвидос, за те же деньги еще три в очереди стоят с кабелем наперевес.

    Ну да.

    > А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и не будет.

    Хотелось бы, чтобы ты ошибался. Но, в целом, я тут тоже скорее пессимист.

     
  • 4.90, macfaq (?), 19:11, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > же спан не использовать и еще с одной интересной целью -
    > посмотреть роботом сразу же за тобой тот же урл (сайт, если
    > достался только sni) - вдруг там чего интересное для товарищмайора, ну
    > или для продажи рекламодателям, мы не жадные, можем и два раза
    > продать. dns, как ты сам понимаешь, тут был излишен.
    > Но с такими провайдерами разговор короткий - увидел следом за собой заход
    > с demdex'овых серверов - досвидос, за те же деньги еще три
    > в очереди стоят с кабелем наперевес.
    > А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и
    > не будет.

    imarker?

     
  • 3.84, Никтос (?), 11:23, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Майор твоей родной страны может прийти к тебе в гости со своими сослуживцами - поэтому пусть лучше будет майор другой страны.
     
     
  • 4.85, Дон Ягон (ok), 11:38, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Майор твоей родной страны может прийти к тебе в гости со своими сослуживцами - поэтому пусть лучше будет майор другой страны.

    Прийти может. Только слив провайдером одних лишь DNS-запросов очень с малой вероятностью может послужить причиной этого. А что там кому готовы продавать google/cloudflare, у которых знаний о тебе несколько больше - проверять, как мне кажется, не очень интересно.
    Проще говоря, если "майор" - это не пустая паранойя, а чем-то обоснованные опасения, доверять можно только себе. И то, через раз. Но точно не коммерческим компаниям.

     
  • 2.50, Аноним (50), 11:23, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У меня в тестах dot работал раз в 10 медленнее doh.
     
     
  • 3.61, xm (ok), 14:32, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для такого результата что-то должно было быть сделано исключительно неправильно.
     

  • 1.28, Грусть (?), 23:40, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Если в настойках DNS у пользователя будет указан один из вышеупомянутых DNS-серверов...

    А как эта херь узнает, чтó у меня в настройках DNS?

     
     
  • 2.30, Аноним (29), 23:42, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эксперимент по включению DoH будет проведён на всех поддерживаемых в Chrome платформах, за исключением Linux и iOS из-за нетривиальности разбора настроек резолвера и ограничения доступа к системным настройкам DNS.

    Никак. Особенно если стоит локальный кэширующий резолвер типа resolved или undound.

     
     
  • 3.38, xm (ok), 00:47, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никак. Особенно если стоит локальный кэширующий резолвер типа resolved или undound.

    При их наличии, особенно если запросы дальше уходят через DoT, этот велосипед (DoH) и не нужен. Делайте правильный выбор.

     
  • 3.99, ilyafedin (ok), 07:29, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не хочу расстраивать, но
    busctl get-property org.freedesktop.resolve1 /org/freedesktop/resolve1 org.freedesktop.resolve1.Manager DNS
     
  • 2.46, ilyafedin (ok), 08:24, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На виндах и маках через системный API, на линуксах не осилили, как видно из новости.
     

  • 1.39, Аноним (39), 01:00, 15/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > OpenDNS (08.67.222.222,

    правильно: 208.67.222.222

     
  • 1.42, Аноним (42), 02:45, 15/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Следом за Mozilla компания Google сообщила о намерении провести эксперимент для проверки

    ...
    > Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51488

    Cпиcок, пpaвильныx рecoлвepoв пpилaгaeтcя , peгиcтpируйте домены - только на пpaвльныx cepвepах !

     
  • 1.49, Тот_Самый_Анонимус (?), 11:05, 15/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Прелестно. Теперь IE будет основным в корпорацих, которые сами хотят решать какой трафик позволять внутри организации.
     
     
  • 2.54, Аноним (52), 12:23, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Там будет тот же хромой, только под личиной нового еджа. Что в этом такого?
     
  • 2.82, Аноним (82), 01:30, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и пусть страдают.
     
     
  • 3.87, Аноним (87), 12:56, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ахаха. Надо только посмотреть насколько новый едж реактивен и приятен, за исключением нескольких багов. Страдать начинают пользователи других браузеров. Даром что на хромом сделан, но шустрее намного.
     
  • 3.94, Тот_Самый_Анонимус (?), 05:41, 18/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и пусть страдают.

    Страдает кто? Это мамкины админы локалхостов, у которых только свой комп, не понимают что такое локальные или сетевые политики безопасности. А когда надо следить за десятками пользователей, каждый из которых любит понаставить себе непонятных расширений или лазать по непонятным сайтам, тогда понимаешь как важна возможность запрещать что-либо пользователям.

     

  • 1.65, Аноним (65), 15:29, 15/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для России скоро все эти DNS-over-HTTPS будут не актуальны
    Минкомсвязи при поддержке ФСБ поставило операторам, производителям и разработчикам IT-систем задачу по составлению проекта использования закона о «суверенном интернете».
     
     
  • 2.89, Аноним (89), 16:31, 16/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы давай, да?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру