1.1, Аноним (1), 09:08, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https. Инцидент с сертификатами их ничему не научил. Требую настройки, которая бы отключала автоматическое отключение dns-over-https.
| |
|
2.17, AnonPlus (?), 10:23, 07/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Обломишься, там CloudFlare, у них-то мониторинг протухания сертификатов настроен отлично.
| |
2.60, Аноним (60), 12:50, 07/09/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https.
Вы так боитесь, что спецслужбы не смогут читать лог ваших запросов? Простите, вы эксгибиционист?
| |
|
3.87, And (??), 14:05, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере. Как сейчас уже с серыми сертефикатами сделали.
Ну и так же всё закроют.
| |
|
4.100, Аноним (60), 14:50, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере.
И правильно, нефиг из-под радара уходить.
| |
4.252, dkdk (?), 09:57, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Никто не запретит "обычные механизмы" кроме тебя.
Кстати, если поставить 2 (тобишь dohб если не але то днс), то doh тупо отключается в локальной сети. Нафига так сделали? Ну не прокатил один запрос по doh, делаешь по днс и все. Обычно там пару адресов локальных в кэше надо держать и все.
ну и nsi все еще не шифруется. /0 Хотя я днс от адгуард поставил, может он не умеет.
проверка
https://www.cloudflare.com/ssl/encrypted-sni/
| |
|
|
2.242, Аноним (242), 08:03, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Требую настройки, которая бы отключала автоматическое отключение dns-over-https.
...Проблема решена добавлением в настройки пункта "DoH always" (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом...
читать статьи иногда все же надо не наискосок.
| |
|
1.2, ыы (?), 09:10, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
то есть иметь собственный DNS-сервер теперь не по фэншую?
| |
|
|
3.44, Аноним (60), 12:25, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А через что он резолвить будет, через АНБ^W CloudFlare, или через "небезопасный" DNS?
Прямо загадка о двух стульях.
| |
|
4.64, dimqua (ok), 13:28, 07/09/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
>через "небезопасный" DNS
А через что резолвит сервер Cloudflare?
В любом случае, нет смысла держать свой сервер, чтобы перенаправлять запросы в АНБ, поэтому ответ думаю очевиден.
| |
|
5.243, Коньвпальто (?), 08:06, 09/09/2019 [^] [^^] [^^^] [ответить]
| –5 +/– |
АНБ спецслужба иностранного государства, не замеченная в намеренном сливе на болванках на Митинском рынке. Потому мне данных им не жаль, пусть хоть уперехватываются, Пинкертоны хреновы. Лишь бы нашим не попало и у жуликов не оказалось, намеренно или нечаянно.
| |
|
6.244, Коньвпальто (?), 08:12, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Я думаю так мыслит процентов 95, использующих подобные технологии. Просто элементарно заворачивая через какой-нибудь привокси часть траффика в Тор, дабы трекеры и подрезая рекламку у реально толкового админа должно поддерживаться от того, что он светит днс запросами. Просто обязано подергиваться, иначе так себе он админ.
| |
|
|
|
|
2.8, Zenitur (ok), 09:56, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
А ещё - трудности при использовании сайтов в локальных сетях городов
| |
|
3.21, Аноним (21), 10:52, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
А такие ещё остались?
Все известные мне сети, будучи раньше с упором на локал, теперь открывают прямой доступ в интернет
| |
|
|
3.47, Аноним (60), 12:28, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну мозилловцы до этого явно не сами дошли, а их попросили. Пойти воооон к тому дяде, который с кем надо сотрудничает.
| |
|
|
|
2.27, timur.davletshin (ok), 11:19, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
DoH ущербен от самого рождения. Если и привязываться к Cloudflare, то только по DNS-over-TLS. Особенно с учётом того, что его поддержка уже есть в системном резолвере systemd.
| |
|
3.46, Аноним (46), 12:27, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
В нём много чего есть. Вопрос в том насколько часто оно работает - это раз. Как на системный ресолвер может повлиять мозилла из браузера - это два.
| |
|
4.49, Аноним (60), 12:30, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Мозилла, естественно, будет игнорировать системные резолверы, потому что они могут использовать DNS-серверы, не одобренные NSA.
Firefox — браузер для честных людей, а им скрывать нечего.
| |
|
|
|
5.78, dimqua (ok), 13:48, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.
| |
|
6.181, Аноним (70), 21:33, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.
dnsmasq там из коробки, если ты не в курсе.
| |
|
|
|
3.137, Аноним (137), 17:35, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вообще-то ущербен dns-over-tls. И останется ущербным, потому что светит ему только апдейт до следующей версии tls. А dns-over-https уже лучше, и способен становиться лучше апдейтами http и tls.
См. сравнение протоколов: https://dnscrypt.info/faq/
И никто не мешает использовать dns-over-https не в браузере, а на системном уровне или роутере для всего (а в лисе отключить). Поддержка есть в dnscrypt и наверняка не только в нем.
Обоснуйте свою позицию.
| |
|
4.139, timur.davletshin (ok), 17:53, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Т.к. DoT более оптимален в плане размера и скорости установки соединения (особенно с TLS 1.3 и TCP fast open), да оно и не удивительно, его же IETF разрабатывало.
| |
4.156, Криптоаноним (?), 19:20, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Весёлое сравнение. Например, для DNS-over-TLS в недостатках указано "Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world", "Allows insecure algorithms and parameters", "Readily compatible with industry-standard TLS interception/monitoring devices. Having people install additional root certificates is easier than custom software. Vendors are always ready to passively extract information from TLS 1.3 sessions" и т. д. Хотят сказать, к DNS-over-HTTPS это не относится?
| |
|
5.161, timur.davletshin (ok), 19:35, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
С точки зрения безопасности они на одном уровне. За исключением момента со sni. У DoH плюс в том, что его можно использовать из обозревателя, но меньше шанс его внедрения на уровне сетевого железа.
| |
5.256, rshadow (ok), 13:43, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Наверно они хотят сказать что за это ответственны не они, а потому этот вариант предпочтительней =)
| |
|
4.254, dkdk (?), 10:08, 09/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
А то что появляется дополнительный отпечаток клиента вас не смущает? Он постоянный или сессионный?
| |
|
|
|
|
2.48, Аноним (46), 12:30, 07/09/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Зачем с ней бороться? В обществе потребления надо её потреблять.
Ну или поставь себе парентал контроль, из-за него мозилла выключит DoH. Да здравствуют бессысленные для пользователей действия опаченные госдепом.
| |
|
3.249, госдеп (?), 09:44, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
мы такой херни не оплачивали, мы еще за стену не рассчитались
это, вон, к гуглю.
| |
|
2.115, cocacola (?), 15:47, 07/09/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
сейчас везде стоит либо pi-hole либо фильтр на openwrt (забыл как называется).
есть еще diversion для роутеров asus. не прошло и 20 лет, сейчас начали что-то подозревать. что их рекламные домены и трекеры уже давно не резолвятся. вот и бесятся. все просто. в роутерах zyxel вообще из коробки сразу можно поставить фильтр от adguard dns даже ничего не надо настраивать.
как же хорошо что там отбитые наглухо сидят, просто берем и блочим их DoH резолвер по его домену, точнее доменам я так понял их там несколько. вот и все.
немного побесятся и успокоятся, так что расслабтесь!
| |
2.133, DerRoteBaron (ok), 17:21, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если вы боретесь с рекламой через DNS (что криво by design), думаю, выключить в тоpмозилле DoH сможете.
| |
|
1.11, Mikevmk (?), 10:08, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Локальный unbound с DNS-over-SSL тоже хорошая опция. Год полет нормальный
server:
access-control: 127.0.0.0/8 allow
cache-max-ttl: 14400
cache-min-ttl: 900
hide-identity: yes
hide-version: yes
interface: 127.0.0.1
minimal-responses: yes
prefetch: yes
qname-minimisation: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1
forward-zone:
name: "."
forward-addr: 8.8.8.8@853
forward-addr: 1.1.1.1@853
| |
|
2.61, Аноним (61), 13:07, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
qname-minimisation: yes - у меня с этой настройкой что то упорно некоторые домены не резолвились.
Потом ты же все свои похождения сливаешь в гугль/анб, в отличии от наших долбоящеров они умеют аналитику.
| |
2.68, Аноним (70), 13:32, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Локальный unbound с DNS-over-SSL тоже хорошая опция.
Почему «тоже»?
| |
2.69, dimqua (ok), 13:34, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> forward-addr: 8.8.8.8@853
> forward-addr: 1.1.1.1@853
Товарищ майор одобряет.
| |
2.71, OpenEcho (?), 13:38, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Т.е. доверие к двум крупнейшим data ворам значительно выше чем локальнму провайдеру? И они конечо-же святые и не могут подгладывать/изменять DNS ?
| |
|
|
4.108, Аноним (60), 15:03, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Пруф — молчание канарейки, то есть отсутствие доказательств того, что CF и Google НЕ сотрудничают с АНБ.
| |
|
5.119, Аноним (90), 16:07, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ты даже не знаешь, что такое свидетельство канарейки. Это не отсутствие доказательств, а беспричинное оповещение о том, что ордеров на слежку нет.
| |
|
6.129, Аноним (60), 17:06, 07/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> беспричинное оповещение о том, что ордеров на слежку нет.
Когда канарейка кукарекает — это уже не молчание.
Свидетельство канарейки by design не предполагает сотрудничества со стороны канарейки.
| |
|
|
4.118, OpenEcho (?), 16:03, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>двум крупнейшим data ворам
> Пруфы где, балабол?
Ты правда сам не можешь набрать в поисковике "privacy policy" для гугла и cf ??? Читай только полностью и все и очень внимательно...
Жалко мне тебя...
| |
|
5.142, Аноним (90), 18:05, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Они собирают всё согласно их политикам приватности, на которые пользователи соглашаются. Я попросил пруфы воровства данных. Это не одно и то же.
| |
|
6.167, OpenEcho (?), 20:11, 07/09/2019 [^] [^^] [^^^] [ответить] | +1 +/– | И много возможностей у пользователя отказаться от их полиси, только для того что... большой текст свёрнут, показать | |
|
7.175, Аноним (90), 20:56, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
>Для того чтобы правильно осмыслить их полиси, нужнo реально профессиональное юридическое образование.
А GDPR для кого сделали?
| |
|
|
|
|
|
|
|
|
15.211, Аноним (90), 00:29, 08/09/2019 [^] [^^] [^^^] [ответить] | +/– | Любая компания, имеющая филиалы серверы в ЕС обязана следовать GDPR в этих регио... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
7.180, Аноним (90), 21:14, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
>И много возможностей у пользователя отказаться от их полиси
Тут всё просто. Не соглашаешься — не пользуешься. А альтернатив гуглу и их сервисам предостаточно.
| |
|
|
|
|
|
|
13.205, Аноним (90), 00:16, 08/09/2019 [^] [^^] [^^^] [ответить] | +/– | Вот это неправда и в этом всё отличие Я не настолько параноик, я даже не програ... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
6.171, Аноним (171), 20:30, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Видеохостинг YouTube, которым владеет Google, был оштрафован на сумму в $170 млн за незаконный сбор данных о несовершеннолетних. Сообщается, что это крупнейший штраф в истории американского регулятора, наложенный за нарушение закона о защите конфиденциальности детей в интернете.
Обтекай.
| |
|
7.177, Аноним (90), 21:01, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Тут ты ни ссылки не дал, ни чего ещё. Здесь не ясно, совершалось ли это нарочно. Обычно штрафы за сбор данных о несовершеннолетних дают, если у тебя в EULA не указано возрастное ограничение в 13 лет. Такие ошибки совершаются довольно часто — это неудивительно.
| |
|
8.226, Аноним (226), 12:03, 08/09/2019 [^] [^^] [^^^] [ответить] | +/– | Бедненький, как с такими навыками ты умудряешься ещё на опеннет постить Простую... большой текст свёрнут, показать | |
|
|
|
|
|
3.170, Аноним (-), 20:29, 07/09/2019 [^] [^^] [^^^] [ответить] | +/– | Да Кто ближе - тот представляет большую опасность априори Даже если дальние со... большой текст свёрнут, показать | |
|
4.172, Аноним (171), 20:35, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ещё один дурачок. Они в бигдата умеют в отличии от наших. И подсовывание нужных ссылок и управление мнением(см. больше такого как Трамп не допустим)только начало. Следующий шаг это цена за любой товар и услугу согласно твоей платежеспособности. У Пети соседа-безработного за покупку кружки выставят счет 10 рублей, а тебе умнику 500 рублей.
| |
|
3.250, пох. (?), 09:46, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
конечно - тут-то кровавая гебня, а там-то честнейшие ребята, делающие правой рукой.
| |
|
|
3.91, xm (ok), 14:09, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Угу. Раз уж поднял свой кэширующий DNS то смысл в форвардинге чёрти куда?
| |
|
|
|
|
7.203, Аноним (149), 00:08, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
>Или имелось в виду ISP sniffing?
Да, для определённости будем считать этот вектор наиболее серьезным.
>Так это уже другая опеpа, прямая дорога на 853 port, RFC7858, RFC8310.
Так корневые серверы это умеют?
Если нет, то остается только пользоваться тем, что есть.
| |
|
|
5.157, xm (ok), 19:22, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> убери forwarding
да
> возьми свежий лист корневых DNS
скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список root серверов. разве что очень хочется...
> DLV ключ
нет. он давно deprecated.
| |
|
6.178, OpenEcho (?), 21:01, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> возьми свежий лист корневых DNS
> скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список
> root серверов. разве что очень хочется...
вообще-то IPs у корневых DNS меняются, не часто, но случается, именно потому есть опция:
root-hints: "/etc/unbound/roots.cache"
>> DLV ключ
> нет. он давно deprecated.
Opps moment...
| |
|
7.188, xm (ok), 22:33, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> именно потому есть опция
Ну на это я и намекнул, собственно.
| |
|
|
5.163, Аноним (163), 19:51, 07/09/2019 [^] [^^] [^^^] [ответить] | +/– | Только пусть не забудет в течении 3 дней подключиться к РКН и скачать актуальный... большой текст свёрнут, показать | |
|
6.185, OpenEcho (?), 21:59, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Только пусть не забудет в течении 3 дней подключиться к РКН и
> скачать актуальный списочек забаненых. И реализовать все запреты, конечно:
Т.е. вcе юзеры новой лисы, даже не зная, что там включили DoH - теперь криминалы ?
Сдается мне, что в background-e идет война за юзеров или влияния на них:)
| |
|
7.191, Аноним (163), 23:00, 07/09/2019 [^] [^^] [^^^] [ответить] | +/– | Нет Формулировка хитрее - никто не запрещает конечному пользователю использоват... большой текст свёрнут, показать | |
7.227, Онаним (?), 12:26, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не важно какой днс и как вы к нему обращаетесь, блокировка сайтов не только по доменам но и по IP в первую очередь. Смена DNS это же не VPN честное слово.
| |
|
|
|
|
|
2.89, xm (ok), 14:08, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Во-первых, over-TLS, а, во-вторых, не "тоже", а только.
| |
|
1.12, Hellraiser (??), 10:12, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).
огласите владельца(/владельцев) "распределённой инфраструктуры резолверов DNS в DoH", пожалуйста
| |
|
2.16, AnonPlus (?), 10:22, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
"Вместо распределённой инфраструктуры резолверов DNS, <как в традиционном DNS>, в DoH использовона"
так понятнее?
Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.
| |
|
3.43, Аноним (60), 12:23, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.
Зато сделать kill switch, чтобы DNS резко помер у определенной группы людей, в традиционном DNS сложнее.
Не говоря уже о банальном слежении за трафиком. Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.
| |
|
4.88, Аноним (86), 14:05, 07/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Товарищ майор куда смотрите, тут одним предложением раскрыли всю затею ради чего его разрабатывали
| |
4.138, Аноним (137), 17:48, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.
В DOH теперь вырезают лишние заголовки http. Юзерагент уже вырезали, емнип.
| |
|
3.79, Hellraiser (??), 13:49, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
то, что традиционная инфраструктура ДНС является распределённой - это понятно и известно;
интригует фраза про "централизованные DoH-сервера DNS" - централизация предполагает узкий круг владельцев; кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?
| |
|
4.111, Аноним (60), 15:09, 07/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?
Написано же — NSA
> По умолчанию используется DNS-сервер CloudFlare
| |
|
|
|
|
2.22, th3m3 (ok), 11:00, 07/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
А нет - облом. Вообще ничего не открывается, все адреса пробовал. Впрочем, как только они запилил эту опцию, уже тогда пробовал. Было тоже самое.
| |
|
|
|
5.93, TotalAnonimus (?), 14:15, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool) и вставить в параметр network.trr.bootstrapAddress
| |
|
6.105, th3m3 (ok), 14:59, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool)
> и вставить в параметр network.trr.bootstrapAddress
Так кажется, наконец - заработало. Спс!
| |
|
7.116, th3m3 (ok), 15:49, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нет. Не заработало. После перезапуска браузера всё работало, но то ли изменения ещё не применились, то ли кеш какой. Но через некоторое время, все страницы перестали открываться. Ладно, фиг с ним с этим DoH. Не буду больше пробовать.
| |
|
|
5.225, Аноним (28), 11:56, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ой, извиняюсь, я в режиме 2 использую, но большинство сайтов работают через DOH
| |
|
4.76, OpenEcho (?), 13:47, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IP
DNSы именно поэтому указываются по IP, а не по имени :)
| |
|
5.106, th3m3 (ok), 15:01, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IP
> DNSы именно поэтому указываются по IP, а не по имени :)
Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что неполная.
| |
|
6.126, OpenEcho (?), 16:36, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что
> неполная.
К великому сожалению, в настоящем мире нельзя верить - никому, даже документации и справочникам (недавно сожгли кучу микросхем, только из-за того что в официальной спецификации перепутали ножки как выяснилось)
| |
|
|
|
|
|
1.19, AnonPlus (?), 10:33, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
>> Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.
Смысл очевиден, если чуток подумать. В выдуманном мире, в котором живёт автор новости, есть только два сценария: либо трафик ходит свободно, либо пользователя атакует тот, кто ставит целью любым способом не дать ему использовать DoH.
В реальности же, большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH. Точно так же, как в России провайдеру глубоко плевать, что Вася читает заблокированный сайт Навального через VPN, провайдер блокирует так, чтобы проверяющее оборудование Роскомнадзора было удовлетворено, и не более. Бороться с Васей провайдеру совершенно не упёрлось, ему плевать вообще, чего там Вася читает.
| |
|
2.51, Аноним (60), 12:35, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Когда всех юзеров Firefox отправят в уютный загончик CloudFlare, это будет уже не полтора процента анонимусов, а целая толпа людей, которые даже не подозревают, что мозилла сдала их американским спецслужбам.
Так что в кои-то веки от РКН может случайно наступить и польза, если они своих американских коллег побанят.
Пусть люди сами выбирают себе DNS-провайдера — так хоть некоторые из них не под колпаком окажутся.
| |
|
3.251, товарищ майор (?), 09:53, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
ну нет, не так общо - пусть _определенные_ люди, уполномоченные специальным образом, выберут вам dns-провайдеров - где-то это будет ns....простите, cloudgoogle, где-то наше родное и скрепное.
А то ж вам дай - вы такого понавыбираете, что потом сами же наперегонки побежите ко мне,чтоб я вас защитил от интернета.
| |
|
2.52, Аноним (52), 12:35, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Один из основных принципов информационной безопасности - предсказуемость. Защита или есть, или её нет, половинчатые решения только создают иллюзию защищённости. У мозиллы возникает ситуация, когда сейчас защита есть, а через 5 минут она может исчезнуть, и даже индикатора не предусмотрено для контроля.
| |
|
3.57, Аноним (60), 12:41, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Отправка вашего DNS-трафика конторе, сотрудничающей со спецслужбами — это защита?
Ну да, защита, только не для вас, а для государства.
| |
|
|
5.109, Аноним (60), 15:05, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ксенопатриотично, я бы сказал (вряд ли аноним выше является гражданином США).
| |
|
|
|
2.196, Аноним (70), 23:18, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH.
Теперь анонимусов станет (подставить недопродолбанную долю FF на рынке браузеров) и провайдер задумается, а не стоит ли ему как-то с этим бороться? А бороться-то просто: всего лишь добавить одну запись в свой DNS, и — voila — все снова ходят через него. Жопу рвать не надо.
| |
|
|
2.23, Дмитрий П. (?), 11:02, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Сертификат на IP сделать можно. Но в этом случае удостоверяющий центр обязан удостовериться, что ты являешься владельцем IP, как и в случае с доменом.
| |
2.54, Аноним (46), 12:37, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ох сколько нам открытий чудных готовит просвещенья век.
https://1.1.1.1
Сертификаты на ip-адрес недоступны только быдлу.
ПС. Сертификаты работать с интернет протоколом (IP) вообще не умеют.
Сертификат и протокол обмена данными это сущности разного порядка.
| |
|
1.24, timur.davletshin (ok), 11:15, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
Долбанулись на отличненько. Вместо распределённого и в политическом и в техническом смысле DNS получим каличную привязку к Cloudflare.
| |
|
2.30, конь в пальто (?), 11:42, 07/09/2019 [^] [^^] [^^^] [ответить]
| +9 +/– |
а ради этого и затевалось.
стада мамкиных анонимусов - всего лишь пушечное мясо на поле боя корпораций и государств.
| |
|
3.56, Аноним (46), 12:39, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Главное, что они продолжат распростанять не рефлексируя.
Поэтому эта музыка будет вечной.
| |
|
2.45, user90 (?), 12:26, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Тоже не понимаю, какого черта столько шума из-за подобной фигни.
Тем более, мне откровенно плевать на 99% инициатив Мозиллы, а будут как-то мешать - сменю браузер.
| |
|
3.53, Аноним (-), 12:37, 07/09/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
>Тоже не понимаю, какого черта столько шума из-за подобной фигни.
Да просто тут все. Теперь следить за тем, куда пользователь ходит, сможет не провайдер, а владелец централизованного DNS-сервера. Очередную гадость пиарят, потому и шум.
| |
|
|
|
2.33, timur.davletshin (ok), 11:48, 07/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это кстати да, под одной из прошлых новостей писал уже. В сугубо юридическом смысле с провайдером, отношения с которым закреплёны в договоре, встретиться в суде будет гораздо проще, чем с американской конторой, которая даже юрлица не имеет в РФ.
| |
|
3.41, Аноним (60), 12:20, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Основная задача всё же — следить за внутриамериканским трафиком. Далеко не все DNS-провайдеры так дружат с АНБ, как CloudFlare.
А возможность отключить всяким отсталым странам DNS в качестве санкций — это так, приятный бонус.
| |
3.72, Аноним (72), 13:41, 07/09/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят? Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
| |
|
4.81, Dapredator (ok), 13:53, 07/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
Оставь его, он php-шник :-)))
| |
4.102, Аноним (60), 14:56, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят?
"У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.
В США стремятся загнать под колпак PRISM вообще всех.
> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?
| |
|
5.144, Аноним (90), 18:08, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>"У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.
Ты правда такой наивный?
> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
>>Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?
Если ты не понял — это была шутка.
| |
|
|
|
2.37, th3m3 (ok), 12:04, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Чего ты привязался к CloudFlare? Пропиши другой сервис или даже свой подними.
| |
|
3.39, Аноним (60), 12:17, 07/09/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
О да, поднять свой сервис на локальном роутере и ходить к нему по HTTPS (лучше еще это потом завернуть в OpenVPN, а его в IPSec).
Тут речь идет о принудительном переводе пользователей на единого DNS-провайдера, сотрудничающего с американскими спецслужбами. Раньше выбор DNS был делом довольно рандомным — кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS. Но теперь 99.99% пользователей FF будут резолвить через сервак господина майора.
Ждем в следующих релизах удаления возможности отключения DoH и смены сервака.
| |
|
4.73, dimqua (ok), 13:42, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS.
Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором? Про Google и OpenDNS (Cisco) и говорить нечего.
Вместо 10 сортов говна, теперь только один.
| |
|
|
|
|
8.235, Аноним (70), 18:12, 08/09/2019 [^] [^^] [^^^] [ответить] | –1 +/– | А что именно этот пруф должен пруфить То, что у некоторых подгорает от ложных с... текст свёрнут, показать | |
|
|
|
5.99, Аноним (60), 14:48, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором?
Не все, и не с одним и тем же.
| |
|
|
7.130, Аноним (60), 17:08, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Если бы всё было бы так просто, вряд ли они бы стали навязывать DoH.
| |
|
|
|
|
3.229, Сейд (ok), 13:01, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Потому что только её сервер и предлагается в Mozilla Firefox.
Сейчас у меня прописан локальный DNS-сервер провайдера, расположенный на соседней улице, и не уверен, что когда мой провайдер включит DNS поверх HTTPS, это будет иметь какой-то большой смысл.
| |
|
2.189, Ilya Indigo (ok), 22:42, 07/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Своему провайдеру я доверяю больше, чем Cloudflare.
Ну и дурак!
Провайдер по первому требованию ФСБ или прочих гос структур сольёт всё имеющуюся о Вас информацию!
При этом им, возможно, даже требовать ничего не придётся, так как на оборудовании каждого провайдера стоят чёрные ящики от них.
А вот от Китая они будут долго и безрезультатно требовать!
Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете собственнолично послать!
| |
|
3.228, Сейд (ok), 12:35, 08/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Сам дурак. Я-то хоть не боюсь своих DNS-запросов.
>Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете
Это в США никто не отслеживает? Почитай хотя бы про глобальную систему контроля ECHELON, которая сканирует весь Интернет-трафик подряд.
| |
|
|
1.32, Аноним (32), 11:47, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Cloudflare им хоть платит за это? Потому что когда вставляют юзерам зонды ради прибыли, это хотя бы объяснимо. Но когда это делают добровольно и с радостью - это уже шизо.
| |
|
2.38, Аноним (60), 12:11, 07/09/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Учитывая имеющиеся сведения о тесной связи CloudFlare с NSA, скорее наоборот, CF получает бабло от властей на создание и поддержание единой системы тотального слежения за DNS.
| |
|
|
|
|
|
7.148, Аноним (90), 18:52, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
С чего ты взял, что я против приватности? Я против таких трепло, которые говорят, что ни попадя, не имея доказательств.
| |
|
|
|
|
|
|
1.34, Онаним (?), 11:57, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров
Не может. Количество вариантов отключения таково, что оно в таком виде бесполезно - достаточно поставить ответ "родительского контроля", и всё.
| |
|
2.58, Аноним (46), 12:46, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
С точки зрения бизнеса выглядит как деньги.
То что буржую хорошо, то поносеру - смерть.
| |
|
1.42, segesg (?), 12:20, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Да, да, у них прям девиз "сливайте, ребята, свои ДНС запросы нам! (гуглю и клоуду)"
А мозилле за это "умолчание", видать, просто заплатили.
| |
|
2.59, Аноним (60), 12:46, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Скорее, на заплатили, а наоборот, просто не стали натравливать SJW (которые в америках выполняют примерно ту же функцию, что нашисты-ольгинцы в этой стране).
Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.
Нынче это вполне типичный способ общения спецслужб с корпорациями на цивилизованном Западе.
| |
|
3.62, Аноним (62), 13:13, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> "ущемляет" чернокожих трансгендеров
И конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.
| |
|
4.103, Аноним (60), 14:57, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.
SJW и доказательства живут в разных вселенных.
| |
|
5.152, Аноним (62), 19:03, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да, согласен. Но говорят очень трудно (на данном этапе развития) достучатся из одной Вселенной в другую. Но SJW видать могут ;)
Так же, любые сведения показанные в передачах типа ТОМ2 и Поле дураков, хомячками всасываются без необходимости доказательств. Остальные тоже опасносте, так как ТОМ2 растет до ТОМ3 и далее, а Поле дураков растет в Дураполис повсюду. Спасает только одно, Вселенная расширяется очень быстро (особенно на "краях" ;).
| |
|
|
3.75, Аноним (70), 13:46, 07/09/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.
Не подскажешь, где посмотреть курс акций Мозиллы?
| |
|
|
1.63, Аноним (70), 13:18, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну чё, всё типа пошифровали, для товарища майора вывалили подробную инструкцию, как это шифрование отключить с минимальным вмешательством в трафик. Молодцы, всё правильно сделали.
| |
|
|
3.77, Аноним (70), 13:47, 07/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если в SNI будет только адын-адын-адын-адын, толку от этого мало.
| |
|
4.223, Аноним (223), 11:29, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не будет. SNI отсылается на тот сервер, куда вы хотите зайти. 1111 – это же не VPN, а лишь DNS, с конечными сайтами соединение будет напрямую через TLS+SNI или без TLS вообще, и в обоих вариантах майор может узнать куда вы ходили.
| |
|
|
|
|
|
3.208, Аноним (198), 00:22, 08/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что там даже интерфейса для настройки прокси нет, либо системный либо через командную строку передавать, хром это прошлый век.
| |
|
|
1.92, Аноним (86), 14:13, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
При ручном добавлением DNS-over-HTTPS автоматика мне его также отключит?
| |
|
2.96, TotalAnonimus (?), 14:21, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Отключение срабатывает при network.trr.mode=2 (так включается через интерфейс) . Принудительное включение (network.trr.mode=3) "автоматику" блокирует .
| |
|
1.113, Аноним (113), 15:20, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему настройка своего сервера находиться в какой-то жопе, а не рядом с копкой включения doh?
| |
|
2.124, Аноним (62), 16:31, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Потому, что нажатие на кнопку включения doh, mozilla получает копеечку, а пользователь продвигается в то место в котором находится "настройка своего сервера". Ну а если пользователь нажмет кнопку настройки своего сервера, то хотя пользователь и явно не получит копеечку (только опосредованно) а mozilla может (и наверняка) эту копеечку не получит.
| |
2.143, Аноним (137), 18:06, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
О чем ты? Указание своего сервера находится прямо под галкой включения doh в лисе.
| |
|
1.125, Аноним (125), 16:34, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вот у меня стоит pi-hole, и куда его заворачивать чтобы все было секьюрно, чтоб было и шифрование и не читал никто? Я думал клаудфларе хорошие, а они оказывается вон какие...
| |
|
2.131, Аноним (60), 17:13, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> чтобы все было секьюрно
DNSSEC https://www.opennet.ru/openforum/vsluhforumID3/118394.html#120
Защищает только от подмены, но не от чтения или блокировки.
> чтоб было и шифрование и не читал никто?
Взаимоисключающие требования. DNS изначально не предполагает шифрования. Значит, где-то там должен быть endpoint, то есть выход из шифротуннеля, который дальше делает запросы по нешифрованному DNS. И если этот endpoint у дяди, то читать может, как минимум, дядя.
| |
|
1.127, Аноним (121), 16:46, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Эти защитные меры сокращают количество людей, которые могут видеть историю посещённых вами страниц. Но они полностью не исключают утечки данных.
После выполнения поиска в DNS для получения IP-адреса по-прежнему необходимо подключиться к веб-серверу по этому адресу. Для этого необходимо отправить запрос. Запрос включает в себя SNI (server name indication) с указанием конкретного сайта на сервере. И этот запрос не шифруется.
То есть ваш интернет-провайдер по-прежнему способен выяснить, какие сайты вы посещаете, потому что они указаны прямо там, в SNI. Информация открыта и для маршрутизаторов, которые передают первоначальный запрос из вашего браузера на веб-сервер.
Это значит, что то куда вы ходите теперь известно и провайдеру и CF
| |
|
2.128, Аноним (60), 17:04, 07/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Эти защитные меры сокращают количество людей
> Это значит, что то куда вы ходите теперь известно и провайдеру и CF
Сами себе противоречите.
| |
|
1.134, vitalif (ok), 17:23, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Меня другое интересует - /etc/hosts-то при этом вообще работает?
...не работает. Олени
А, ну хотя при mode=2 вроде работает ... оно при невозможности найти домен по doh видимо отваливается на обычный. Но да, т.е. именно заблокировать что-то через hosts видимо не получится при включенном doh-е...
| |
1.146, artenox (?), 18:33, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Давно пора. DNS запросы отравляют все, кому не лень. С огорчением узнал, что Riseup VPN блокирует сторонние DNS запросы и вообще много чего порезал (скачку с sourceforge, например). Придется подключать DNSCrypt.
| |
|
2.155, Аноним (-), 19:14, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
можете подсказать актуальный гайд по настройке dnscrypt на опенврт? Ну и, если не секрет, чьими услугами будете пользоваться в качестве днс ресолвера? Таки клаудфлаер, или опенник? Или сами будете хостить на впс?
| |
|
3.179, artenox (?), 21:07, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Насчет openwrt не знаю. На убунте я настраивал так:
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation-linux
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation-on-Debian-and-Ubu
sudo nano /etc/resolv.conf (создать с нуля)
nameserver 127.0.0.1
sudo chattr +i /etc/resolv.conf (заблокировать файл от изменений)
sudo chattr -i /etc/resolv.conf (снять блокировку)
sudo systemctl status|enable|disable|restart|stop dnscrypt-proxy
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml (конфиг)
dnscrypt-proxy использует dnscrypt v2 сервера по протоколу UDP:443 (хотя может и v1 и DNS over HTTPS aka DoH на TCP:443). UDP:443 летает. Поставь свежую версию dnscrypt, выбери быстрые сервера и убедись, что DoH отключен. Мой конфиг dnscrypt-proxy.toml https://pastebin.com/raw/3kJaHDFp (your-server заменить на свой). Если закомментировать server_names, dnscrypt-proxy при запуске сделает тест и покажет какие сервера самые быстрые. В моем случае NL и FR.
А DoH и DoT не умеют использовать UDP.
| |
|
|
1.154, Аноним (-), 19:06, 07/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а почему из всех альтернатив был выбран именно DoH? Его же проще всего поделить на ноль еще в момент поднятия подключения
| |
|
2.159, Аноним (62), 19:31, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Похоже они серьезно взялись за стюардессу. Наверное скоро закапывать придется. Видать очень не хочется, лакомый поводок может порваться.
Пока (мне) трудно представить как жить без централизованного DNS, но Будущее наверняка свое возьмет.
| |
2.176, Аноним (137), 20:57, 07/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты путаешь. Наоборот, DoT проще всего заблочить, потому что отдельный порт использует. Просто блокируешь и всё, убит только он. А DoH использует 443 порт и представляет из себя снаружи обычный https. Заблокировать можно известные doh-сервера (хотя и тут есть проблемы, вероятно к doh-серверу cloudflare можно обратиться на любой айпишник облака cloudflare, с сайтами их сеть так работала), но не приватные сервера, потому что соединение ничем не выделяется среди тонны https.
Другие минусы DoT: https://dnscrypt.info/faq/
| |
|
3.184, Аноним (62), 21:58, 07/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> вероятно к doh-серверу cloudflare можно обратиться на любой айпишник
Очень вероятно к doh-серверу кого угодно можно обратиться на айпишник который не заблокирован.
С учетом к примеру SSLH ( https://habr.com/ru/post/412779/ ), или nginx, или прочих программных продуктов данной категории от современных разработчиков, каждый сможет настроить свой сервак с шахматами и поэтессами!
Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...
| |
|
4.231, Xasd (ok), 15:30, 08/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...
а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?
при чём делать это -- через тот же самый кусок кода который испольуется в sslh для "разветвления" трафика?
| |
|
5.237, Аноним (70), 18:21, 08/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?
Сам понял, что написал? DoH работает _поверх_ HTTPS. Провайдёру не отличить, что именно там запрашивается.
| |
|
|
|
|
1.219, Онаним (?), 03:19, 08/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется как - Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера? Почему в Ростелеком такие упороты и хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?
Для РТ пользователя который привык к 8.8.8.8 и его 20-30мс задержки, это приведет к 60-80мс.
| |
|
2.220, timur.davletshin (ok), 06:53, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Это правда, но главный вопрос в том, зачем вообще использовать cf или google, ведь рт не блокирует резолв даже для заблокированных ресурсов.
| |
2.222, Аноним (70), 10:20, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера?
Внутримкадыши должны страдать. У меня между сеткой провайдера и 1.1.1.1 только один хоп (в Амстердаме).
| |
2.232, анонн (ok), 16:11, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется
> как - Москва - Европа - Лондон - Германия - Москва
> - пинг до твоего роутера? Почему в Ростелеком такие упороты и
> хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?
> Москва
Я понимаю, в это трудно поверить, но вне Центра Мира и Бытия не всегда все только хуже.
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=57 time=14.605 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=15.315 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=14.299 ms
ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=58 time=25.349 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=58 time=22.814 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=58 time=26.709 ms
ping speedport.ip
PING speedport.ip (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=2.324 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=4.728 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=2.622 ms
Поселок городского типа (3500 населения, согласно педивикии), старенькая медь 1960 года прокладки, стандартный тариф 50k (V)DSL.
| |
|
|
|
5.239, Онаним (?), 21:58, 08/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Протри очки и узрей ttl.
Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать. Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут. Единственный валидный показатель - время отклика, да и то может из двух разных маршрутов сложиться.
| |
|
6.241, Аноним (70), 00:20, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать.
И часто ты такое видел?
> Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут.
И на фига ж ты, спрашивается, traceroute просил?
| |
|
7.248, Онаним (?), 08:18, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> И на фига ж ты, спрашивается, traceroute просил?
А, это не я просил, у меня тут двойник по ходу.
| |
|
|
|
|
|
|
1.240, TotalAnonimus (?), 21:58, 08/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Автору новости стоит добавить про настройку network.trr.mode , что параметры 1 и 4 использовались для тестирования и будут удалены в 69 релизе . Зато уже добавлено 5 - "отключено по выбору" , то есть больше не предлагать использование .
| |
|
2.255, мурзилла (?), 10:19, 09/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
ага, мы тоже в восторге от этой идеи. Завтра еще ноль начнем считать как 1, а послезавтра вообще перейдем на двузначные коды (все старые, разумеется, будут интерпретироваться как "включено, игнорировать все прочие пользовательские настройки")
А вы не забывайте отслеживать стопиццотого уровня вложенности обсуждения где-то в недрах мазиласайтов, и вовремя менять цифирки.
| |
|
1.260, Guest007 (?), 11:32, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Encrypted SNI и DoH включил, https://www.cloudflare.com/ssl/encrypted-sni/ показывает все 4 галочки, но террористический ресурс djangopackages.org недоступен всё равно (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 159.203.191.135 Блокировка по ip: Подсеть: 159.203.0.0/16) Пишет, что "server not found"
А вот экстремистский ресурс https://gitea.io доступен (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 167.99.137.12 Блокировка по ip: Подсеть: 167.99.0.0/16)
Ну и до кучи - читать по-прежнему запрещено (flibusta.is) - тут уж не просто не найденный сервер, а вся мощь Ростелекома на страже белизны ума (возможно потому что http - по https тоже просто не находит сервера)
Так что, как я понимаю, пока применимость технологии ограничена.
Ну и до кучи - это всё по части запроса вот прям из РФ. С включенным европейским VPN всё открывается.
Что ж, посмотрим, что дальше будет...
| |
|