Разработчики Friefox объявили о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерены в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51439
Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https. Инцидент с сертификатами их ничему не научил. Требую настройки, которая бы отключала автоматическое отключение dns-over-https.
Обломишься, там CloudFlare, у них-то мониторинг протухания сертификатов настроен отлично.
по умолчанию https://mozilla.cloudflare-dns.com/dns-query
> Предвкушаю, как Mozilla забудет вовремя продлить домен use-application-dns.net или слетит сервер с ним и у всех отключиться dns-over-https.Вы так боитесь, что спецслужбы не смогут читать лог ваших запросов? Простите, вы эксгибиционист?
Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере. Как сейчас уже с серыми сертефикатами сделали.Ну и так же всё закроют.
> Иначе: не сможет открыть ни одну страницу, т.к. обычные механизмы будут запрещены в браузере.И правильно, нефиг из-под радара уходить.
Никто не запретит "обычные механизмы" кроме тебя.
Кстати, если поставить 2 (тобишь dohб если не але то днс), то doh тупо отключается в локальной сети. Нафига так сделали? Ну не прокатил один запрос по doh, делаешь по днс и все. Обычно там пару адресов локальных в кэше надо держать и все.
ну и nsi все еще не шифруется. /0 Хотя я днс от адгуард поставил, может он не умеет.
проверка
https://www.cloudflare.com/ssl/encrypted-sni/
Теперь браузер будет стучать на ещё один адрес в интернете?
а еще CF смогут с запросами делать всё что угодно
> Требую настройки, которая бы отключала автоматическое отключение dns-over-https....Проблема решена добавлением в настройки пункта "DoH always" (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом...
читать статьи иногда все же надо не наискосок.
то есть иметь собственный DNS-сервер теперь не по фэншую?
Настрой свой doh и укажи в настройках ff
А через что он резолвить будет, через АНБ^W CloudFlare, или через "небезопасный" DNS?
Прямо загадка о двух стульях.
>через "небезопасный" DNSА через что резолвит сервер Cloudflare?
В любом случае, нет смысла держать свой сервер, чтобы перенаправлять запросы в АНБ, поэтому ответ думаю очевиден.
АНБ спецслужба иностранного государства, не замеченная в намеренном сливе на болванках на Митинском рынке. Потому мне данных им не жаль, пусть хоть уперехватываются, Пинкертоны хреновы. Лишь бы нашим не попало и у жуликов не оказалось, намеренно или нечаянно.
Я думаю так мыслит процентов 95, использующих подобные технологии. Просто элементарно заворачивая через какой-нибудь привокси часть траффика в Тор, дабы трекеры и подрезая рекламку у реально толкового админа должно поддерживаться от того, что он светит днс запросами. Просто обязано подергиваться, иначе так себе он админ.
Подёргиваться, извините.
Хотя этому толковому админу должно быть пофиг поддерживает ли эту фичечку браузер, ибо он централизованно намутит, иначе он опять же так себе админ :)
Что за тупой вопрос?! А через что он до этого резолвил?
Я сейчас об это раздумываю.С чего начать? Bind?
Какие вообще есть варианты?
pi-hole
dnssec-trigger
А ещё - трудности при использовании сайтов в локальных сетях городов
А такие ещё остались?
Все известные мне сети, будучи раньше с упором на локал, теперь открывают прямой доступ в интернет
Да, плюс интранет офисов
Только централизация и привязка к Сloudflare. Они там наверное с ним контракт секретный подписали.
Ну мозилловцы до этого явно не сами дошли, а их попросили. Пойти воооон к тому дяде, который с кем надо сотрудничает.
а у меня уже включён doh на роутере
DoH ущербен от самого рождения. Если и привязываться к Cloudflare, то только по DNS-over-TLS. Особенно с учётом того, что его поддержка уже есть в системном резолвере systemd.
В нём много чего есть. Вопрос в том насколько часто оно работает - это раз. Как на системный ресолвер может повлиять мозилла из браузера - это два.
Мозилла, естественно, будет игнорировать системные резолверы, потому что они могут использовать DNS-серверы, не одобренные NSA.Firefox — браузер для честных людей, а им скрывать нечего.
Даже ВВП есть что скрывать, а простым смертным тем более.
> Даже ВВПДАЖЕ ему?!
Так сказано же честным скрывать нечего.
даже честным есть что скрывать
В openwrt нет никакого системГэ.
> В openwrt нет никакого системГэ.И это прекрасно! Зато в ней есть stubby.
https://openwrt.org/docs/guide-user/services/dns/dot_dnsmasq...
Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.
>Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.Этот вариант также предусмотрен:
https://openwrt.org/docs/guide-user/services/dns/dot_unbound
> Есть ли смысл в dnsmasq, если можно поставить unbound? Можно и без stubby.dnsmasq там из коробки, если ты не в курсе.
Вообще-то ущербен dns-over-tls. И останется ущербным, потому что светит ему только апдейт до следующей версии tls. А dns-over-https уже лучше, и способен становиться лучше апдейтами http и tls.
См. сравнение протоколов: https://dnscrypt.info/faq/
И никто не мешает использовать dns-over-https не в браузере, а на системном уровне или роутере для всего (а в лисе отключить). Поддержка есть в dnscrypt и наверняка не только в нем.
Обоснуйте свою позицию.
Т.к. DoT более оптимален в плане размера и скорости установки соединения (особенно с TLS 1.3 и TCP fast open), да оно и не удивительно, его же IETF разрабатывало.
Весёлое сравнение. Например, для DNS-over-TLS в недостатках указано "Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world", "Allows insecure algorithms and parameters", "Readily compatible with industry-standard TLS interception/monitoring devices. Having people install additional root certificates is easier than custom software. Vendors are always ready to passively extract information from TLS 1.3 sessions" и т. д. Хотят сказать, к DNS-over-HTTPS это не относится?
С точки зрения безопасности они на одном уровне. За исключением момента со sni. У DoH плюс в том, что его можно использовать из обозревателя, но меньше шанс его внедрения на уровне сетевого железа.
Наверно они хотят сказать что за это ответственны не они, а потому этот вариант предпочтительней =)
А то что появляется дополнительный отпечаток клиента вас не смущает? Он постоянный или сессионный?
Как теперь с рекламой бороться?
Зачем с ней бороться? В обществе потребления надо её потреблять.
Ну или поставь себе парентал контроль, из-за него мозилла выключит DoH. Да здравствуют бессысленные для пользователей действия опаченные госдепом.
мы такой херни не оплачивали, мы еще за стену не рассчиталисьэто, вон, к гуглю.
block cloudflare resolver domain
сейчас везде стоит либо pi-hole либо фильтр на openwrt (забыл как называется).
есть еще diversion для роутеров asus. не прошло и 20 лет, сейчас начали что-то подозревать. что их рекламные домены и трекеры уже давно не резолвятся. вот и бесятся. все просто. в роутерах zyxel вообще из коробки сразу можно поставить фильтр от adguard dns даже ничего не надо настраивать.как же хорошо что там отбитые наглухо сидят, просто берем и блочим их DoH резолвер по его домену, точнее доменам я так понял их там несколько. вот и все.
немного побесятся и успокоятся, так что расслабтесь!
Если вы боретесь с рекламой через DNS (что криво by design), думаю, выключить в тоpмозилле DoH сможете.
Пока эту возможность выключения не убрали нафиг.
Не только с рекламой. Это дёшево и сердито, отключает все к xyям.
Локальный unbound с DNS-over-SSL тоже хорошая опция. Год полет нормальныйserver:
access-control: 127.0.0.0/8 allow
cache-max-ttl: 14400
cache-min-ttl: 900
hide-identity: yes
hide-version: yes
interface: 127.0.0.1
minimal-responses: yes
prefetch: yes
qname-minimisation: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1forward-zone:
name: "."
forward-addr: 8.8.8.8@853
forward-addr: 1.1.1.1@853
qname-minimisation: yes - у меня с этой настройкой что то упорно некоторые домены не резолвились.
Потом ты же все свои похождения сливаешь в гугль/анб, в отличии от наших долбоящеров они умеют аналитику.
> Локальный unbound с DNS-over-SSL тоже хорошая опция.Почему «тоже»?
> forward-addr: 8.8.8.8@853
> forward-addr: 1.1.1.1@853Товарищ майор одобряет.
У _товарища_ майора 77.88.8.8.А то _господин_ майор.
Господин шериф.
Т.е. доверие к двум крупнейшим data ворам значительно выше чем локальнму провайдеру? И они конечо-же святые и не могут подгладывать/изменять DNS ?
>двум крупнейшим data ворамПруфы где, балабол?
Пруф — молчание канарейки, то есть отсутствие доказательств того, что CF и Google НЕ сотрудничают с АНБ.
Ты даже не знаешь, что такое свидетельство канарейки. Это не отсутствие доказательств, а беспричинное оповещение о том, что ордеров на слежку нет.
> беспричинное оповещение о том, что ордеров на слежку нет.Когда канарейка кукарекает — это уже не молчание.
Свидетельство канарейки by design не предполагает сотрудничества со стороны канарейки.
https://en.wikipedia.org/wiki/Warrant_canary
>>двум крупнейшим data ворам
> Пруфы где, балабол?Ты правда сам не можешь набрать в поисковике "privacy policy" для гугла и cf ??? Читай только полностью и все и очень внимательно...
Жалко мне тебя...
Они собирают всё согласно их политикам приватности, на которые пользователи соглашаются. Я попросил пруфы воровства данных. Это не одно и то же.
> Они собирают всё согласно их политикам приватности, на которые пользователи соглашаются.И много возможностей у пользователя отказаться от их полиси, только для того чтобы иметь телефон к примеру? Apple? Так у тех еще жестче..
> Я попросил пруфы воровства данных. Это не одно и то же.Разве ?
Для того чтобы правильно осмыслить их полиси, нужнo реально профессиональное юридическое образование.
Это банальное power abusing, когда люди не понимают что то и этим пользуются xитрожoпcы.Вот именно "закрытие глаз" со стороны всех государств на такие полиси, открывает лазейку для легализированного воровства, потакая развитию таких полиси - "не нравится, - не пользуй", гнило пользуясь доверчивостью или непониманию технологий у людей.
Это знаете с чем сравнимо? Это как ребенка надурить, сказать ему - "вот тебе конфетка, скажи где мама с папой деньги прячут".
Пруфы блин...
Поставте на свой телефон файрволл и посмотрите как гугля исправно каждые несколько минут сливает абсолютно - ВСЕ !!!
И знаете что? я оффициально не принял гугло полиси&terms and sign out of google account, но гугла это почему то не волнует, он с невероятными усилиями продолжает пытатся сливать контакы, thumbnail-ы of captured faces, настройки и пароли...
Это - не ВОРОВСТВО ???
>Для того чтобы правильно осмыслить их полиси, нужнo реально профессиональное юридическое образование.А GDPR для кого сделали?
>>Для того чтобы правильно осмыслить их полиси, нужнo реально профессиональное юридическое образование.
> А GDPR для кого сделали?Оно намного сильно нагнуло гугл и им подобных писать менее юридически завуалированные полиси ? И как GDRP относится к тем же штатам к примеру, где на GDRP положен болт
>Оно намного сильно нагнуло гугл и им подобных писать менее юридически завуалированные полиси ?Именно это и произошло.
>И как GDRP относится к тем же штатам к примеру, где на GDRP положен болт
Никак. Но по крайней мере, проживающие там теперь имеют возможность толково использовать VPN.
Я всё равно не согласен с тем, что для ознакомления с условиями пользования нужно юридическое образование. Мне оно точно не нужно, я читать умею.
>>Оно намного сильно нагнуло гугл и им подобных писать менее юридически завуалированные полиси ?
> Именно это и произошло.Произошло что ? Big data spreading stopped?
> Никак. Но по крайней мере, проживающие там теперь имеют возможность толково использовать
> VPN.Это очень наивно верить в VPN-ы, современная технология фингерприна очень хорошо развита, особенно если нужно что то, где нужно user/password
> Я всё равно не согласен с тем, что для ознакомления с условиями
> пользования нужно юридическое образование. Мне оно точно не нужно, я читать
> умею.У меня очень большие сомнения, что вы можете обойтись без юридического образования, чтоб увидеть скрыте лазейки в вашу собственность (телефон к примеру) и в вашу голову.
Без обид, но или вы плохо понимаете что написано в полисях или вы из клана - "нам нечего скрывать..."
Не знаю, может хайлайты помогут:
https://unixsheikh.com/articles/is-google-evil.html
>Это очень наивно верить в VPN-ы, современная технология фингерприна очень хорошо развита, особенно если нужно что то, где нужно user/passwordЯ и не говорил, что они хороши для анонимности. Я имел в виду, что в европейских странах, особенно в Швейцарии, где отношение к праву на онлайн приватность самое строгое, у тебя наименьший шанс сесть на бутылку за интернет-активность.
>Без обид, но или вы плохо понимаете что написано в полисях или вы из клана - "нам нечего скрывать..."
Я прекрасно понимаю, что там написано и я осознаю, что эти компании делают, и я стараюсь их избегать. Я ни разу не сказал обратного.
> Я и не говорил, что они хороши для анонимности. Я имел в
> виду, что в европейских странах, особенно в Швейцарии, где отношение к
> праву на онлайн приватность самое строгое, у тебя наименьший шанс сесть
> на бутылку за интернет-активность.Я сорри, не догнал причем здесь VPN-ы и Швецария...
> Я прекрасно понимаю, что там написано и я осознаю, что эти компании
> делают, и я стараюсь их избегать. Я ни разу не сказал
> обратного.А это "Пруфы где, балабол?" тогда к чему было?
>не догнал причем здесь VPN-ы и Швецария...Пример: Сидя в США или в РФ, где на GDPR клали, использовать VPN сервер из ЕС, где GDPR чтут.
>А это "Пруфы где, балабол?" тогда к чему было?
Ну вот опять... Вы не понимаете, что с легальной точки зрения означает кража данных. Может, вам и правда нужен юрист.
>>не догнал причем здесь VPN-ы и Швецария...
> Пример: Сидя в США или в РФ, где на GDPR клали, использовать
> VPN сервер из ЕС, где GDPR чтут.И что, зайдя из США на европейский VPN и пытаясь попасть на сайты (gmail к примеру ) в америке, они начнут уважать мою приватность???
>>А это "Пруфы где, балабол?" тогда к чему было?
> Ну вот опять... Вы не понимаете, что с легальной точки зрения означает
> кража данных. Может, вам и правда нужен юрист.Да есть у меня юрист, только воровство всегда oстанется воровством даже если легализированное, пример я уже привел - я отказалcя на своем телефоне принимать юридический гугло документ и у меня нет на телефоне гугло экаунта, а они все равно пытаются своровать(!!!) мои данные, что очень хорошо видно на фаере
>И что, зайдя из США на европейский VPN и пытаясь попасть на сайты (gmail к примеру ) в америке, они начнут уважать мою приватность???Любая компания, имеющая филиалы/серверы в ЕС обязана следовать GDPR в этих регионах, иначе на неё налагаются штрафы (как и было в случае с Google). Если не повинуются, то, наверное, дальше запрещают деятельность на территории ЕС.
То есть, да — они начнут уважать вашу приватность (в рамках их соглашения, которое раскрывает, что они собирают о тебе абсолютно всё, что можно). Так же это их заставляет предоставить клиенту возможность скачивания всех данных, которые о нём были собраны.>а они все равно пытаются своровать(!!!) мои данные
Наверное, где-то есть лазейка с "анонимной" телеметрией, для работы которой достаточно просто иметь Google Play Services установленными на устройстве. Попробуйте отключить или удалить.
>>И что, зайдя из США на европейский VPN и пытаясь попасть на сайты (gmail к примеру ) в америке, они начнут уважать мою приватность???
> Любая компания, имеющая филиалы/серверы в ЕС обязана следовать GDPR в этих регионах,
> иначе на неё налагаются штрафыМы помоему не понимаем друг друга...
USA ->VPN_in_EU->USA
В этом случае, в USA как клали, так и будут на GDRP.
Конечый ресурс в USA, где GDRP не работает
> То есть, да — они начнут уважать вашу приватность (в рамках их
> соглашения, которое раскрывает, что они собирают о тебе абсолютно всё, что
> можно).Это было смешно - "в рамках их соглашения, которое раскрывает, что они собирают о тебе абсолютно всё, что можно"
И это вы называете "уважением приватности"?
> Так же это их заставляет предоставить клиенту возможность скачивания всех
> данных, которые о нём были собраны.И толку от этого когда данные уже утекли
>>а они все равно пытаются своровать(!!!) мои данные
> Наверное, где-то есть лазейка с "анонимной" телеметрией,ни фига себе "анонимная" телеметрия, сливающая контакты, это - воровство, на которое я не давал согласия
> для работы которой достаточно
> просто иметь Google Play Services установленными на устройстве. Попробуйте отключить или
> удалить.давно уже отключено. Вопрос то не в том как заблокировать, а о наглости компании "добра"
>USA ->VPN_in_EU->USA
>
>В этом случае, в USA как клали, так и будут на GDRP.
>Конечый ресурс в USA, где GDRP не работаетВы не попадёте на серверы Google в США из под европейского VPN. Только в случае, если Google перестанут оперировать в ЕС.
>И это вы называете "уважением приватности"?
Это называется transparency.
> Вы не попадёте на серверы Google в США из под европейского VPN.
> Только в случае, если Google перестанут оперировать в ЕС.А вы 100% уверенны ? :)
Спрашиваю потому, как я без проблем с наших и клиентских дедиков в европе без проблем захожу на гугло ресурсы из под американских экантов
>>И это вы называете "уважением приватности"?
> Это называется transparency.Гхм, давайте и правда закончим...
>И много возможностей у пользователя отказаться от их полисиТут всё просто. Не соглашаешься — не пользуешься. А альтернатив гуглу и их сервисам предостаточно.
>>И много возможностей у пользователя отказаться от их полиси
> Тут всё просто. Не соглашаешься — не пользуешься. А альтернатив гуглу и
> их сервисам предостаточно.Я не просто буду благодарен, Я буду просто невероятно благодарен, если Вы мне откроете глаза - на "альтернативы", которых еще даже "предостаточно" !!!
Начните для начала c телефонов, пожалуйста !
(на которых не надо заводить гугло или apple account, имея которые, необходимо согласиться быть "лабораторной мышью")
Вот только что анонсировали даты на Librem 5.
Если не устраивает, берите смартфоны отсюда - https://wiki.lineageos.org/devices/ - шейте наздоровье и ставьте F-Droid.
Ещё есть форк с альтернативой Google Play Services - https://lineage.microg.org/ - ставьте Aurora Store и качайте приложения через анонимный аккаунт.
> Вот только что анонсировали даты на Librem 5.Вы это серьезно о них ?
> Если не устраивает, берите смартфоны отсюда - https://wiki.lineageos.org/devices/ - шейте
> наздоровье и ставьте F-Droid.А вы не пробовали поставить такой девайс, с такой чудной ОС позади хорошего файрволла и посмотреть на трафик ? Попробуйте...
Во первых, для того чтобы иметь даже хотя бы такую отвязку от сильных мира сего, надо сперва иметь знание, как выбрать девайс, который рутается и иметь знания что это вообще такое, что применямо к general population - не применимо, это все равно, что сказать, вам надо удалить апендецит, или управлять самолетом - ничего сложного, вот линк к "сделай сам".
Я не согласен что ваши линки подходят под определение - "предостаточно альтернатив"
F-Droid - это по вашему мнению предостаточно ?> Ещё есть форк с альтернативой Google Play Services - https://lineage.microg.org/ - ставьте
> Aurora Store и качайте приложения через анонимный аккаунт.да уж, -"предостаточно" много альтернатив (особено работающих "из кoробки")...
> Вот только что анонсировали даты на Librem 5.
>>Вы это серьезно о них ?Да.
>А вы не пробовали поставить такой девайс, с такой чудной ОС позади хорошего файрволла и посмотреть на трафик ? Попробуйте...
Зачем мне проводить аудит самого популярного свободного Андроид дистрибутива, который разрабатывается огромным сообществом?
>надо сперва иметь знание, как выбрать девайс, который рутается и иметь знания что это вообще такое
Вовсе нет.
>F-Droid - это по вашему мнению предостаточно ?
А чего там не хватает?
>да уж, -"предостаточно" много альтернатив (особено работающих "из кoробки")...
Вы попросили, я ответил. Никто не говорил, что всё будет из коробки. К тому же, на каждый девайс есть очень подробная инструкция, как их прошить. Там всё невероятно просто и быстро.
>> Вот только что анонсировали даты на Librem 5.
>>>Вы это серьезно о них ?
> Да.Сорри, но это пока в "будущем" и я не уверен что они выживут
>>А вы не пробовали поставить такой девайс, с такой чудной ОС позади хорошего файрволла и посмотреть на трафик ? Попробуйте...
> Зачем мне проводить аудит самого популярного свободного Андроид дистрибутива, который
> разрабатывается огромным сообществом?У гугла тоже пол мира в сообщесте, но это не значит что гугл not evil.
Попробуйте все таки верить не в сообщества, а в факты добытые собственноручно.
>>надо сперва иметь знание, как выбрать девайс, который рутается и иметь знания что это вообще такое
> Вовсе нет.Не правда !!!
Я не хвастаюсь, но у меня десятки лет опыта работы с юзерами, простому смертному проще продать душу, чем разбираться как хакать девайс
> Вы попросили, я ответил. Никто не говорил, что всё будет из коробки.
> К тому же, на каждый девайс есть очень подробная инструкция, как
> их прошить. Там всё невероятно просто и быстро.Я правда благодарен за линки, но я их давным давно знаю,
разговор ведь не о 2-3% наcеления земли (все инженеры, не только IT), а о обычых людях...
>У гугла тоже пол мира в сообщестеВот это неправда и в этом всё отличие.
>>Попробуйте все таки верить не в сообщества, а в факты добытые собственноручно.
Я не настолько параноик, я даже не программист, чтобы идти в репы с открытым кодом и читать его полностью. Я на самом деле доверюсь сообществу, который с этим кодом работает или даже просто читает.
Между прочим, сам оригинальный AOSP проект полностью открыт, так и этот дистрибутив, который на нём базируется.
Судя по вашей логике, ни одному линукс дистрибутиву нельзя доверять.>простому смертному проще продать душу, чем разбираться как хакать девайс
Это правда, но это всего лишь дело ленивости.
>разговор ведь не о 2-3% наcеления земли (все инженеры, не только IT), а о обычых людях...
Если вы сидите на opennet, ваших навыков уже достаточно, чтобы прочитать инструкцию, которую писали для простых смертных и следовать ей почти вслепую. Я лишь порекомендовал выбрать девайс из списка поддерживаемых устройств на сайте дистрибутива. Никаких больше знаний тут не нужно, говорю как не инженер.
>>У гугла тоже пол мира в сообщесте
> Вот это неправда и в этом всё отличие.Я вижу счастливых юзеров гугла каждый день, просто приблизительно прикидываю мировое сообщество, - каждый второй счастлив
>>>Попробуйте все таки верить не в сообщества, а в факты добытые собственноручно.
> Я не настолько параноик, я даже не программист, чтобы идти в репы
> с открытым кодом и читать его полностью. Я на самом деле
> доверюсь сообществу, который с этим кодом работает или даже просто читает.а я вот в этой индустрии 4-ый десяток и знаете в чем правда? В сообществах opensource как правило работают с кодом около 1% (обычно даже меньше), еще процентов 2-10% в зависимости от размера проекта могут (но не обязательно) читать код и далеко не весь(!!!) и иногда репортить ошибки, остальные, сорри, как вы - свято верят в добро, забывая, что в более менее крупных проектах либо есть инсайдеры больших компаний, а то и вовсе стоят во главе. Опенсоурс это к сожалению не эквивалент добра и честности, это просто модель делать что то сообща чтобы поднять качество, даже с конкурентами, и делать профит продавая суппорт и настройку, обощенно конечно, но в основном так.
> Судя по вашей логике, ни одному линукс дистрибутиву нельзя доверять.
Да, к сожалению это так... Вы знаете кстати где Торвальдс работает, на чьем кернеле работают все (почти) линуксы?
>>простому смертному проще продать душу, чем разбираться как хакать девайс
> Это правда, но это всего лишь дело ленивости.Так о чем и разговор ! Хотя лень не вcегда причина, взять доктора к примеру, почему он должен изучать другую науку после работы лишь потому что есть легализованные воры
>>разговор ведь не о 2-3% наcеления земли (все инженеры, не только IT), а о обычых людях...
> Если вы сидите на opennet, ваших навыков уже достаточно, чтобы прочитать инструкцию,
> которую писали для простых смертных и следовать ей почти вслепую. Я
> лишь порекомендовал выбрать девайс из списка поддерживаемых устройств на сайте дистрибутива.
> Никаких больше знаний тут не нужно, говорю как не инженер.Ну вот опять вы, почему крановщики, летчики домохозяйки должны это изучать ? У них своя личная жизнь, почему люди должны терять на это время лишь изза того что есть легализованное ворье.
Представте себе, что будет если в других профессиях появятся "гуглы"...
Извините, у меня больше нет желания продолжать этот разговор. Скажу лишь, что за всё время ведения этого диалога, вы бы уже давно прошили свой девайс.
> Извините, у меня больше нет желания продолжать этот разговор.Аналогично, у меня тоже "работа" подходит к концу и пора домой
> Скажу лишь, что за всё время ведения этого диалога, вы бы уже давно прошили
> свой девайс.Вопрос то не во мне, а тех самых риторических вопросах...
>почему крановщики, летчики домохозяйки должны это изучать ? У них своя личная жизнь, почему люди должны терять на это время лишь изза того что есть легализованное ворье.Такова цена владения смартфона в это время. Кто виноват, что так получилось? Корпорации? Простые люди? Это риторические вопросы, на них не нужно отвечать.
> Видеохостинг YouTube, которым владеет Google, был оштрафован на сумму в $170 млн за незаконный сбор данных о несовершеннолетних. Сообщается, что это крупнейший штраф в истории американского регулятора, наложенный за нарушение закона о защите конфиденциальности детей в интернете.Обтекай.
Тут ты ни ссылки не дал, ни чего ещё. Здесь не ясно, совершалось ли это нарочно. Обычно штрафы за сбор данных о несовершеннолетних дают, если у тебя в EULA не указано возрастное ограничение в 13 лет. Такие ошибки совершаются довольно часто — это неудивительно.
> Тут ты ни ссылки не дал, ни чего ещё.Бедненький, как с такими навыками ты умудряешься ещё на опеннет постить. Простую ссылку не можешь по тексту нагуглить. А уж не слышать что гуглу регулярно то на родине то в европе нагибают это надо совсем в диком пруду жить и области памятью золотой рыбки.
Ссылочки на www.gazeta.ru/tech/2019/09/05/12628141/170mln.shtml хватит? Или это всё олгинская-пропоганда-проклятых-кремлеботов? На NYT ссылки будет достаточно? www.nytimes.com/2019/09/06/technology/youtube-fine-child-privacy.html - тут тоже врут по поводу воровства?
Нарушал - присваивкал чужие данные, решение - виновен, наказание - штраф. Но тебе это не указ.> Здесь не ясно, совершалось ли это нарочно.
Ну ты в магазине случайно бутыль вискаря в карман положи и случайно унеси. Потом будешь оправдываться в отделе.
ЗЫ. Продолжай вертеться ужом оправдывая гуглу, это очень забавно.
> Т.е. доверие к двум крупнейшим data ворам значительно выше чем локальнму провайдеру?Да. Кто ближе - тот представляет большую опасность априори. Даже если дальние сотрудничают в какой-то степени.
> И они конечо-же святые и не могут подгладывать/изменять DNS ?
Могут, конечно. Подглядывать (изменять вряд ли, это более заметно и грозит шумом в СМИ). Но даже при этом они менее опасны, потому что местный админ провайдера или майор может иметь конкретно на тебя зуб, за то что ты его или друга девушку увел или как-то еще дорогу перешел. Крупнейшие интернациональные глазищи на тебя персонально зуб иметь не могут, ты один из миллионов хомяков.
Это не только про местные реалии. Перевези параноиков в США и они будут избегать местных глаз, предпочитая далекий яндекс (если своим сервером нельзя обойтись).
Ещё один дурачок. Они в бигдата умеют в отличии от наших. И подсовывание нужных ссылок и управление мнением(см. больше такого как Трамп не допустим)только начало. Следующий шаг это цена за любой товар и услугу согласно твоей платежеспособности. У Пети соседа-безработного за покупку кружки выставят счет 10 рублей, а тебе умнику 500 рублей.
конечно - тут-то кровавая гебня, а там-то честнейшие ребята, делающие правой рукой.
Браво, поднять свой днс и обращаться к гугл-днс.
Угу. Раз уж поднял свой кэширующий DNS то смысл в форвардинге чёрти куда?
> Угу. Раз уж поднял свой кэширующий DNS то смысл в форвардинге чёрти
> куда?+1
To OP:
убери forwarding, возьми свежий лист корневых DNS http://ftp.internic.net/domain/named.cache, добавь корневой якорь
https://data.iana.org/root-anchors/root-anchors.xml
добавь DLV ключ http://ftp.isc.org/www/dlv/dlv.isc.org.key
и стань caching (Not a Forwarding) DNS резолвером для своей сетки
Вы уверены что это поможет избежать DNS-leak со стороны ISP?
> Вы уверены что это поможет избежать DNS-leak со стороны ISP?А при чем здесь ISP, если Unbound будет резолвить в обход ISP?
Или имелось в виду ISP sniffing?
Так это уже другая опеpа, прямая дорога на 853 port, RFC7858, RFC8310.Под DNS leaks вообще обычно понимается то, когда вы говорите всем девайсам в локалке юзать ваш DNS, а они упоно прутся на M$ или 8.8.8.8. В этом случае перекрытие кислороа на исходящие соединения на гейте на destination порты 53, 853 очень помогают утихомирить шпиенов, при условии конечно что инкапсуляция тунелей тоже перекрыта, таких как мелкосовтовскй teredo к примеру, на destination UDP port 3544.
Ну и ессесно новомодная sniffing централизация aka DoH тоже должна быть перекрыта на outgoing connections хотя бы из того листа: https://github.com/curl/curl/wiki/DNS-over-HTTPS
>Или имелось в виду ISP sniffing?Да, для определённости будем считать этот вектор наиболее серьезным.
>Так это уже другая опеpа, прямая дорога на 853 port, RFC7858, RFC8310.
Так корневые серверы это умеют?
Если нет, то остается только пользоваться тем, что есть.
> Так корневые серверы это умеют?
> Если нет, то остается только пользоваться тем, что есть.Root DNS сервера отвечают только за .com, .net, .org т.е. только за самый первый level, чего там sniff-ать ?
> убери forwardingда
> возьми свежий лист корневых DNS
скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список root серверов. разве что очень хочется...
> DLV ключ
нет. он давно deprecated.
>> возьми свежий лист корневых DNS
> скорее нет. у товарища Unbound, а он по умолчанию использует встроенный список
> root серверов. разве что очень хочется...вообще-то IPs у корневых DNS меняются, не часто, но случается, именно потому есть опция:
root-hints: "/etc/unbound/roots.cache"
>> DLV ключ
> нет. он давно deprecated.Opps moment...
> именно потому есть опцияНу на это я и намекнул, собственно.
> To OP:
> убери forwarding, возьми свежий лист корневых DNS http://ftp.internic.net/domain/named.cache,
> добавь корневой якорь
> https://data.iana.org/root-anchors/root-anchors.xml
> добавь DLV ключ http://ftp.isc.org/www/dlv/dlv.isc.org.key
> и стань caching (Not a Forwarding) DNS резолвером для своей сеткиТолько пусть не забудет в течении 3 дней подключиться к РКН и скачать актуальный списочек забаненых. И реализовать все запреты, конечно:
Федеральный закон от 29.07.2017 № 276-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"
> 7. Владелец программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен, обязан:
> 1) в течение трех рабочих дней после предоставления ему доступа к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен)
> «11. Непредставление или несвоевременное представление в орган,
> осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, провайдером хостинга или иным лицом, обеспечивающим размещение в сети «Интернет» программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен, данных, позволяющих идентифицировать владельца программно-аппаратных средств доступа к информационным ресурсам,
> влечет наложение административного штрафа на граждан в размере от десяти тысяч до тридцати тысяч рублей; на юридических лиц - от пятидесяти тысяч до трехсот тысяч рублей.»;
> Только пусть не забудет в течении 3 дней подключиться к РКН и
> скачать актуальный списочек забаненых. И реализовать все запреты, конечно:Т.е. вcе юзеры новой лисы, даже не зная, что там включили DoH - теперь криминалы ?
Сдается мне, что в background-e идет война за юзеров или влияния на них:)
>> Только пусть не забудет в течении 3 дней подключиться к РКН и
>> скачать актуальный списочек забаненых. И реализовать все запреты, конечно:
> Т.е. вcе юзеры новой лисы, даже не зная, что там включили DoH
> - теперь криминалы ?Нет. Формулировка хитрее - никто не запрещает конечному пользователю использовать VPN и прочие "программно-аппаратные средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен".
Но вот как только ты предоставляешь кому-то еще доступ, ты оказываешься "Владелецем программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен".
И обязан "1) в течение трех рабочих дней после предоставления ему доступа к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен, обеспечить соблюдение запрета предоставлять возможность использования на территории Российской Федерации"
Иначе уже тебе, помимо штрафов, будет еще и "10. В случае неисполнения владельцем программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен, обязанностей, предусмотренных частями 5 и 7 настоящей статьи, федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, принимает решение об ограничении доступа к принадлежащим такому владельцу программно-аппаратным средствам доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен."
В общем, пользователь, в частном порядке, абсолютно свободен использовать любые средства для обхода блокировок.
Но любое известное, неподконтрольное "программно-аппаратное средство доступа" автоматом попадают в список ресурсов, "доступ к которым ограничен" и блокируются провайдером.
сурово однако...
Не важно какой днс и как вы к нему обращаетесь, блокировка сайтов не только по доменам но и по IP в первую очередь. Смена DNS это же не VPN честное слово.
Во-первых, over-TLS, а, во-вторых, не "тоже", а только.
>После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).огласите владельца(/владельцев) "распределённой инфраструктуры резолверов DNS в DoH", пожалуйста
"Вместо распределённой инфраструктуры резолверов DNS, <как в традиционном DNS>, в DoH использовона"так понятнее?
Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.
> Впрочем, в традиционном DNS если твой DNS помер, ты точно так же сидишь и куришь, потому что ничего не резолвится, так что автор новости написал фигню.Зато сделать kill switch, чтобы DNS резко помер у определенной группы людей, в традиционном DNS сложнее.
Не говоря уже о банальном слежении за трафиком. Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.
Товарищ майор куда смотрите, тут одним предложением раскрыли всю затею ради чего его разрабатывали
> Кстати, как там в DoH с идентификацией браузера на стороне резолвера? HTTPS предоставляет для этого явно больше возможностей, чем голый DNS.В DOH теперь вырезают лишние заголовки http. Юзерагент уже вырезали, емнип.
то, что традиционная инфраструктура ДНС является распределённой - это понятно и известно;
интригует фраза про "централизованные DoH-сервера DNS" - централизация предполагает узкий круг владельцев; кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?
> кто, кто эти достойные люди, на DoH-прослойку которых мозилла собирается завернуть резолв-трафик по дефолту?Написано же — NSA
> По умолчанию используется DNS-сервер CloudFlare
С DNS-сервер CloudFlare ничего не открывается, наверное Роскомндазор постарался. Зато с "https://9.9.9.9/dns-query" - работает! Оставлю включенным по умолчанию в режиме 3.
А нет - облом. Вообще ничего не открывается, все адреса пробовал. Впрочем, как только они запилил эту опцию, уже тогда пробовал. Было тоже самое.
у меня вместо https://9.9.9.9/dns-query прописано https://dns.quad9.net/dns-query и режим 3 использую. Всё норм
Прописал. Тоже ничего не работает в режиме 3.
Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool) и вставить в параметр network.trr.bootstrapAddress
> Нужно узнать ip того же dns.quad9.net в настройках сети (about:networking#dnslookuptool)
> и вставить в параметр network.trr.bootstrapAddressТак кажется, наконец - заработало. Спс!
Нет. Не заработало. После перезапуска браузера всё работало, но то ли изменения ещё не применились, то ли кеш какой. Но через некоторое время, все страницы перестали открываться. Ладно, фиг с ним с этим DoH. Не буду больше пробовать.
Ой, извиняюсь, я в режиме 2 использую, но большинство сайтов работают через DOH
вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IPDNSы именно поэтому указываются по IP, а не по имени :)
> вам нужен будет сперва DNS который сперва cрезолвит dns.quad9.net в IP
> DNSы именно поэтому указываются по IP, а не по имени :)Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что неполная.
> Я знаю, что такое DNS. Следую инструкции в посте, которая выходит что
> неполная.К великому сожалению, в настоящем мире нельзя верить - никому, даже документации и справочникам (недавно сожгли кучу микросхем, только из-за того что в официальной спецификации перепутали ножки как выяснилось)
Вот полные префы: https://github.com/bagder/TRRprefs
В режиме 2 нужно только преф режима поменять (и урл, если нужен не дефолтный CF). В режиме 3 еще обязателен bootstrapAddress.
Работе doh могут мешать впн-расширения.
>> Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика.Смысл очевиден, если чуток подумать. В выдуманном мире, в котором живёт автор новости, есть только два сценария: либо трафик ходит свободно, либо пользователя атакует тот, кто ставит целью любым способом не дать ему использовать DoH.
В реальности же, большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH. Точно так же, как в России провайдеру глубоко плевать, что Вася читает заблокированный сайт Навального через VPN, провайдер блокирует так, чтобы проверяющее оборудование Роскомнадзора было удовлетворено, и не более. Бороться с Васей провайдеру совершенно не упёрлось, ему плевать вообще, чего там Вася читает.
Когда всех юзеров Firefox отправят в уютный загончик CloudFlare, это будет уже не полтора процента анонимусов, а целая толпа людей, которые даже не подозревают, что мозилла сдала их американским спецслужбам.Так что в кои-то веки от РКН может случайно наступить и польза, если они своих американских коллег побанят.
Пусть люди сами выбирают себе DNS-провайдера — так хоть некоторые из них не под колпаком окажутся.
ну нет, не так общо - пусть _определенные_ люди, уполномоченные специальным образом, выберут вам dns-провайдеров - где-то это будет ns....простите, cloudgoogle, где-то наше родное и скрепное.А то ж вам дай - вы такого понавыбираете, что потом сами же наперегонки побежите ко мне,чтоб я вас защитил от интернета.
Один из основных принципов информационной безопасности - предсказуемость. Защита или есть, или её нет, половинчатые решения только создают иллюзию защищённости. У мозиллы возникает ситуация, когда сейчас защита есть, а через 5 минут она может исчезнуть, и даже индикатора не предусмотрено для контроля.
Отправка вашего DNS-трафика конторе, сотрудничающей со спецслужбами — это защита?
Ну да, защита, только не для вас, а для государства.
Путать свою безопасность с государственной - это патриотично.
Ксенопатриотично, я бы сказал (вряд ли аноним выше является гражданином США).
> большая часть случаев, когда DNS-трафик перехватывается, это не таргетированная атака, а инициатива провайдера, который тупо заворачивает на себя трафик всех клиентов по 53 порту. Он не будет ради пары процентов мамкиных анонимусов рвать жопу и пытаться им любой ценой блокировать использование DoH.Теперь анонимусов станет (подставить недопродолбанную долю FF на рынке браузеров) и провайдер задумается, а не стоит ли ему как-то с этим бороться? А бороться-то просто: всего лишь добавить одну запись в свой DNS, и — voila — все снова ходят через него. Жопу рвать не надо.
> https://dns.google.com/experimentalчто-то я не понял, как я туда попаду, если у меня в опции 4 стоит
сертификаты работают тупо с ip? где гарантии, что провайдер туда что-то своё не засунет?
Сертификат на IP сделать можно. Но в этом случае удостоверяющий центр обязан удостовериться, что ты являешься владельцем IP, как и в случае с доменом.
Ох сколько нам открытий чудных готовит просвещенья век.
https://1.1.1.1
Сертификаты на ip-адрес недоступны только быдлу.ПС. Сертификаты работать с интернет протоколом (IP) вообще не умеют.
Сертификат и протокол обмена данными это сущности разного порядка.
Долбанулись на отличненько. Вместо распределённого и в политическом и в техническом смысле DNS получим каличную привязку к Cloudflare.
а ради этого и затевалось.
стада мамкиных анонимусов - всего лишь пушечное мясо на поле боя корпораций и государств.
Главное, что они продолжат распростанять не рефлексируя.
Поэтому эта музыка будет вечной.
Тоже не понимаю, какого черта столько шума из-за подобной фигни.
Тем более, мне откровенно плевать на 99% инициатив Мозиллы, а будут как-то мешать - сменю браузер.
>Тоже не понимаю, какого черта столько шума из-за подобной фигни.Да просто тут все. Теперь следить за тем, куда пользователь ходит, сможет не провайдер, а владелец централизованного DNS-сервера. Очередную гадость пиарят, потому и шум.
Своему провайдеру я доверяю больше, чем Cloudflare.
Это кстати да, под одной из прошлых новостей писал уже. В сугубо юридическом смысле с провайдером, отношения с которым закреплёны в договоре, встретиться в суде будет гораздо проще, чем с американской конторой, которая даже юрлица не имеет в РФ.
Основная задача всё же — следить за внутриамериканским трафиком. Далеко не все DNS-провайдеры так дружат с АНБ, как CloudFlare.
А возможность отключить всяким отсталым странам DNS в качестве санкций — это так, приятный бонус.
Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят? Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.Оставь его, он php-шник :-)))
> Может ты ещё и ФСБ засудишь, по чьим приказам тебя начнут мониторить? Ты серьёзно думаешь, что ты зачем-то сдался провайдеру, когда у нас такие законодательства стоят?"У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.
В США стремятся загнать под колпак PRISM вообще всех.> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?
>"У нас" выслеживают и принимают только тех, кто упорно напрашивается, призывая к (социалистической) революции.Ты правда такой наивный?
> Конечно, пусть лучше свои спецслужбы нас будут мониторить, чем американские.
>>Ага, а когда CloudFlare в своём DNS побанит эту страну в рамках очередных санкций — скажете, что это все клятi россиянские власти чебурнет вводят?Если ты не понял — это была шутка.
Чего ты привязался к CloudFlare? Пропиши другой сервис или даже свой подними.
О да, поднять свой сервис на локальном роутере и ходить к нему по HTTPS (лучше еще это потом завернуть в OpenVPN, а его в IPSec).Тут речь идет о принудительном переводе пользователей на единого DNS-провайдера, сотрудничающего с американскими спецслужбами. Раньше выбор DNS был делом довольно рандомным — кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS. Но теперь 99.99% пользователей FF будут резолвить через сервак господина майора.
Ждем в следующих релизах удаления возможности отключения DoH и смены сервака.
> кто-то провайдерские ставит, кто-то гугл, кто-то OpenDNS.Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором? Про Google и OpenDNS (Cisco) и говорить нечего.
Вместо 10 сортов говна, теперь только один.
Централизованное гoвнo ! :)))
https://codeberg.org/crimeflare/cloudflare-tor
> https://codeberg.org/crimeflare/cloudflare-torО, спасибо за линк, а то здесь НамНечегоСкрывать читатели пруфы просили
Как таковых пруфов там нет, просто наглядная книжка с картиночками для самых маленьких.Но если мы говорим о сотрудничестве корпораций со спецслужбами, доказать или опровергнуть что-то практически невозможно. Нужно просто исходить из здравого смысла — мы живем не в сказочном мире с розовыми единорогами и уважением к privacy. Верить в честность корпорастов и этичность спецслужб — удел маленьких деток.
Пруфов там действительно нет. Это больше похоже на
https://www.urbandictionary.com/define.php?term=Gaslighting
А что именно этот пруф должен пруфить? То, что у некоторых подгорает от ложных срабатываний антиддоса?
> Это все так, но ты думаешь, что интернет-провайдеры не сотрудничают с майором?Не все, и не с одним и тем же.
Но если говорить о США, то все с одним.
Если бы всё было бы так просто, вряд ли они бы стали навязывать DoH.
Они ведь не только в США собираются включать его по умолчанию.
Потому что только её сервер и предлагается в Mozilla Firefox.
Сейчас у меня прописан локальный DNS-сервер провайдера, расположенный на соседней улице, и не уверен, что когда мой провайдер включит DNS поверх HTTPS, это будет иметь какой-то большой смысл.
Можно поставить любой
Что, правда? И даже своего провайдера?
> Своему провайдеру я доверяю больше, чем Cloudflare.Ну и дурак!
Провайдер по первому требованию ФСБ или прочих гос структур сольёт всё имеющуюся о Вас информацию!
При этом им, возможно, даже требовать ничего не придётся, так как на оборудовании каждого провайдера стоят чёрные ящики от них.
А вот от Китая они будут долго и безрезультатно требовать!
Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете собственнолично послать!
Сам дурак. Я-то хоть не боюсь своих DNS-запросов.>Тем более, что можно в СШП арендовать свой выделенный сервер на котором Ваш DoH крутится будет и тут и никто не отслеживает и требовать будут разве что у Вас, на что Вы их сможете
Это в США никто не отслеживает? Почитай хотя бы про глобальную систему контроля ECHELON, которая сканирует весь Интернет-трафик подряд.
Cloudflare им хоть платит за это? Потому что когда вставляют юзерам зонды ради прибыли, это хотя бы объяснимо. Но когда это делают добровольно и с радостью - это уже шизо.
Учитывая имеющиеся сведения о тесной связи CloudFlare с NSA, скорее наоборот, CF получает бабло от властей на создание и поддержание единой системы тотального слежения за DNS.
Пруфы есть?
зачем ? Brandolini's law всегда работало и будет еще долго работать :(
Вы тут все совсем поехали...
> Вы тут все совсем поехали...Че товарищ майор, - не нравится ?
Или ты из тех, кто верит в добро на халяву и которому "нечего скрывать" ?Очень рекомендую тогда:
https://www.ted.com/talks/glenn_greenwald_why_privacy_matters
Что?
С чего ты взял, что я против приватности? Я против таких трепло, которые говорят, что ни попадя, не имея доказательств.
> С чего ты взял, что я против приватности? Я против таких трепло,
> которые говорят, что ни попадя, не имея доказательств.а это "Вы тут все совсем поехали..." к чему тогда было ?
Декодируй плз
Или ты ожидаешь здесь увидеть Викиликс-N2 с пруфами?
Желающих быть на месте Асанжа думаю мало найдется...
Тебе не достачно фраз в полисях и термсах у всех этих провайдеров "бесплатого сыра" o том, что они буду сливать службам по требованию или откровения контрактора АНБ ?я вообще в оригинале имел ввиду "Brandolini's law", совсем гласящее о другом (т.е. в поддержку пруфам :) ) - когда "гoвнo/деза" уже вылито, то чтоб его нейтрализовать, прийдется потрать на порядки больше энергии, чем произвести гуaнo, т.е. пруфы навряд-ли кто будет искать и читать или их должно быть больше чем десяток чтоб надеятся повернуть первоначальное мнение
> Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеровНе может. Количество вариантов отключения таково, что оно в таком виде бесполезно - достаточно поставить ответ "родительского контроля", и всё.
На фоне dns-over-tls выглядит как понос
С точки зрения бизнеса выглядит как деньги.
То что буржую хорошо, то поносеру - смерть.
>о завершении тестирования поддержки DNS поверх HTTPS (DoH,
> DNS over HTTPS)
>пользователей из США.
>После охвата США
>включения DoH
> и в других странах...https://duckduckgo.com/?q=doh+homer+simpson&t=ffnt&ia=images...
Да, да, у них прям девиз "сливайте, ребята, свои ДНС запросы нам! (гуглю и клоуду)"
А мозилле за это "умолчание", видать, просто заплатили.
Скорее, на заплатили, а наоборот, просто не стали натравливать SJW (которые в америках выполняют примерно ту же функцию, что нашисты-ольгинцы в этой стране).Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.
Нынче это вполне типичный способ общения спецслужб с корпорациями на цивилизованном Западе.
> "ущемляет" чернокожих трансгендеровИ конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.
> И конечно же для хомячков жующих свою жвачку ничего доказывать нет необходимости.SJW и доказательства живут в разных вселенных.
Да, согласен. Но говорят очень трудно (на данном этапе развития) достучатся из одной Вселенной в другую. Но SJW видать могут ;)
Так же, любые сведения показанные в передачах типа ТОМ2 и Поле дураков, хомячками всасываются без необходимости доказательств. Остальные тоже опасносте, так как ТОМ2 растет до ТОМ3 и далее, а Поле дураков растет в Дураполис повсюду. Спасает только одно, Вселенная расширяется очень быстро (особенно на "краях" ;).
> Достаточно даже небольшого бурления в твиттере о том, как Mozilla "ущемляет" чернокожих трансгендеров — и акции стремительно летят вниз.Не подскажешь, где посмотреть курс акций Мозиллы?
Ну чё, всё типа пошифровали, для товарища майора вывалили подробную инструкцию, как это шифрование отключить с минимальным вмешательством в трафик. Молодцы, всё правильно сделали.
У товарища майора есть SNI.
Если в SNI будет только адын-адын-адын-адын, толку от этого мало.
Не будет. SNI отсылается на тот сервер, куда вы хотите зайти. 1111 – это же не VPN, а лишь DNS, с конечными сайтами соединение будет напрямую через TLS+SNI или без TLS вообще, и в обоих вариантах майор может узнать куда вы ходили.
> У товарища майора есть SNI.А у Mozilla есть ESNI :-)))
Судя по коментам - школота , сидящая на хромом , не знает что в лисе можно полностью всё настроить . А не тупо сидеть на умолчальных ознакомительных параметрах . И теперь брызгает слюной от зависти что хромой в отстающих . Все настройки - https://github.com/bagder/TRRprefs Обновляемый список работающих DoHdns - https://github.com/curl/curl/wiki/DNS-over-HTTPS Встроеный определитель ip нужного резольвера в настройках сети .
Отключить можно когда знаешь что отключать
Почему хром в отстающих?
Потому что там даже интерфейса для настройки прокси нет, либо системный либо через командную строку передавать, хром это прошлый век.
Как фичу выключить?
Какая настройка?
В конце же написано: network.trr.mode 0
При ручном добавлением DNS-over-HTTPS автоматика мне его также отключит?
Отключение срабатывает при network.trr.mode=2 (так включается через интерфейс) . Принудительное включение (network.trr.mode=3) "автоматику" блокирует .
Почему настройка своего сервера находиться в какой-то жопе, а не рядом с копкой включения doh?
Потому, что нажатие на кнопку включения doh, mozilla получает копеечку, а пользователь продвигается в то место в котором находится "настройка своего сервера". Ну а если пользователь нажмет кнопку настройки своего сервера, то хотя пользователь и явно не получит копеечку (только опосредованно) а mozilla может (и наверняка) эту копеечку не получит.
О чем ты? Указание своего сервера находится прямо под галкой включения doh в лисе.
Вот у меня стоит pi-hole, и куда его заворачивать чтобы все было секьюрно, чтоб было и шифрование и не читал никто? Я думал клаудфларе хорошие, а они оказывается вон какие...
> чтобы все было секьюрноDNSSEC http://www.opennet.dev/openforum/vsluhforumID3/118394.html#120
Защищает только от подмены, но не от чтения или блокировки.> чтоб было и шифрование и не читал никто?
Взаимоисключающие требования. DNS изначально не предполагает шифрования. Значит, где-то там должен быть endpoint, то есть выход из шифротуннеля, который дальше делает запросы по нешифрованному DNS. И если этот endpoint у дяди, то читать может, как минимум, дядя.
См. ссылку в сообщении https://www.opennet.dev/opennews/art.shtml?num=51439#137
Эти защитные меры сокращают количество людей, которые могут видеть историю посещённых вами страниц. Но они полностью не исключают утечки данных.После выполнения поиска в DNS для получения IP-адреса по-прежнему необходимо подключиться к веб-серверу по этому адресу. Для этого необходимо отправить запрос. Запрос включает в себя SNI (server name indication) с указанием конкретного сайта на сервере. И этот запрос не шифруется.
То есть ваш интернет-провайдер по-прежнему способен выяснить, какие сайты вы посещаете, потому что они указаны прямо там, в SNI. Информация открыта и для маршрутизаторов, которые передают первоначальный запрос из вашего браузера на веб-сервер.
Это значит, что то куда вы ходите теперь известно и провайдеру и CF
> Эти защитные меры сокращают количество людей
> Это значит, что то куда вы ходите теперь известно и провайдеру и CFСами себе противоречите.
Есть Encrypted SNI, постепенно включают
На серверах Cloudflare?
Повсюду
Меня другое интересует - /etc/hosts-то при этом вообще работает?...не работает. Олени
А, ну хотя при mode=2 вроде работает ... оно при невозможности найти домен по doh видимо отваливается на обычный. Но да, т.е. именно заблокировать что-то через hosts видимо не получится при включенном doh-е...
Давно пора. DNS запросы отравляют все, кому не лень. С огорчением узнал, что Riseup VPN блокирует сторонние DNS запросы и вообще много чего порезал (скачку с sourceforge, например). Придется подключать DNSCrypt.
можете подсказать актуальный гайд по настройке dnscrypt на опенврт? Ну и, если не секрет, чьими услугами будете пользоваться в качестве днс ресолвера? Таки клаудфлаер, или опенник? Или сами будете хостить на впс?
Насчет openwrt не знаю. На убунте я настраивал так:
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation...
https://github.com/jedisct1/dnscrypt-proxy/wiki/Installation...
sudo nano /etc/resolv.conf (создать с нуля)
nameserver 127.0.0.1
sudo chattr +i /etc/resolv.conf (заблокировать файл от изменений)
sudo chattr -i /etc/resolv.conf (снять блокировку)sudo systemctl status|enable|disable|restart|stop dnscrypt-proxy
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml (конфиг)dnscrypt-proxy использует dnscrypt v2 сервера по протоколу UDP:443 (хотя может и v1 и DNS over HTTPS aka DoH на TCP:443). UDP:443 летает. Поставь свежую версию dnscrypt, выбери быстрые сервера и убедись, что DoH отключен. Мой конфиг dnscrypt-proxy.toml https://pastebin.com/raw/3kJaHDFp (your-server заменить на свой). Если закомментировать server_names, dnscrypt-proxy при запуске сделает тест и покажет какие сервера самые быстрые. В моем случае NL и FR.
А DoH и DoT не умеют использовать UDP.
а почему из всех альтернатив был выбран именно DoH? Его же проще всего поделить на ноль еще в момент поднятия подключения
Похоже они серьезно взялись за стюардессу. Наверное скоро закапывать придется. Видать очень не хочется, лакомый поводок может порваться.
Пока (мне) трудно представить как жить без централизованного DNS, но Будущее наверняка свое возьмет.
Потому что его проще реализовать в веб-браузере, скорее всего.
DoH выбран потому - что это , наоборот , самый навороченый вариант . Прочитайте отличия - https://forum.ru-board.com/topic.cgi?forum=5&topic=49013&sta...
Ты путаешь. Наоборот, DoT проще всего заблочить, потому что отдельный порт использует. Просто блокируешь и всё, убит только он. А DoH использует 443 порт и представляет из себя снаружи обычный https. Заблокировать можно известные doh-сервера (хотя и тут есть проблемы, вероятно к doh-серверу cloudflare можно обратиться на любой айпишник облака cloudflare, с сайтами их сеть так работала), но не приватные сервера, потому что соединение ничем не выделяется среди тонны https.
Другие минусы DoT: https://dnscrypt.info/faq/
> вероятно к doh-серверу cloudflare можно обратиться на любой айпишникОчень вероятно к doh-серверу кого угодно можно обратиться на айпишник который не заблокирован.
С учетом к примеру SSLH ( https://habr.com/ru/post/412779/ ), или nginx, или прочих программных продуктов данной категории от современных разработчиков, каждый сможет настроить свой сервак с шахматами и поэтессами!
Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...
> Так что да, порт 443 будет трудно блокировать, много чего перестанет нормально работать. Но можно все заблокировать, выключить свет и газ, достать из сейфа наган,...а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?
при чём делать это -- через тот же самый кусок кода который испольуется в sslh для "разветвления" трафика?
> а кто мешает провайдерам блокировать порт 443 для всех случаев кроме протокола HTTPS ?Сам понял, что написал? DoH работает _поверх_ HTTPS. Провайдёру не отличить, что именно там запрашивается.
Это все прикольно, но чего делать с VPN на работу?
Отключать DoH
И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется как - Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера? Почему в Ростелеком такие упороты и хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?Для РТ пользователя который привык к 8.8.8.8 и его 20-30мс задержки, это приведет к 60-80мс.
Это правда, но главный вопрос в том, зачем вообще использовать cf или google, ведь рт не блокирует резолв даже для заблокированных ресурсов.
> Москва - Европа - Лондон - Германия - Москва - пинг до твоего роутера?Внутримкадыши должны страдать. У меня между сеткой провайдера и 1.1.1.1 только один хоп (в Амстердаме).
> И конечно дефолтным IP там будет cloudflare, который у провайдера Ростелеком трасируется
> как - Москва - Европа - Лондон - Германия - Москва
> - пинг до твоего роутера? Почему в Ростелеком такие упороты и
> хотят в пиринг с Cloudflare который в MSK-IX с 2016 года?
> МоскваЯ понимаю, в это трудно поверить, но вне Центра Мира и Бытия не всегда все только хуже.
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=57 time=14.605 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=15.315 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=57 time=14.299 ms
ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=58 time=25.349 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=58 time=22.814 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=58 time=26.709 ms
ping speedport.ip
PING speedport.ip (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=2.324 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=4.728 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=2.622 msПоселок городского типа (3500 населения, согласно педивикии), старенькая медь 1960 года прокладки, стандартный тариф 50k (V)DSL.
Да, зачетные пинги. На 3G 200 ms роскошь.
У меня 1.1.1.1 ровно в 2 раза "дальше", чем 8.8.8.8 и так было всегда.
Ну вот и сделай
traceroute 8.8.8.8
traceroute 1.1.1.1
Протри очки и узрей ttl.
> Протри очки и узрей ttl.Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать. Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут. Единственный валидный показатель - время отклика, да и то может из двух разных маршрутов сложиться.
> Внезапно TTL может любой узел менять как хочет, например вообще не уменьшать или наоборот, увеличивать.И часто ты такое видел?
> Поэтому ни пинги, ни трейсроуты вне контролируемой сети в плане "кто дальше" ничего не дадут.
И на фига ж ты, спрашивается, traceroute просил?
Cisco ASA по умолчанию TTL не уменьшает, например.
> И на фига ж ты, спрашивается, traceroute просил?А, это не я просил, у меня тут двойник по ходу.
Автору новости стоит добавить про настройку network.trr.mode , что параметры 1 и 4 использовались для тестирования и будут удалены в 69 релизе . Зато уже добавлено 5 - "отключено по выбору" , то есть больше не предлагать использование .
ага, мы тоже в восторге от этой идеи. Завтра еще ноль начнем считать как 1, а послезавтра вообще перейдем на двузначные коды (все старые, разумеется, будут интерпретироваться как "включено, игнорировать все прочие пользовательские настройки")А вы не забывайте отслеживать стопиццотого уровня вложенности обсуждения где-то в недрах мазиласайтов, и вовремя менять цифирки.
Encrypted SNI и DoH включил, https://www.cloudflare.com/ssl/encrypted-sni/ показывает все 4 галочки, но террористический ресурс djangopackages.org недоступен всё равно (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 159.203.191.135 Блокировка по ip: Подсеть: 159.203.0.0/16) Пишет, что "server not found"А вот экстремистский ресурс https://gitea.io доступен (Дата блокировки: 2018-04-16 Заблокирована целая подсеть. 167.99.137.12 Блокировка по ip: Подсеть: 167.99.0.0/16)
Ну и до кучи - читать по-прежнему запрещено (flibusta.is) - тут уж не просто не найденный сервер, а вся мощь Ростелекома на страже белизны ума (возможно потому что http - по https тоже просто не находит сервера)
Так что, как я понимаю, пока применимость технологии ограничена.
Ну и до кучи - это всё по части запроса вот прям из РФ. С включенным европейским VPN всё открывается.
Что ж, посмотрим, что дальше будет...
OPENBSD эту фичу вырубило