| Автор |
Сообщение |
Михаил ®
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Обычная система доменных имен (DNS) сопоставляет используемые доменные имена, такие как cloudflare.com, с IP-адресами и другой информацией, необходимой для подключения к этому домену. DNS-запросы отправляются в открытом виде. Это означает, что на сетевом пути между устройством и преобразователем DNS может появиться третье лицо, которое будет видеть и запрос с именем хоста, и IP-адрес гаджета.
Чтобы защитить DNS от постороннего вмешательства, был разработан стандарт DNS через HTTPS (DoH) и DNS через TLS (DoT). Оба протокола предотвращают перехват, перенаправление или изменение запросов между клиентом и преобразователем. Клиентская поддержка DoT и DoH растет, она реализована в последних версиях Firefox, iOS и других. Однако пока Cloudflare остается одним из немногих провайдеров, предлагающих общедоступную услугу DoH/DoT.
Ключевой компонент ODoH — это прокси, не связанный с целевым преобразователем. Протокол запустили при поддержке прокси-партнеров, включая PCCW, SURF и Equinix.
ODoH добавляет уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, например 1.1.1.1. Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно. Цель расшифровывает запросы, зашифрованные клиентом, через прокси. Точно так же цель шифрует ответы и возвращает их прокси. При этом цель видит только запрос и IP-адрес прокси, расшифровывая их с помощью ключа DNSSEC. Прокси-сервер не видит сообщений DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью. Клиент может выбрать и изменить свои прокси и цели в любой момент. Таким образом, успешная атака может быть реализована, только если и прокси, и цель скомпрометированы.
Добавленное шифрование является «сквозным» между клиентом и целью и не зависит от шифрования на уровне соединения, обеспечиваемого TLS/HTTPS. Для поддержки функций прокси требуется два отдельных соединения TLS. В частности, прокси завершает TLS-соединение от клиента и инициирует другое TLS-соединение с целью. ODoH дополнительно шифрует сообщения между клиентом и целью, поэтому прокси-сервер не имеет доступа к содержимому сообщения.
Клиенты передают зашифрованные запросы прокси-серверу через HTTPS-соединение. После получения прокси-сервер пересылает запрос указанной цели. Затем цель дешифрует запрос, выдает ответ, отправляя запрос рекурсивному преобразователю, например, 1.1.1.1, и шифрует ответ. Зашифрованный запрос от клиента содержит инкапсулированный ключевой материал, из которого целевые объекты получают симметричный ключ шифрования ответа.
«Наряду с повышенной безопасностью и производительностью базовой глобальной сети PCCW, доступ к которой можно получить по запросу через Console Connect, производительность прокси-серверов в сети улучшена резолверами Cloudflare 1.1.1.1. Эта модель впервые полностью отделяет клиентский прокси от резолверов», — заявил Майкл Глинн, вице-президент по цифровым автоматизированным инновациям в PCCW Global
На диаграмме ниже показано кумулятивное распределение времени запроса/ответа в DoH, ODoH и DoH при передаче по сети Tor.
По сравнению с другими вариантами DNS, ориентированными на конфиденциальность, ODoH сокращает время запроса вдвое и более.
Открытый исходный код реализаций ODoH доступен на Rust, odoh-rs и Go, odoh-go.
Протокол поддерживается TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В 2018 году его разработали Mozilla, Cloudflare, Fastly и Apple.Источник |
|
|
 |
ukrhome
Стаж: 13 лет 1 мес.
Сообщений: 1
Ratio: 6.627
2.05%
|
fibi768 писал(а):  | Не знаю, поможет ли данная технология обойти блокировки...
|
так есть же давно zaborona.help, vpn(бесплатный) через который летит только только заблокированный трафик можно поставить на что угодно, от роутера до смартфона |
|
|
|
|
tsuibin
Стаж: 17 лет 3 мес.
Сообщений: 90
Ratio: 2.758
Поблагодарили: 78
32.41%
|
| ViTaRga писал(а): | | fibi768 писал(а): | Не знаю, поможет ли данная технология обойти блокировки...
У нас заблокировали яндекс и вконтакте и еще другие ресурсы, но яндекс для меня самый болезненный удар. Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире.
Попался бы в руки инициатор этих блокировок без охраны... |
Хрень полная этот поисковик от Яндекс. Все норм чуваки используют Google. |
У всех нормальных орган пользования гуглем отпал с молочными зубами |
|
|
|
|
BUKAsh84
Только чтение
Стаж: 5 лет 10 мес.
Сообщений: 36
Ratio: 18.839
16.52%
Откуда: Санкт-Петербург
|
Ламеры используют гугл, полуовощи.
С твоей стороны, был своего рода каминг-аут. - Сильно. |
|
|
|
|
Bannerman
Стаж: 16 лет 1 мес.
Сообщений: 215
Ratio: 1.979
1.1%
|
О да, Cloudflare и Apple спят и видят как сделать этот мир лучше, поэтому решили вбухать дофига денег в разработку нового защищенного DNS протокола, даже при том, что уже есть хорошо работающие DNScrypt или на худой конец DoH. Все для вас, обычные люди, и конечно же не ради очередного метода вытягивания данных и усиления контроля над инфосферой и трафиком. | ViTaRga писал(а): |
Хрень полная этот поисковик от Яндекс. Все норм чуваки используют Google.
|
Чушь. Яндекс реально лучше для поиска русскоязычного контента, некоторых типов изображений, и контента, защищенного авторским правом, который Google ну очень оперативно и качественно выпиливает из своей поисковой выдачи. | DanteDevill писал(а): | |
Ага, вот она мечта "разведчика", из перечисленных вами поисковиков, кроме Google остальные - это одна полу-прокся, и два неуловимых Джо, которые как бы не собирают данные на пользователя. Хорошая шутка, только не смешная. |
|
|
|
|
uriy_morozov
Стаж: 12 лет 5 мес.
Сообщений: 478
Ratio: 20.472
Поблагодарили: 1992
100%
|
| fibi768 писал(а): | Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире. |
Вы серьёзно так думаете? Гугл очень быстро индексирует информацию и через часа два информация доступна в поиске. А тот же яндекс даже после индексации выдавать будет результат в поиске только через недели две. |
_________________
by Xemera
|
|
|
|
Bannerman
Стаж: 16 лет 1 мес.
Сообщений: 215
Ratio: 1.979
1.1%
|
| uriy_morozov писал(а): |
Вы серьёзно так думаете? Гугл очень быстро индексирует информацию и через часа два информация доступна в поиске. А тот же яндекс даже после индексации выдавать будет результат в поиске только через недели две.
|
Это не правда. Время появления информации в поисковой выдачи зависит от множества факторов, от настроек конкретного сайта в управленке поисковика до того как этот сайт воспринимают поисковые алгоритмы Google и Yandex. Например, я смотрю актуальность поисковой выдачи для одного из крупнейших русскоязычных форумов(название не пишу, а то еще сочтут рекламой), и там ситуация такова, что Google отстает от Яндекса в актуальности индекса где-то на 4-5 дней. То есть, там даже близко не идет речь о каких-то минутах и часах. |
|
|
|
|
|
|
|
