| |
| 2.7, A.Stahl (ok), 11:17, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Я х.з. как это работает, но наверное нужна поддержка этой технологии и со стороны самого DNS-сервера. И эта поддержка, скорее всего, пока ещё есть далеко не везде.
| | |
| |
| 3.44, Тоха Салогвинов (?), 16:17, 28/11/2018 [^] [^^] [^^^] [ответить]
| +10 +/– |
Всё что я увидел в вашем видео по таймкоду это:
>Ты то куда лезешь χ¥€¢Ø¢№₳ из нижнего интернета
>Мы тут все крутые DNS мужыки, а ты просто HTTP-школьник-неудачник поверивший сказочкнику Сноудену бла бла бла
И всё что он сказал про DoH неправда. Я уже пощупал эту штуку в фирефоксе и могу сказать что HTTPS до дефолтого сервера не закрывается через две минуты, а продолжает висеть и висеть. А если бы даже и закрывалось то что? Его-то какое дело? Мало ли реализаций DoH есть и ещё появится? Может я наоборот хочу чтобы закрывалось?
Что ещё он сказал? Ах, да, кажется, что-то про то, что DoH не поддерживает асинхронные ответы - и это тоже не правда. По крайней мере ответы ipv6 и ipv4 могут приходить независимо, об этом даже настройка соответствующая есть...
Короче батхертит он знатно. Я хоть и признаю Калловый-флейр ещё большей червем-корпорацией, чем даже Гугл, но этого слушать этого поехавшего больше не смог...
| | |
| 3.100, Аноним (-), 11:37, 29/11/2018 [^] [^^] [^^^] [ответить] | +3 +/– | Мужик не убедителен Выше уже отметили другие вещи чувствуется, что его бесит, ... большой текст свёрнут, показать | | |
| 3.108, DerRoteBaron (ok), 15:14, 29/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Пожалуй, единственное, в чем он прав, так это в том, что сейчас DOH живёт в браузере, а не в системном резолвере, что может быть хорошо только при использовании доверенного браузера во враждебной ОС. А это само по себе уже плохая идея.
| | |
| |
| 4.115, Аноним (115), 21:25, 29/11/2018 [^] [^^] [^^^] [ответить] | +/– | Да, никто не отрицает, что это не совсем правильно и в идеале надо это делать в ... большой текст свёрнут, показать | | |
|
|
| 2.33, th3m3 (ok), 14:01, 28/11/2018 [^] [^^] [^^^] [ответить]
| –7 +/– |
 Когда ещё только завели эту фичу, у меня ни один сайт не открывался с DoH. Больше не тестил.
| | |
|
| 1.2, Аноним (2), 10:44, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну, теперь будет только один источник цензуры - удостоверяющий центр. Только один, зато на всех. Этож лучше "товарищ майор" - далеко и ему совершенно нет до тебя дела, да? ;)
| | |
| |
| 2.3, Аноним (3), 10:49, 28/11/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
"Когда вы говорите, такое впечатление, что вы бредите" - Шурик.
| | |
| |
| 3.4, Аноним (2), 11:02, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
"Сейчас к людям надо помягше. А на вопросы смотреть ширше."
Друг шурика
| | |
|
| 2.5, товарищ майор (?), 11:12, 28/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
ну чего это "только один"? Сколько надо, столько и будет.
А "удостоверяющий центр" может быть и впрямь один - это ж гугль, если мы правильно попросим - подпишет чего надо. Они вообще с удовольствием с нами сотрудничают. И с "ними" тоже, конечно, но мы в данном случае - не конкурируем, а тоже сотрудничаем.
| | |
| |
| 3.15, Аноним (2), 11:57, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
"Сколько надо, столько и будет."
А в том то и дело, товарищ майор, что "достаточно только одной таблетки".
Так что от такого сотрудничества ожидать можно разве что слияния органов если не сказать совокупления...
| | |
|
|
| |
| 2.9, Аноним (-), 11:25, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
1. Основная часть конфиденциальных днс-запросов это именно браузер. Резолвы клиента стима сильно хочется шифровать?
2. ОСям никто не мешает реализовывать нативную поддержку. Вон, последний андроид уже умеет. Но ждать люди будут 10 лет. Независимо от того, что будет делать мозилла.
3. Что тебе не нравится и что ты хочешь от мозиллы в этом плане?
| | |
| |
| 3.11, Аноним (11), 11:42, 28/11/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вот именно в случае браузера DoH добавляет мало конфиденциальности: имена видны в самих https запросах.
| | |
| |
| 4.13, Аноним (-), 11:50, 28/11/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ты не пробовал подумать на 1 шаг вперёд? Или хотя бы логику включить?
Смотри, на данный момент (условно) мы имеем два слива: DNS и SNI. И ты тут такой говоришь, что какой смысл фиксить x, если остался y. Или какой смысл фиксить y, если остался x. Это смешно, лол. Внедрять надо оба, в любом порядке. И именно это делается. ESNI уже тоже есть и работает.
Более того, зырнуть в открытый днс попросту технически легче, чем в сертификат сервера (в TLS 1.2, в 1.3 он уже шифрован) или нешифрованный SNI. Так что даже если бы ESNI ещё не был готов к стандартизации, шифрование dns уже лучше чем ничего.
| | |
| |
| 5.21, нах (?), 12:41, 28/11/2018 [^] [^^] [^^^] [ответить] | +1 +/– | иксперды опеннета такие иксперды sni отправляет имя твоего порноресурса откры... большой текст свёрнут, показать | | |
| |
| 6.35, dimqua (ok), 14:14, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.
А по-твоему, других провайдеров кроме Cloudflare не существует?
| | |
| |
| 7.47, нах (?), 16:48, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
для типового опеннетчика - нет, не существует. Для сильно продвинутого - ну да, еще же и гугль ;-)
Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища, а не случайному мимокрокодилу (которому меньше всего, пожалуй, интересны имена сайтов)?
У тех кого на самом деле волнуют такие вещи-то, давно, полагаю, настроен криптотуннель подальше от товарищмайоров, без всяких модных openрешет, встроенных в браузер. Но вот они-то могут теперь лохануться, забыв отключить стопиццотую "очень полезную фичу", ага.
Вот выпилить sni - задача куда посложнее, в современных браузерах она решения, imho, не имеет (поскольку они давно разучились модальным диалогам, и им просто негде будет переспрашивать подтверждения)
| | |
| |
| 8.61, dimqua (ok), 18:20, 28/11/2018 [^] [^^] [^^^] [ответить] | +/– | А разве эти люди не сливают её сейчас все тем же Google и Cloudflare Так хоть б... текст свёрнут, показать | | |
| |
| 9.69, пох (?), 20:06, 28/11/2018 [^] [^^] [^^^] [ответить] | –1 +/– | ну, очевидно же, не в полном объеме - особенно cloudflare, которая на этом рынке... большой текст свёрнут, показать | | |
|
|
|
| |
| 7.49, нах (?), 16:54, 28/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
твой esni - это точно такой же оверинжиниренный ненужно-мусор, как и doh.
sni ненужен. Ни e, ни обычный.
Нужно выводить предупреждение каждый раз, как в ответ вместо сертификата запрошенного сервера вылезло мурло клаудфлари.
но современные мартышки, др...щие на модные фишки, во-первых, на такие сложные изменения неспособны, во-вторых все равно не поймут.
| | |
| |
| |
| 9.58, Аноним (58), 18:06, 28/11/2018 [^] [^^] [^^^] [ответить] | +/– | Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего ор... текст свёрнут, показать | | |
| |
| 10.105, пох (?), 14:52, 29/11/2018 [^] [^^] [^^^] [ответить] | +/– | а я не хожу по таким сайтам А на сайте, где ssl - ради удовлетворения гуглоша... текст свёрнут, показать | | |
|
| 9.72, пох (?), 20:12, 28/11/2018 [^] [^^] [^^^] [ответить] | –1 +/– | да На каждый сайт, где шифрование - по делу, а не в попытках удовлетворить гугл... большой текст свёрнут, показать | | |
| |
| |
| 11.119, пох (?), 19:14, 30/11/2018 [^] [^^] [^^^] [ответить] | +/– | так cloudflare же ж - сессия останется зашифрованной просто пользователь буд... текст свёрнут, показать | | |
|
| |
| 11.94, пох (?), 07:04, 29/11/2018 [^] [^^] [^^^] [ответить] | +/– | естественно именно - и превратить твою секьюрить в тыкву может уже не только clo... большой текст свёрнут, показать | | |
|
| 10.92, OldFart (?), 01:27, 29/11/2018 [^] [^^] [^^^] [ответить] | +/– | SSL шифрование в тыкву не превращется если конечно сисадин не подсадил в браузе... большой текст свёрнут, показать | | |
| |
| 11.120, пох (?), 19:32, 30/11/2018 [^] [^^] [^^^] [ответить] | +/– | банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wild... большой текст свёрнут, показать | | |
| |
| |
| 13.123, пох (?), 22:19, 30/11/2018 [^] [^^] [^^^] [ответить] | +/– | что неправильного в сертификате mycompany com и тем более www mycompany com a... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 6.38, Аноним (38), 15:22, 28/11/2018 [^] [^^] [^^^] [ответить] | +3 +/– | Васян-то может, и для него разницы нет, вайршарк открыть или что-то другое А во... большой текст свёрнут, показать | | |
| |
| 7.62, dimqua (ok), 18:23, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> deep packet inspection. И это не так просто для больших провайдеров
А у них что есть выбор?
| | |
|
|
| 5.39, Аноним (11), 15:48, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И ты тут такой
Ты читаешь что-то между строк и споришь с голосами в голове.
Я написал только, что написал.
Возможно, стоило добавить слово "Сейчас".
Сейчас, на рандомом сайте нет esni.
Насколько, с учётом этого, конфиденциальнее становится сёрфинг c doh-ом?
| | |
|
| |
| 5.27, Аноним (27), 13:39, 28/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Да, имя домена до SNI не шифровалось в HTTPS и шло в хендшейке SSL.
Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
но нет гарантий, что она включена и работает.
| | |
| |
| 6.48, commiethebeastie (ok), 16:51, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Да, имя домена до SNI не шифровалось в HTTPS и шло в
> хендшейке SSL.
> Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
> но нет гарантий, что она включена и работает.
Да, опасно по tumblr лазить.
| | |
| 6.56, OldFart (?), 17:53, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
"Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,"
Really???
Да не один шэринг хостинг без SNI не работает уже лет эдак 10...
Без SNI для SSL нужен отдельный ИП на каждый сертификат, а с SNI хоть сколь хошь на одном ИП и сразными сертификатами
| | |
| 6.85, Ключевский (?), 22:54, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> SNI сейчас расширение и это скорее новинка и прикольная штук
Как там в 2005 году? SNI в IE с 2006, в Firefox с 2006, в Chrome с 2009(то есть с его бет).
Вылезай из криокамеры. SNI — стандарт, без него ты бы так и жил с 1 httpsным сайтом на 1 IPшнике.
| | |
| |
| 7.96, Аноним (115), 10:03, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Он просто путает термины. Замени в его посте SNI на ESNI и всё будет верно.
| | |
|
|
|
|
|
|
| 1.10, Аноним (6), 11:30, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Основная часть конфиденциальных днс-запросов это именно браузер
Это еще зачем ?
| | |
| 1.20, Аноним (20), 12:41, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит...
...держать на карандаше пользователя браузера.
> По умолчанию используется DNS-сервер CloudFlare
Так вот чьи уши из-за кулис торчат.
> DoH может оказаться полезным для организации утечки сведений о запрашиваемых именах хостов через DoH-серверы провайдеров, обеспечения возможности MITM-атак и подмены DoH-трафика правильными организациями, организации блокировок на уровне DoH или для организации работы так, как это нужно владельцу DoH-сервера в случае невозможности прямого обращения к DNS-серверам
Можете не благодарить.
| | |
| |
| 2.30, Аноним84701 (ok), 13:44, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >> По умолчанию используется DNS-сервер CloudFlare
> Так вот чьи уши из-за кулис торчат.
Видимо, у гугла пока ушей на всех не хватает:
https://github.com/systemd/systemd/blob/master/meson_options.txt
> description : 'space-separated list of default DNS servers',
> value : '8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844')
[...]
> option('ntp-servers', type : 'string',
> description : 'space-separated list of default NTP servers',
> value : 'time1.google.com time2.google.com time3.google.com time4.google.com')
> | | |
| 2.31, Pahanivo (ok), 13:44, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Я так понимаю, что в данном случае, для использования липового сертификата спецслужбам не надо даже на канал врезаться - достаточно просто переписать А запись на "своем" ДНС?
| | |
| |
| 3.43, Аноним (43), 16:11, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
А что в первый раз по указке спецслужб dns-ответы подменяются? Блокировка рутрекера вас ничему не научила?
| | |
|
|
| 1.22, Тот_Самый_Анонимус (?), 12:49, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно, а есть браузеры для корпоративного использования? Чтобы можно было запретить установку расширений и махинаций с ДНС? Очень полезная была бы штука.
| | |
| |
| 2.24, A.Stahl (ok), 13:05, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
IE. Там нельзя устанавливать расширения. Корпоративней некуда...
| | |
| |
| 3.51, нах (?), 17:12, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> IE. Там нельзя устанавливать расширения.
вы прослушали очередную порцию потока сознания типичного опеннетчика, не ведающего ничего за пределами родной бубунточки.
В IE вполне устанавливаются расширения. Но апи не на жабкоскрипте, поэтому число их было крайне ограничено даже в благословенные времена седьмой версии - не только лишь каждый васян может освоить C++ .
| | |
|
| 2.54, Аноним (54), 17:43, 28/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Любой опенсорсный броузер, в исходниках которого ты можешь выстричь возможность установки расширений, прибить гвоздями свой корпоративный DNS-сервер и свой корпоративный прокси, прописать один-единственный корневой сертификат своей организации, без возможности добавления новых, а заодно прописать URL веб-интерфейса корпоративной ERP/CRM как стартовый URL, убрав адресную строку и запретив открытие URL'ов "about:".
Дерзай.
| | |
|
| |
| 2.52, нах (?), 17:13, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
да они нормальную технологию придумали - только, в очередной раз, под видом заботы о несчастных лохах их собираются снова подоить.
| | |
| |
| 3.104, Аноним (104), 13:30, 29/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я не могу понять тех нытиков, которым что-то не нравится в tls соединении до днс-резолвера. Что вы ноете? В чем суть ваших претензий? Что сервер собирает стату ваших запросов? Ну, так и обычные, абсолютно все текущие локальные провы могут и делают это. Так же как подменяют ответ, и сливает трафика на сорм. Что вам не нравится? Хотя подменять днс ответы не будут, хотя бы пров не сможет вести стату. Хотя бы такая польза.
| | |
| |
| 4.106, Sw00p akaJerom (?), 14:54, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>>Я не могу понять тех нытиков
вы походу ничего не понимаете
>>Что вам не нравится?
выше в коменте написал, хер и палец разные вещи, разницу не ощущаете?
| | |
| |
| 5.116, ДДДДД (?), 07:44, 30/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
А какая технология нормальная? Децентрализованная? Технология ручной правки hosts?
Мир отрыт для новых технологий. Предлагайте.
| | |
| |
| 6.117, Sw00p aka Jerom (?), 12:21, 30/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>>Мир отрыт для новых технологий. Предлагайте.
Если мир погряз в прошлом, будущее на этом не построишь. Обращаюсь к "старикам", направляйте "новичков" (привет Иванову :)) (будущее поколение), чтобы они создавали кардинально новые технологии, а не "скрещивали старье". Мир меняется, меняются требования, изучайте минусы/плюсы "прошлых" технологий, создавайте кардинально "новое" (новые идеи). При всем этом "скрещивании" вы думаете человек развивается? На сей день стандартный "новичек" даже не способен придумать банальный текстовый протокол.
пс: Удачи.
| | |
|
|
|
|
|
| 1.59, 0309 (?), 18:09, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Парни я действительно не пойму зачем всё это. Центр обработки данных у клод фларе есть в москве. Я так понимаю что это всеравно что в контакте чтото шифровать. А может я что непойму?
| | |
| |
| 2.64, OldFart (?), 18:45, 28/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
DoH = Spying mechanism
Последователи Цукерберга следующие его правилу "We moving fast, we breaking things..." будут очень рады новому инструменту для слежки, так же как и лохи не понимающие простой вещи: не сломалось, - не чини, но дело не в этом, главное здесь контроль толпы
Верующих в добро от 8.8.8.8 и 1.1.1.1 больше, так что велком в коллективное стадо...
Спасибо гугловским инсайдерам в мозиле, которые технично и стабильно убивают лису
Пока что можно запретить все исходящие запросы к DNS и кормить своим ДНС-ом (который кормится только с рут серверов) локалку, но вот запрещать 443 порт не получится так просто, так как Гугля очень хочет что бы все было через HTTPS и рано или поздно они нагнут интернет (ибо certificate transparency всех SSL сертификатов у них хоститься) и блокировать rolling IPs of DoH будет не так просто. Каждый браузер бегает на OSCP проверить сертификаты, поэтому установить зависимость кто куда ходит очень легко. Короче, благодаря любителям всего нового - все в загон или дышим свободой пока network.trr.mode=0 можно использовать...
| | |
| |
| 3.74, Crazy Alex (ok), 20:21, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Если это твой браузер - настрой его чтобы ходил по DNS или по DoH на твой сервер. Если не твой - не лезь, всё просто.
| | |
| |
| 4.81, OldFart (?), 21:26, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да разговор то не о технарях, которые могут что то настроить чтоб не быть под колпаком, а о массовости трэкинга и когда DoH не будет вызывать много шума, то станет главным резолвером, а если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод...
| | |
| |
| 5.83, пох (?), 21:51, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
не переживай так за банки- в хромом не просто так отломали нафиг pkp. Менять в нем нам ничего не надо, нам гугль уже все поменял - любой https траффик у нас дешифруется на файрволле, если родина скажет - то и подменить можем.
ну, придется подождать пару часов апдейта от вендора, если вдруг еще фича не предусмотрена штатными средствами той же PA7xxx
гугель же - он понятливый. хочешь в банку - соблюдай правила. Это мурзила выпендривается - ни системные настройки прокси не подбирает, ни системные же сертификаты ей, видите ли, не подходят (с линуксом, кстати, проще - там как раз прежне-мазильную помойку сделали общесистемной), и pkp кое-где все еще срабатывает, насколько я вижу.
| | |
| 5.118, J.L. (?), 17:46, 30/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод
а зачем вы собрались что-то менять в ПО и на машине которые вам не принадлежат?
вы в инстаграмчик ходите с рабочей машинки?
| | |
| |
| 6.122, OldFart (?), 20:41, 30/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод
> а зачем вы собрались что-то менять в ПО и на машине которые
> вам не принадлежат?
С чего вы это взяли, что я что то собираюсь менять не на моих машинах?
Я говорю о повальном использовании шпионищим Хромом DevOp-ами, привязки к нему
> вы в инстаграмчик ходите с рабочей машинки?
Я на истаграмчик вооообще не хожу....
| | |
|
|
|
| 3.86, Sw00p aka Jerom (?), 22:55, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>>Короче, благодаря любителям всего нового - все в загон или дышим свободой
ага и все приложения скоро по одному порту бегать будут (подразумеваю это tcp 443)
| | |
|
|
| 1.63, OldFart (?), 18:41, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Welcome в мир коллектевизма под управлением несущих "добро" 1.1.1.1 & 8.8.8.8
| | |
| |
| 2.87, Sw00p aka Jerom (?), 22:57, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
интернет коммунизм, знаем к чему это все привело, всех в колхозы, ни один крестьянин не получил земли!
| | |
|
| 1.67, Юзер (??), 19:55, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Объясняю зачем корпорации и спецслужбы вводят DNS-через-HTTPS:
1. Блокировка торрентов.
После ввода DoH можно заблокировать UDP, и торренты перестанут работать, наконец сбудутся голубые мечты копирастов и корпорастов.
2. Блокировка p2p.
Также при полном переходе на TCP можно будет избавиться от зарождающихся p2p-сетей, ведь через TCP на порядок сложнее "дырявить" NAT'ы, чем через UDP.
3. Цензура доменов.
Так как протокол HTTPS потребует сертификаты подписанные головным удостоверяющим центром, то корпорации опять-таки смогут контролировать DNS-запросы и блокировать неугодные домены.
| | |
| |
| 2.73, Crazy Alex (ok), 20:19, 28/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
...именно поэтому Гугл (и прочие "злые корпорации") проталкивают udp-based HTTP/3...
| | |
| 2.84, Аноним (115), 22:15, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
У тебя каша в голове, лол. DNS на UDP и 53 порте никак не мешает резать текущие торренты и p2p UDP, ведь они не маскируются под DNS и легко отличимы.
А гугловский QUIC на UDP, который всех захватит, просто разбивает весь твой бред. С ним наоборот UDP зацветёт полнейшей жизнью, забыв о болях предыдущих десятилетий, когда его дискриминировали и резали.
| | |
| |
| 3.95, Аноним (95), 07:13, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Зацветёт, ага — прям как IPv6 зацвёл. Будет fallback на TCP для 60% популяции.
| | |
| |
| 4.102, Аноним (115), 12:04, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Цифру из башки взял? 80% популяции это последний хром, там будет HTTP/2-over-QUIC и прочее новьё и никаких фолбеков из-за юзера. Да и лиса тоже будет поддерживать. Не недооценивай реактивность веба.
| | |
|
|
| 2.89, Ключевский (?), 22:59, 28/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Смешались в кучу кони-люди.
Где DoH работающий только в браузере и где UDP? Ты вообще понимаешь о чем пишешь?
Как они связаны, убогий?
| | |
|
| |
| 2.88, Ключевский (?), 22:57, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ставишь себе dnscrypt-proxy, говоришь ему ходить к серверам OpenNIC'а и серверам поддерживающим DoH. Он умеет. И обращаешься у себя локально к нему.
| | |
|
| |
| 2.82, тов.майор (?), 21:43, 28/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
жмите, жмите, я разрешаю.
список васяну-известных-серверов мне вполне нравится, я понимаю, что есть масса васянов, осиливших запустить неведомый им код на го и ноджс, чтобы иметь возможность и самим приобщиться, так сказать, к нашей "и опасна и трудна", и поинтересоваться, кто и каких интересных вещей качает. А тут рассказывают про снифферы, злых провайдеров, проклятый сорм - вот же ж как все просто - взял и создал никому неведомый васян, простите, он тут Димон, не путайте с не-димоном, репу на гитхапе, и выложил список, он-то точно на стороне добра, нет-нет, что вы, что вы, ему в голову не приходит включить лог запросов в своем "toy server".
| | |
|
| 1.93, Анонизмус (?), 01:44, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Мне однозначно интересно, как у них 3-way handshake в TCP оказался быстрее request-response схемы UDP. Умолчу об ещё одном этапе обмена сертификатами в HTTPS.
При rtt до 50мс (привет, Starlink/SpaceX) всё будет красиво, не спорю, на практике же, особенно при высоких rtt всё очень печально.
| | |
| |
| 2.97, Аноним (115), 10:20, 29/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Всё просто. TCP и TLS хендшейки делаются один раз при запуске браузера. А потом соединение живёт часами и работает. И там обязательный HTTP/2, кстати, по задумке и реализации. По HTTP/1.1 они даже не планировали вообще. Т.е. корректное название DoH это DNS over HTTP/2. Соответственно все плюшки его имеет.
Плюс у TLS 1.3 1 rtt при первом соединении, и 0 rtt при возобновлении. https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Вот тебе и скорость на плохих каналах, где старый UDP DNS может и потеряться, а tls бегает стабильнее (сам много лет назад заметил, что http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).
| | |
| |
| 3.99, Анонизмус (?), 10:40, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо, теперь стало понятней в теории. На практике, разрабатывая один проект, пришлось использовать DoH, но сервер-резолвер был в США - полминуты тупняка на резолв мне показалось многовато. Но это с отдельного устройства, который локальный UDP-DNS преобразовывал в DoH. Если с клиентских устройств использовать в браузерах, то должно быть нормально.
| | |
| 3.101, Аноним (101), 11:45, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).
Это пока, как в Китае, не ввели белые списки. И остается красивый шифрованный HTTPS (и не только он, конечно) на самом дне приоритетов, да еще и искусственно шейпится.
| | |
|
|
| |
| |
| 3.109, Аноним (-), 15:44, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну там приводится оценка +/-, но нет категоричных выводов.
Так какие же сертификаты будут использоваться при шифровании?
Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
| | |
| |
| 4.111, Аноним (115), 18:23, 29/11/2018 [^] [^^] [^^^] [ответить] | +/– | Если вчитаться в них и поверить что это исчерпывающая правда , то там получаютс... большой текст свёрнут, показать | | |
| |
| 5.112, Аноним (-), 20:26, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> блокируется из-за отдельного порта, очень сложно, но всё равно недодуманно и
> вообще ужасно), а DoH вполне себе хорош.
>> Так какие же сертификаты будут использоваться при шифровании?
> X.509.
>> Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
> Тебе незачем. Но у других людей выбор стоит между установкой левой проги
> и смены настроек ос на неё, и включением в лисе. Второе
> проще.
> А ты можешь в своём же днскрипте (если v2) использовать этот самый
> DoH и DoH-сервера, а не только днскрипт-протокол.
Да так и есть. У меня в конфиге разные сервера, в т.ч. и DoH
Левая не левая, а ФФ тот еще гарант чистоты ))
| | |
|
|
|
|
| 1.110, Аноним (110), 16:05, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?
| | |
| |
| 2.113, Аноним (-), 20:27, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу
> "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то
> ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?
А обычный пользователь шарахнется от этого функционала, причем большинство из ЭТИХ на Хроме
| | |
| 2.114, Аноним (-), 20:51, 29/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Captive portals были предусмотрены ещё задолго до.
Обычные же пользователи об этой настройке даже не подозревают, а по-умолчанию она выключена...
| | |
|
|
