| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5092
Ratio: 25.179
Поблагодарили: 13237
100%
|
Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют. После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS. Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством. Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях. Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet. OpenNet |
_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
 |
Михаил
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
не знаю у кого как
у меня эта фишка не работает, в смысле там обходов чего-то.
всё равно оперы с псевдовэпээнами-проксями или нативный ipv6- пока не грохнули и его
P.S. кстати, понадобилось тут чего-то из видео , конкретное - забыл что. неважно - нигде нет.
сунулся в ДЦ по старой памяти ну и осла.
так , представьте - в большинстве ДЦ-хабов - запрещено заходить по проксям - обрыв соединения.....
а, про Маяковского фильм... |
|
|
|
|
e2d
Uploader 100+
Стаж: 15 лет 9 мес.
Сообщений: 180
Ratio: 769.964
Поблагодарили: 726
100%
|
mmsh. писал(а):  | у меня эта фишка не работает, в смысле там обходов чего-то. |
вики об этом пишет так: "Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника» [...] В дополнение к повышению безопасности ещё одна цель DNS поверх HTTPS — повысить производительность" Об обходах блокировок речи не идёт. |
|
|
|
|
fgfds
Стаж: 12 лет 4 мес.
Сообщений: 1013
Ratio: 20.312
Раздал: 29.55 TB
11.06%
|
| mmsh. писал(а): | у меня эта фишка не работает, в смысле там обходов чего-то.
|
она для этого не предназначена, потому и не работает. она предназначена для защиты от подмены ДНС и с этим она справляется (а у нас почти все провайдеры это делают). бонусом идет небольшая приватность потому что провайдер и фсб чуть меньше осведомлены о том на какие сайты я захожу. |
|
|
|
|
andreyd234
Стаж: 14 лет 3 мес.
Сообщений: 293
Ratio: 1.772
Раздал: 11.3 TB
81.46%
Откуда: USA
|
я сразу включил, посмотрим как оно будет. пока разницы не заметил. |
|
|
|
|
Михаил
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
e2d
fgfds
ясно, спасибо, значит я сразу не так понял эту фичу |
|
|
|
|
Qwz
Стаж: 6 лет 8 мес.
Сообщений: 176
Ratio: 23.598
0.26%
|
К сожалению наступил момент для поиска безопасного браузера.
Кто что может посоветовать?
p.s. - любителей webkit, cromium, blink и разных идендификаторов просьба не беспокоить. Firefox (mozilla) тоже в топку. |
|
|
|
|
qazwsx20152014
Стаж: 8 лет 8 мес.
Сообщений: 586
Ratio: 0.858
100%
|
Блокираторы против IT. Раунд Второй |
|
|
|
|
ravenev
Стаж: 12 лет 3 мес.
Сообщений: 995
Ratio: 20.015
Поблагодарили: 892
100%
|
| Qwz писал(а): | p.s. - любителей webkit, cromium, blink и разных идендификаторов просьба не беспокоить. Firefox (mozilla) тоже в топку. |
 А теперь перечисли что в остатке, что не входит в твой список. Вот из этого и выбирай, если получится.  |
|
|
|
|
ser477
Стаж: 15 лет 1 мес.
Сообщений: 6854
Ratio: 1.886
60.23%
Откуда: РОССИЯ
|
Какая разница для американцев. АНБ по любому возьмет все что им нужно без всяких запросов суда ))) |
|
|
|
|
SP200s
Стаж: 9 лет 3 мес.
Сообщений: 148
Ratio: 0.651
0%
|
"Любой последующий запрос к IP-адресу, который был получен ужасно секретным способом, всё равно будет ясно виден. Все всё равно будут знать, что вы зашли на Facebook.com, или на сайт для диссидентов."  |
|
|
|
|
ruanon
Стаж: 12 лет 5 мес.
Сообщений: 88
Ratio: 2.156
69.2%
|
Можно ведь подключить любой DNS с шифрованием прямо через сетевые настройки, в т.ч на ipv4. Наверное и в роутере можно настроить свой DNS. Мозилла опять какие-то костыли выдумывает. |
|
|
|
|
Totosha007
Только чтение
Стаж: 7 лет
Сообщений: 1922
Ratio: 12.783
Раздал: 15.5 TB
100%
Откуда: NSK
|
| andreyd234 писал(а): | я сразу включил, посмотрим как оно будет. пока разницы не заметил. |
Opera 67.0.3575.31 поставил. Тоже включил. Бегает шустрее.Кажется. VPN не включал.  |
|
|
|
|
lgyn
Стаж: 12 лет
Сообщений: 79
Ratio: 0.296
100%
|
очередная панацея 99,9% пользователям это не надо. как и https зато сколько бабла стригут даже не из воздуха |
|
|
|
|
simondemon
Стаж: 13 лет 4 мес.
Сообщений: 152
Ratio: 8.881
Поблагодарили: 15
26.7%
Откуда: Волгоград
|
Пускай 12ю оперу на старом движке юзает))) |
|
|
|
|
|
|
