Классический форум-трекер
canvas not supported
Нас вместе: 4 102 073

DNS-over-HTTPS включён по умолчанию в Firefox для пользователей из США


Страницы:  1, 2  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 13 лет 5 мес.
Сообщений: 2933
Ratio: 25,129
Поблагодарили: 12760
100%
nnm-club.gif
Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Начиная с сегодняшнего дня во всех новых установках, выполненных пользователями из США, DoH активирован по умолчанию. Существующих пользователей из США планируется переключить на DoH в течение нескольких недель. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют.

После активации DoH пользователю выводится предупреждение, которое позволяет при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера. Вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа. В настоящее время предлагается работа через два DNS-провайдера - CloudFlare (по умолчанию) и NextDNS.
    Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://dns.google/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Для отбора предлагаемых в Firefox провайдеров DoH сформулированы требования к заслуживающим доверие DNS-резолверам, в соответствии с которыми DNS-оператор может использовать получаемые для резолвинга данные только для обеспечения работы сервиса, не должен хранить логи дольше 24 часов, не может передавать данные третьим лицам и обязан раскрывать сведения о методах обработки данных. Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.

Применять DoH следует с осторожностью. Например, в РФ IP-адреса 104.16.248.249 и 104.16.249.249, связанные с предлагаемым по умолчанию в Firefox DoH-сервером mozilla.cloudflare-dns.com, занесены в списки блокировки Роскомнадзора по требованию суда г. Ставрополя от 10.06.2013. Применение DoH также может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Данные проверки дают возможность атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.
OpenNet

_________________
Люди, которые читают книги, всегда будут управлять теми, кто смотрит телевизор.
mmsh.
 
Стаж: 9 лет 2 мес.
Сообщений: 6827
Ratio: 37,419
18.27%
Откуда: IRID: 136700581
ussr.gif
не знаю у кого как
у меня эта фишка не работает, в смысле там обходов чего-то.
всё равно оперы с псевдовэпээнами-проксями или нативный ipv6- пока не грохнули и его

P.S. кстати, понадобилось тут чего-то из видео , конкретное - забыл что. неважно - нигде нет.
сунулся в ДЦ по старой памяти ну и осла.

так , представьте - в большинстве ДЦ-хабов - запрещено заходить по проксям - обрыв соединения.....

а, про Маяковского фильм...

_________________
JGPN: 201550000118776006
e2d
Uploader 100+
Стаж: 11 лет 8 мес.
Сообщений: 164
Ratio: 723,029
Поблагодарили: 680
100%
ukraine.gif
mmsh. писал(а): Перейти к сообщению
у меня эта фишка не работает, в смысле там обходов чего-то.


вики об этом пишет так: "Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника»
[...]
В дополнение к повышению безопасности ещё одна цель DNS поверх HTTPS — повысить производительность"

Об обходах блокировок речи не идёт.
fgfds
Стаж: 8 лет 3 мес.
Сообщений: 933
Ratio: 20,88
Раздал: 27,45 TB
12.79%
mmsh. писал(а): Перейти к сообщению
у меня эта фишка не работает, в смысле там обходов чего-то.

она для этого не предназначена, потому и не работает. она предназначена для защиты от подмены ДНС и с этим она справляется (а у нас почти все провайдеры это делают). бонусом идет небольшая приватность потому что провайдер и фсб чуть меньше осведомлены о том на какие сайты я захожу.
andreyd234
Стаж: 10 лет 2 мес.
Сообщений: 164
Ratio: 0,892
61.8%
я сразу включил, посмотрим как оно будет. пока разницы не заметил.
mmsh.
 
Стаж: 9 лет 2 мес.
Сообщений: 6827
Ratio: 37,419
18.27%
Откуда: IRID: 136700581
ussr.gif
e2d
fgfds
ясно, спасибо, значит я сразу не так понял эту фичу

_________________
JGPN: 201550000118776006
Qwz
Только чтение
Стаж: 2 года 7 мес.
Сообщений: 127
Ratio: 25,126
0%
К сожалению наступил момент для поиска безопасного браузера.
Кто что может посоветовать?

p.s. - любителей webkit, cromium, blink и разных идендификаторов просьба не беспокоить. Firefox (mozilla) тоже в топку.
qazwsx20152014
Стаж: 4 года 7 мес.
Сообщений: 215
Ratio: 0,656
45.32%
Блокираторы против IT. Раунд Второй
ravenev
Стаж: 8 лет 2 мес.
Сообщений: 995
Ratio: 20,015
Поблагодарили: 870
100%
Qwz писал(а): Перейти к сообщению
p.s. - любителей webkit, cromium, blink и разных идендификаторов просьба не беспокоить. Firefox (mozilla) тоже в топку.

:шок: А теперь перечисли что в остатке, что не входит в твой список. Вот из этого и выбирай, если получится. :смех:
ser477
Стаж: 11 лет
Сообщений: 5935
Ratio: 1,957
65.09%
Откуда: РОССИЯ
russia.gif
Какая разница для американцев. АНБ по любому возьмет все что им нужно без всяких запросов суда )))
SP200s
Стаж: 5 лет 2 мес.
Сообщений: 79
Ratio: 0,58
0%
"Любой последующий запрос к IP-адресу, который был получен ужасно секретным способом, всё равно будет ясно виден. Все всё равно будут знать, что вы зашли на Facebook.com, или на сайт для диссидентов."
:)
ruanon
Стаж: 8 лет 4 мес.
Сообщений: 57
Ratio: 2,14
70.3%
russia.gif
Можно ведь подключить любой DNS с шифрованием прямо через сетевые настройки, в т.ч на ipv4. Наверное и в роутере можно настроить свой DNS. Мозилла опять какие-то костыли выдумывает.
Totosha007
Только чтение
Стаж: 2 года 11 мес.
Сообщений: 679
Ratio: 13,571
Раздал: 8,342 TB
100%
Откуда: NSK
russia.gif
andreyd234 писал(а): Перейти к сообщению
я сразу включил, посмотрим как оно будет. пока разницы не заметил.


Opera 67.0.3575.31 поставил. Тоже включил. Бегает шустрее.Кажется. VPN не включал. :мегашок:
lgyn
Стаж: 8 лет
Сообщений: 77
Ratio: 0,292
100%
очередная панацея 99,9% пользователям это не надо. как и https зато сколько бабла стригут даже не из воздуха
simondemon
Стаж: 9 лет 3 мес.
Сообщений: 84
Ratio: 9,37
Поблагодарили: 15
34.16%
Откуда: г. Волгоград
ravenev писал(а): Перейти к сообщению
Qwz писал(а): Перейти к сообщению
p.s. - любителей webkit, cromium, blink и разных идендификаторов просьба не беспокоить. Firefox (mozilla) тоже в топку.

:шок: А теперь перечисли что в остатке, что не входит в твой список. Вот из этого и выбирай, если получится. :смех:


Пускай 12ю оперу на старом движке юзает))) :смех:
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:  1, 2  След.
Страница 1 из 2