Классический форум-трекер
canvas not supported
Нас вместе: 4 232 211

Прощай DPI: в Mozilla испытали DNS-over-HTTPS


Страницы:   Пред.  1, 2, 3, 4  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 5 мес.
Сообщений: 5046
Ratio: 25.177
Поблагодарили: 13176
100%
nnm-club.gif
Вот что пишут в официальном блоге Мозиллы.

Мы планируем постепенно разворачивать DoH в США, начиная с конца сентября. Наш план состоит в том, чтобы начать медленное включение DoH для небольшого процента пользователей, одновременно отслеживая любые проблемы, прежде чем подключать более широкую аудиторию. Если все пойдет хорошо, мы сообщим вам, когда будем готовы к 100% развертыванию.

Что это значит:

Ничего особенного. Просто все блокировки РКН превратятся в тыкву. Для обходов блокировок не понадобится ничего, кроме браузера Firefox. Блокировки по DNS не будут работать от слова совсем, ибо все запросы там будут зашифрованы. А блокировки по IP перестанут работать, ибо теперь можно будет тупо изменить IP заблокированного адреса и РКН об этом не узнает…

Великий и ужасный DPI здесь тоже не поможет. Ибо ну вот идет https трафик до рандомных хостов… и что вы с ним сделаете?

Есть мнение, что как только остальные вендоры браузеров увидят, что доля Firefox растет, то все запилят эту фичу бай-дизайн.

Mozilla.org
zatelecom


Launcher for GoodbyeDPI v.2.0
Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу

_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
monkdt
Стаж: 4 года 9 мес.
Сообщений: 1590
Ratio: 1.088
100%
germany.gif
у немцев прочитал что для doh надо обязательно отключать валидацию сертификатов(кошка кусает за хвост это по нашему типа бегать по кругу, сорри за художественный перевод). вот гугель-перевод статьи, кто нить вообще это делал?

Цитата:

Если вы хотите использовать режим TRR 1-3, то вам нужно отключить проверку SSL-сертификатов через сервер OCSP. В противном случае кошка кусает свой хвост. Firefox хочет проверить SSL-сертификат сервера DNS через HTTPS и использует IP-адрес сервера OCSP от сервера DNS через HTTPS ... Решение проблемы:
abc-inc
Стаж: 12 лет 10 мес.
Сообщений: 910
Ratio: 6.273
100%
wild_hogs.gif
Red-White 77 писал(а): Перейти к сообщению
Цитата:
Просто все блокировки РКН превратятся в тыкву.

Тыквой они были изначально, их только постругали под карету :D
Помню, как всех нас, дружно, одновременно (пока спали) взяли спецы, за так называемое "кибермошенничество".
Red-White 77, поверь, если ты кому то будешь нужен, за ценой не постоят.
И п.о.х кто ты и что там у тебя на душе и в жопе.
Не сарказничай, а то накличешь на себя (для отчета на пару лет как лоха за всех).

_________________
Этот мир спасёт только конец света...
alex12nnm
Только чтение
Стаж: 11 лет 7 мес.
Сообщений: 1876
Ratio: 0.579
100%
ussr.gif
Скорей бы уж банковские счета стали прозрачными аки вода в роднике. Тут капитаклизму и конец, что есть дело богоугодное и востребованное.
bano
Стаж: 13 лет 11 мес.
Сообщений: 22
Ratio: 21.451
83%
Приличное время уже использую DoH на все устройствах на Андроидах через адгуард список серверов большой да и рекламу всю режет. На компе настроил в хроме заняло 20 сек, не в какие настройки лазить не нужно все вкл элементарно. Все работает все открывается.
kx77
 
Стаж: 11 лет 4 мес.
Сообщений: 1728
Ratio: 161.616
Поблагодарили: 2409
100%
Maximus писал(а): Перейти к сообщению
узнает…
Великий и ужасный DPI здесь тоже не поможет.


С чего такие выводы ? Вы хоть понимаете как работает DPI ? DPI не анализирует DNS запросы.
DoH поможет только против простейших блокировок по DNS
DoH это только альтернативный способ доставки dns информации из той же самой распределенной базы данных, причем это сегмент "последней мили", то есть до конечного потребителя.
DoH никак не влияет на дальнейшие действия броузера по получению информации через http/https
все остается как было. Если http - светится Host, если https - SNI
TroILComandor
Стаж: 13 лет
Сообщений: 980
Ratio: 3.472
Поблагодарили: 329
100%
ussr.gif
mmaxcad писал(а): Перейти к сообщению
Мне вот интересно почему эксперимент проводится в АМерике? Там же у них сетевая независимость и свобода интернета. Им это ни одним местом не уперлось.

Ну как жи!
Это же только в "таталитарнай роашки" ужасное законодательство по которому никого почему-то не наказывают.
А вот в "свободных несущих свет Соединенных Штатах оф Америка" законы сугубо либеральные и гуманные.
Именно поэтому всевозможные способы нарушения закона идут оттуда. (и речь не только про интернет, но и про оружие, например)
Но только, тсссс, это все - кремлевская пропаганда от кремлеботов, которые зомбированы православными речевками по ОРТ.
error_erty_
Стаж: 12 лет 2 мес.
Сообщений: 39
Ratio: 1.051
100%
kx77 писал(а): Перейти к сообщению
Maximus писал(а): Перейти к сообщению
узнает…
Великий и ужасный DPI здесь тоже не поможет.


С чего такие выводы ? Вы хоть понимаете как работает DPI ? DPI не анализирует DNS запросы.
DoH поможет только против простейших блокировок по DNS
DoH это только альтернативный способ доставки dns информации из той же самой распределенной базы данных, причем это сегмент "последней мили", то есть до конечного потребителя.
DoH никак не влияет на дальнейшие действия броузера по получению информации через http/https
все остается как было. Если http - светится Host, если https - SNI


Есть DPI которые анализируют DNS запросы. Они отправляют в качестве ответа на dns-запрос(который содержит имя запрещенного сайта) IP-адрес загрушки(странички с "айяйяками") от имени dns-сервера.

Но в целом эта фича не поможет. DPI обычно подключается двумя способами: в разрыв (трафик идет через DPI), либо зеркалируется исходящий от абонентов трафик на DPI. В первом случае весь "не хороший трафик" (определяется по http заголовкам если возможно, либо по IP-адресам для https без SNI, либо по IP-адресам для udp или прочему трафику) блокируется, т.е. ему не разрешаются проходить DPI. Во втором случае для аналогичного трафика отправляется rst-пакет в обе стороны(пользователю и серверу) для сброса соединения (что бы трафик не начал идти; прекращение трафика). Так что DNS-over-HTTPS здесь вообще никак не поможет.

Поэтому люди замарачиваются VPN, Proxy, Tor и прочим.
mmaxcad
Стаж: 12 лет 2 мес.
Сообщений: 1964
Ratio: 1.993
0.89%
Вообще параллельно лиса и свой проксивпн как у оперы сейчас тестирует тоже в америке
ade53
Стаж: 7 лет 7 мес.
Сообщений: 356
Ratio: 3.862
20.9%
kx77 писал(а): Перейти к сообщению
Maximus писал(а): Перейти к сообщению
узнает…
Великий и ужасный DPI здесь тоже не поможет.


С чего такие выводы ? Вы хоть понимаете как работает DPI ? DPI не анализирует DNS запросы.
DoH поможет только против простейших блокировок по DNS
DoH это только альтернативный способ доставки dns информации из той же самой распределенной базы данных, причем это сегмент "последней мили", то есть до конечного потребителя.
DoH никак не влияет на дальнейшие действия броузера по получению информации через http/https
все остается как было. Если http - светится Host, если https - SNI

Насколько я знаю все зависит от настройки DPI, а настройки там достаточно гибкие. В любом случае возможность анализа ДНС это дыра. В особенности актуально от перехвата информации на стороне провайдера, в том числе и средствами СОРМ. Что значит если по https то шифруется, а если по http то нет?
DoH днс запросы к днс серверу шифрует по протоколу https. Все, это единственная его функция, защитить передачу информации к днс серверу.
Просто VPN сам по себе трафик шифрует, но днс запросы обычно не шифрует,
в особенности различные общественные VPN сервисы. Плюс есть проблема с утечкой ДНС.
Потому DoH в дополнение к VPN решает эту проблему.

Сейчас уже в лисе просто галочкой включается. Бесплатный VPN hotspot + включенный DoH, = защита почти как у tor браузера относительно провайдера, а скорость как у обычного интернета.
DeAtto
Гость
alex12nnm писал(а): Перейти к сообщению
Скорей бы уж банковские счета стали прозрачными аки вода в роднике. Тут капитаклизму и конец, что есть дело богоугодное и востребованное.

Прозрачными? Только вот для кого/у кого?..
Torgwar
Стаж: 13 лет 10 мес.
Сообщений: 15
Ratio: 3.552
18.78%
russia.gif
hola, и всё норм работает
ade53
Стаж: 7 лет 7 мес.
Сообщений: 356
Ratio: 3.862
20.9%
Цивилизация, год два назад нужно было часами копаться настраивать DNScrypt, а лет 7-8 назад о проблеме не то что не знали, не думали даже что она есть. Считалось что VPN сервер защита от всего, особенно если он свой.
Olafff
 
Стаж: 13 лет 9 мес.
Сообщений: 729
Ratio: 6.637
100%
ussr.gif
это только все усугубит, и нас еще быстрее изолируют в рунет.

_________________
Горе только от ума)
Kedmi
Стаж: 5 лет 2 мес.
Сообщений: 2902
Ratio: 5.539
Раздал: 2.178 TB
100%
witch.png
Olafff писал(а): Перейти к сообщению
изолируют в рунет


От кого,от чего? Вопрос простой
Blag Trag
Стаж: 17 лет 2 мес.
Сообщений: 61
Ratio: 58.183
100%
ukraine.gif
От самих же пользователь рунета....Бо страшно выходить в всемирную сеть ибо там разврват разруха а ми благоухаем(пользователи РФ). Посему надо оградить не крепший ум последнего. Ибо он слаб и не в состоянии принимать решения
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3, 4  След.
Страница 3 из 4