Классический форум-трекер
canvas not supported
Нас вместе: 4 078 933

Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS


 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 13 лет
Сообщений: 2776
Ratio: 25,129
Поблагодарили: 12666
100%
nnm-club.gif
Торговые ассоциации NCTA, CTIA и USTelecom, отстаивающие интересы интернет-провайдеров, обратились в Конгресс США с просьбой обратить внимание на проблему с внедрением "DNS поверх HTTPS" (DoH, DNS over HTTPS) и запросить у Google детальную информацию о текущих и будущих планах по включению DoH в своих продуктах, а также получить обязательство не включать по умолчанию централизованную обработку DNS-запросов в Chrome и Android без предварительного всестороннего обсуждения с другими представителями экосистемы и учёта возможных негативных последствий.

Понимая общую пользу от применения шифрования для DNS-трафика, ассоциации считают недопустимым сосредоточение контроля за преобразованием имён в одних руках и привязку данного механизма по умолчанию к централизованным DNS-службам. В частности, утверждается, что Google движется в сторону введения в практику применения DoH по умолчанию в Android и Chrome, что в случае привязки к серверам Google приведёт к нарушению децентрализованного характера инфраструктуры DNS и возникновению единой точки отказа.

Так как Chrome и Android доминируют на рынке, в случае навязывания своих DoH-серверов Google получит возможность контролировать большую часть потоков DNS-запросов пользователей. Кроме снижения надёжности инфраструктуры подобный шаг также даст Google необоснованные преимущества перед конкурентами, так как компания получит дополнительные сведения о действиях пользователей, которые могут быть использованы для отслеживании активности пользователей и подбора релевантной рекламы.

Применение DoH также может нарушить работу в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Подмена DNS также часто используется для перенаправления пользователей на страницу с информацией об окончании средств у абонента или для входа в беспроводную сеть.

Компания Google заявила, что опасения напрасны, так как она не собирается по умолчанию включать DoH в Chrome и Android. Намеченное в Chrome 78 экспериментальное включение по умолчанию DoH будет охватывать только пользователей, в настройках которых указаны DNS-провайдеры, предоставляющие возможность использования DoH в качестве альтернативы традиционным DNS. У тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы, запросы DNS продолжат отправляться через системный резолвер. Т.е. действия Google сводятся лишь к замене на эквивалентный сервис текущего провайдера для перехода к защищённому методу работы с DNS.

Экспериментальное включение DoH также намечено в Firefox, но в отличие от Google компания Mozilla намерена использовать по умолчанию DNS-сервер CloudFlare. Такой подход уже вызвал критику со стороны проекта OpenBSD.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси).

Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. В настоящее время около 30 публичных DNS-серверов поддерживают DoH.

OpenNet

_________________
Люди, которые читают книги, всегда будут управлять теми, кто смотрит телевизор.
Загрузка...
Молох Геноцида
Стаж: 7 мес. 13 дней
Сообщений: 106
Ratio: 14,574
66.67%
north_korea.gif
Не стоит спрашивать этих копирастовских приспешников, СтОит делать так, чтобы свести к минимуму риск перехвата и спуфинга информации, чему соотвествует стандарт DoH. Действуйте!

_________________
Единственное, Что Нужно Для Триумфа Зла - Это Чтобы Хорошие Люди Ничего Не Делали. (с) Ерик Берн
elitedestroyer
Стаж: 28 дней
Сообщений: 45
Ratio: 1,804
Поблагодарили: 46
17.39%
china.gif
Я больше удивлен почему РКН не бесится с того, что DoH вводят.

А вообще ставьте уже сами как минимум DNS-Crypt по крайней мере на роутерах\компьютерах. Бытует слушок, что крупные провайдеры не брезгуют DNS перехватывать. =)

_________________
Cirill
Стаж: 12 лет 5 мес.
Сообщений: 1053
Ratio: 1,337
100%
Откуда: Москва
honduras.gif
elitedestroyer писал(а): Перейти к сообщению
Я больше удивлен почему РКН не бесится с того, что DoH вводят.

Вопрос уже обсуждался - им просто пoх. В нашей стране вопрос блокировок решается гораздо более топорными методами и DNS ваш в их работе никак не участвует.

P.S. На маршрутизаторах и локальных DNS-серверах вместо DNSCrypt включайте лучше поддержку DNSSEC. Если, конечно, ваши аппаратура и ПО это поддерживают. Пользы будет намного больше, гемора при работе оно создает несравнимо меньше даже когда не работает, а работает оно практически всегда и намного надежнее, да и правильно настраивается гораздо легче. Для клиентских же машин лучше просто использовать браузер с поддержкой DoH.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страница 1 из 1