Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Включение производилось поступательно, начиная с нескольких процентов пользователей с постепенным охватом до 100% аудитории из США. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52427
зачем они мылят глаза "безопасностью"? ведь, на сколько я понимаю, тут просто вопрос доверия, кому ты будешь делегировать свой dns трафик.
Ну так "рекомендуют" свои 2 площадки. Деньги, Сэр.
А мне и ProtonVPN хватит, там свои DNS.Цель Firefox - зашифрованный DNS для бедных?
Цель Firefox - добраться до сладкого пирога, к которому они раньше не имели доступа.
О ну конечно, когда тебе предлагают на выбор 4 разных провайдера DNS, это конечно сладкий пирог. Особенно когда данные обезличены. Такой ПИРОЖИНА что просто течёт повидло.У вас для того и выбор в интерфейсе, а в about:config вообще никаких ограничений, вписывайте свой DNS сервер с DoH и пользуйтесь, раз вам так страшно за пирог.
Попробуй в ФФ позапускать разделённые приватные экземпляры. Поймёшь глубину падения ФФ.
@echo offecho "Если у Вас нет своего профиля, "
echo "Вам необходимо его создать!"
echo "В противном случае, "
echo "выбирайте свой профиль и запускайте Firefox!"start notepad firefox-P.bat
rem start "%ProgramFiles%\Mozilla Firefox\firefox.exe" "-P"
"%ProgramFiles%\Mozilla Firefox\firefox.exe" "-P"
> Цель Firefox - зашифрованный DNS для бедных?Стрижка бедных в пользу богатых, как обычно. Не можешь заплатить - хорошо, возьмут натурой :). Слив юзера клаудспайвари, например.
Еще мне вот интересно, dns это пакет udp на сервер и назад. А тут надо TLS раскочегарить, по нему запрос прислать, обратно ответ получить. И это что, не тормозит, по сравнению с 2 пакетами то?! Или потом мозилла как всегда схватится за бошку "вай, гуглохром что-то быстрее открывает"? :)
> Стрижка бедных в пользу богатых, как обычно. Не можешь заплатить - хорошо, возьмут натурой :). Слив юзера клаудспайвари, например.Классическая финансовая модель эпохи смартфонов.
Впрочем, оформилась ещё во времена становления "бесплатных" email-сервисов.> Еще мне вот интересно, dns это пакет udp на сервер и назад. А тут надо TLS раскочегарить, по нему запрос прислать, обратно ответ получить. И это что, не тормозит, по сравнению с 2 пакетами то?!
Рынку надо — юзер потерпит.
> Или потом мозилла как всегда схватится за бошку "вай, гуглохром что-то быстрее открывает"? :)
В гуглохроме тоже внедряют, синхронно.
Видимо, не все нормативные документы США публикуются в открытом доступе.
Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас. При использовании DNS-over-HTTPS или DNS-over-TLS кроме вас и того кому вы "доверяете" никто подсматривать и вмешиваться в работу не сможет.
нет, дружочек, не п-3ди. Разница в том, что в обычный DNS фуфлофокс и ее дружки из клаудфлари свой нос сунуть не могут в принципе.А им очень, очень хочется.
Фаерфокс тут никаким боком к трафику не подберётся. Другое дело, что клаудфайр им мог отвалить бабла, это да...
Хотя политика конфиденциальности у них весьма и весьма приватная. Как оно крутится - это другое дело, но вот гугл своих деяний в политике не скрывает.
> политика конфиденциальностине смешите тапочки! было бы всё так конфиденциально - не рвали бы когти в сторону сладкого пирога.
> Фаерфокс тут никаким боком к трафику не подберётся.в смысле, вот же ж, уже - весь подарил третьим лицам. Ну да, наверное, за спасибо.
> Другое дело, что клаудфайр им мог отвалить бабла, это да...
или клаудфлейру тот же кто-то, кто и фуфлофоксе.
> Хотя политика конфиденциальности у них весьма и весьма приватная. Как оно крутится
учитывая, что включено для _американских_ пользователей - за которыми шпионить-то вроде как и нельзя, но если очень-очень хочется, то все же можно - все делается и еще интереснее, не так ли?
В пору поверить в заговор рептилоидов.
> - это другое дело, но вот гугл своих деяний в политике не скрывает.
"баннер 1x1 ничего не рекламирует" (c)я.
Сдаецца, в политике уже тоже совсе не то, на чем на самом деле делаются деньги.
Ну бесполезные это данные для рекламы, в таком количестве и таком качестве. Вот для тотальной слежки - очень даже. Казалось бы - зачем это гуглю?
вообще то запрос от серверов клаудфлари до NS серверов отвечающих за домен, который вы запрашивали никуда не денется и так же поедет обычным, ни разу ни шифрованным DNS запросом, ибо другого нет в природе.. А ваш трафик все равно поедет через сеть вашего оператора, и при наличии у того желанния (или, скорее у т. майора по средством СОРМ, т.к. оператору оно нахрен не вперлось обычно) они эти буквы вынут из SNI.Зато после включения сей штуки об ваших желаниях знают еще и дяди из клаудфлари, и их г. майоры, а не только наши.. (ну для сша оно наверное и имеет смысл, в одной точке удобнее трафик мониторить, чем во многих, и г майор он и там и там один и тот же)
> эти буквы вынут из SNI.eSNI
Как вы попали на этот сайт ? тут, как и на 99.999% других, нет есни...
Нету никакого eSNI.С тех пор как все хостеры отключили domain fronting, цирк с "разработкой" eSNI вызывает только досаду.
А чё это они отключают? Сложно/геморойно в настройке/поддержке? Или по причинам иного характера (не технического)?
Внезапно, обходить цензуру очень любят всякие плохие парни.
И крупные компании не хотят иметь с ними ничего общего. Бьёт по имиджу, знаете ли.
Да! Крупные компании хотят только стричь и резать. Только и всего!
Шизойд
>Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас.Ну и в локальной сети я могу прописать, что printer1.local это 192.168.0.3
А теперь этот фокус не пройдет.
> Разница в том, что обычный DNS могут подглядывать все по дороге от того кому вы "доверяете" до вас.Ну, хорошо, а тут клаудспайварь может подглядывать в всю активность пользователя. И я клаудспайвари не доверяю. А с чего бы вдруг должен?
Затем что, если плохо себя кто вести будет, отключат (газ) сертификат.
>зачем они мылят глаза "безопасностью"?Потому что дело тут ни в какой не безопасности. У меня, например, локально настроен dnsmasq для разрешения имен. Есть белый список, есть черный список. Белый список содержит адреса, которые я по большей части использую, черный список содержит разнообразное гуглоговно, вроде doubleclick, с перенаправлением на 127.0.0.1. Все случайные DNS запросы выполняются через Tor.
Обновляется все это специально написанным скриптом, раз в несколько месяцев. И обновляется скопом, то есть провайдеру не удается вычислить количество обращений.
Вот для борьбы с аналогичными технологиями пользователей это все придумано.
И толку в этих манёврах?
Толк в том, что во первых исключаются мусорные запросы ко всяким маркетинговым конторам, во вторых на публичном сервере нельзя определить количество посещений по определенному имени, в третьих обновлять список DNS-соответствий можно не только с DNS-сервера провайдера, а с любого доступного.
Согласен. Большинство сайтов работают по схеме "один домен - один IP". Так что определить куда он заходил весьма нетрудно.
Хоть изопределяйтесь. Во первых, популярные сайты, как правило уже, находятся не одном IP. Во вторых, на одном IP может и десять сайтов находится. Ну и наконец, это сделано в первую очередь для фильтрации мусора.
В первую очередь это сделано, чтобы консолидировать контроль над DNS в конкретных руках.
Какой маразм... Какой контроль? Зачем. Для чего...
Очевидно, контролируя dns трафик можно сильно увеличить продажи шапочек из фольги. То, что _уже_ половина dns запросов это 8.8.8.8, через шапочку не просачивается.
> Какой маразм... Какой контроль? Зачем. Для чего...Следить за пользователями — маразм? Непонятно, зачем?
Ну ладно, оставайтесь в своей стране эльфов.
У меня это локально реализовано. Нет никаких пользователей, кроме меня самого.
И все эти айпи один хрен известным ПО СОРМа.
Так не волнуйтесь мусора знают, когда вы в ВК сидите )))
> Вот для борьбы с аналогичными технологиями пользователей это все придумано.Обоснование какое у твоего вывода? Ты не связал его с описанным выше.
Если ты это все накостылил, то кто тебе запретит отключить DoH? Через конфиг, через enterprise политику, да хоть сборку из исходников с патчем.
Идея в том, что >95% пользователей отключать, или даже альтернативного провайдера выбирать не будут.
И все их запросы пойдут через DNS-over-NSA.
DNS есть централлизованная сущность. Пользуйтесь DHT.
Читайте ветку внимательнее. Человек описал свои изощренные костыли с днс. И потом пишет, что DoH в Firefox придуман для борьбы с такими технологиями пользователей, которые он накостылил себе. Но он может отключить DoH (и всегда сможет, enterprise пользователям нужен контроль dns/doh и он для них будет). А основная масса пользователей интернета не костылит себе так днс, как автор коммента, у них работает провайдерский днс или 8.8.8.8 гугла. Т.е. вывод человека не подкреплен никакой логикой, ложен и не связан с остальной частью коммента.
>Т.е. вывод человека не подкреплен никакой логикой, ложен и не связан с остальной частью коммента.Ты похоже не до конца в теме. Поэтому не понимаешь, что тебе отвечают. Объясняю, DNS-over-HTTPS делается для того, чтобы пользователи не могли ограничивать посещение всяких гуглокликов, адрайверов, гуглоаналитиков. Чтобы исключить возможности фильтрации вот этого. То есть для того, чтобы легче было отслеживать пользователя и показывать ему контекстную рекламу. Безопасность DNS-over-HTTPS - это несерьезный бред, которым только детей обманывать. Какая разница, кто будет отслеживать DNS-имена? Будет ли это провайдер, или Mozilla, или Google, или там Cloudflare - разницы особой нет. Они, как правило, ничем друг друга не довереннее.
> Чтобы исключить возможности фильтрации вот этого.Твоя проблема в том, что ты не можешь обосновать, почему DoH исключает возможности фильтрации. Это не так сейчас, возможности фильтрации остались (и отключение DoH, и использование своего DoH-сервера вместо чужого, включая даже локальный dnscrypt-proxy). Почему возможности фильтрации исчезнут в будущем? Потому что в этом цель DoH? Но надо сперва обосновать что это является целью DoH. Ты связал две вещи без основания и не заметил логическую ошибку. Проще говоря, придумал и утверждаешь теперь.
> Безопасность DNS-over-HTTPS - это несерьезный бред, которым только детей обманывать.
Нет, безопасность и приватность протокола DoH лучше безопасности и приватности открытого днс при прочих равных. Вопрос тут в том, какой будет сервер в конкретном случае.
Более того, главная цель DoH не безопасность, потому что защиту от подмены ответа должен гарантировать DNSSEC. Но он не решает проблему приватности днс запросов, они остаются открытым текстом, поэтому шифрование днс.> Какая разница, кто будет отслеживать DNS-имена? Будет ли это провайдер, или Mozilla, или Google, или там Cloudflare - разницы особой нет. Они, как правило, ничем друг друга не довереннее.
Разница есть. В Mozilla/Google/Cloudflare вряд ли сидит админ с доступом к твоим днс запросам, у которого ты девушку увел. А в местном провайдере или wifi-сетке общаги такой админ может сидеть.
К логам Mozilla/Google/Cloudflare не имеет прямого доступа местный майор, а к местному провайдеру может иметь.
Зарубежный майор вряд ли имеет на тебя персональный зуб, да и мало что может сделать тебе, даже захотев. Местный майор более вероятно может иметь на тебя персональный зуб, и возможностей что-то сделать тебе у него больше.
И не надо теперь говорить, что днс запросы ничего не выдают. Ты сам выше писал:
> Все случайные DNS запросы выполняются через Tor. Обновляется все это специально написанным скриптом, раз в несколько месяцев. И обновляется скопом, то есть провайдеру не удается вычислить количество обращений.Зачем ты это сделал? Чтобы скрыть днс запросы от провайдера. Значит ты признаешь что в их скрывании есть смысл, иначе бы не костылил этого и обошелся блокировкой всяких doubleclick. Теперь к этому добавляем мой аргумент о наличии разницы между теми, кто имеет доступ к днс трафику, получаем обоснование нужности DoH к серверам Mozilla/Google/Cloudflare. Ответный аргумент об отсутствии разницы будет?
> Твоя проблема в том, что ты не можешь обосновать, почему DoH исключает
> возможности фильтрации. Это не так сейчас, возможности фильтрации остались (и отключение
> DoH, и использование своего DoH-сервера вместо чужого, включая даже локальный dnscrypt-proxy).Твоя проблема в том, что ты даже не понимаешь о чем идет разговор, а влезаешь с критикой. В браузерах встроенных возможностей фильтрации DNS-имен отродясь и не было. Чем ты там собрался фильтровать DNS-имена?
> Ты связал две вещи без основания и не заметил логическую ошибку. Проще говоря, придумал и утверждаешь теперь.
То же самое можно сказать и о тебе. Правда без ссылки на логическую ошибку. Ты просто придумываешь. :D
> Нет, безопасность и приватность протокола DoH лучше безопасности и приватности открытого
> днс при прочих равных.Она может быть лучше только в одном случае, если включился человек посередине, который пытается подменять DNS-соответствия. Но, как уже написал человек ниже, HTTPs он хрен подменит, которое сейчас почти все. А при том, что публичные сервера будут контролироваться одной, двумя конторами, оно не лучше, оно намного хуже.
> Разница есть. В Mozilla/Google/Cloudflare вряд ли сидит админ с доступом к твоим
> днс запросам, у которого ты девушку увел. А в местном провайдере
> или wifi-сетке общаги такой админ может сидеть.Не может такой админ там сидеть. Не городи бред! Иначе он очень быстро будет просто сидеть.
> К логам Mozilla/Google/Cloudflare не имеет прямого доступа местный майор, а к местному
> провайдеру может иметь.В первую очередь к таким данным получат доступ майоры. Обязательно. Или заблокируют доступ.
> Все случайные DNS запросы выполняются через Tor. Обновляется все это специально написанным скриптом, раз в несколько месяцев. И обновляется скопом, то есть провайдеру не удается вычислить количество обращений.
Я писал это не потому, что опасаясь майоров, а потому, что не люблю, когда меня отслеживают торгаши. :D Они гораздо хуже любых майоров, так как продажны. И если провайдера я оцениваю, как условного торгаша, то Google/Cloudflare безусловные и общепризнанные. Считай это ответным аргументом.
> В браузерах встроенных возможностей фильтрации DNS-имен отродясь и не было. Чем ты там собрался фильтровать DNS-имена?Я не предлагаю фильтровать домены браузером (хотя на это способны расширения, и в лисе они работают стабильно пока, в отличие от хрома, который протекает запросами). Ты можешь отключить DoH и фильтровать как раньше на локалке, как ты описал выше. Ты можешь настроить DoH на свой локальный сервер и опять фильтровать им, бонусом будет рабочий ESNI (который пока требует какой-нибудь DoH в Firefox, не обязательно Cloudflare). Ты можешь настроить DoH/DoT/DNScrypt на свой удаленный сервер и фильтровать им (бонусом возможность фильтровать так на смартфоне, без зависимости от досягаемости пк/ноута с dnsmasq).
Внедрение DoH тебе не мешает сейчас, это технический факт. Почему будет мешать в будущем - аргументов не приведено.> То же самое можно сказать и о тебе. Правда без ссылки на логическую ошибку. Ты просто придумываешь. :D
Аргументация будет?
> Она может быть лучше только в одном случае, если включился человек посередине, который пытается подменять DNS-соответствия. Но, как уже написал человек ниже, HTTPs он хрен подменит, которое сейчас почти все.
Это ответ на слово безопасность. Да. Но нет ответа на слово приватность.
> А при том, что публичные сервера будут контролироваться одной, двумя конторами, оно не лучше, оно намного хуже.
Для юзеров дефолтного DoH в Firefox - да. Для тебя - нет. А речь о тебе и твоей фильтрации. Т.е. аргумент не имеет отношения к нашей дискуссии, а относится к конкретной реализации DoH в Firefox для дефолтных юзеров.
Даже для юзеров Chrome - нет, потому что там включают шифрование днс к уже юзаемому днс-серверу, если хром знает о поддержке шифрования им. Если юзаемый днс-сервер не известен хрому как поддерживающий шифрование, хром ничего не поменяет и оставит открытый днс. Как раз чтобы не обвиняли в централизации, днс-сервера не меняются, только протокол апгрейдится на шифрование при возможности.> Не может такой админ там сидеть. Не городи бред! Иначе он очень быстро будет просто сидеть.
Может. Кто его посадит? Почему ты выставляешь это как гарантированный итог. Ни в какой стране мира это не гарантированно.
> В первую очередь к таким данным получат доступ майоры. Обязательно. Или заблокируют доступ.
Не обязательно получат. Где-то данных уже физически не будет, где-то в выдаче данных откажут юридически, где-то выдадут. Это лучше, чем гарантированная выдача местным провайдером, хранящим долгий срок по требованию органов, не имеющим возможности отказать, и потенциально выдающий даже на неформальные запросы, которые юридической силы не имеют.
> Я писал это не потому, что опасаясь майоров, а потому, что не люблю, когда меня отслеживают торгаши. :D Они гораздо хуже любых майоров, так как продажны. И если провайдера я оцениваю, как условного торгаша, то Google/Cloudflare безусловные и общепризнанные. Считай это ответным аргументом.
А майоры у тебя не могут быть продажными?
Чем тебе могут навредить торгаши? Почему ты готов костылить ради скрытия днс трафика от них?
И даже опустив эти вопросы, внедрение DoH не мешает тебе ни защищать днс трафик от следяших торгашей, ни фильтровать домены по своему усмотрению.
> Я не предлагаю фильтровать домены браузером (хотя на это способны расширения, и
> в лисе они работают стабильно пока, в отличие от хрома, который
> протекает запросами).То есть теперь ты уже согласен, что фильтровать браузером DNS-запросы нельзя. Хотя перед этим требовал от меня обоснований, почему DoH не может фильтровать DNS-имена. Учитывая, что речь изначально шла о возможностях работы с DoH, которые в браузере, то ты как бы немного был не в теме. О чем я и написал раньше.
> Ты можешь отключить DoH и фильтровать как раньше на
> локален, как ты описал выше.На кой хрен он мне локально нужен? Свои фантазии у себя воплощай.
> Аргументация будет?
Выше, выбирай любой аргумент.
> Это ответ на слово безопасность. Да. Но нет ответа на слово приватность.
Слово "приватность" ты и сам раньше только упомянул. Или ты связал слова "Google/Cloudflare" со словом "приватность"? Тогда сочувствую.
> Для юзеров дефолтного DoH в Firefox - да. Для тебя - нет.
Ты уже и за меня отвечать пытаешься? :D Оно для всех хуже, так как предоставляет из себя один центр сбора больших данных, в отличии от кучи малых.
> Может. Кто его посадит? Почему ты выставляешь это как гарантированный итог. Ни в какой стране мира это не гарантированно.
Что не гарантировано? За нарушение законов не сажают?
> Не обязательно получат. Где-то данных уже физически не будет, где-то в выдаче
> данных откажут юридически, где-то выдадут.Угадай, что сделает Роскомнадзор, если ему регулярно не будет предоставлять запрашиваемые данные.
> А майоры у тебя не могут быть продажными?
Еще как могут быть. Но не все, и продавать большие данные майору будет намного сложнее, чем торгашу.
> Чем тебе могут навредить торгаши? Почему ты готов костылить ради скрытия днс
> трафика от них?Чем беспринципнее торгаш, тем обычно он успешнее. А мне бы не хотелось, чтобы информация обо мне завтра оказалась, например, у бандитов.
> И даже опустив эти вопросы, внедрение DoH не мешает тебе ни защищать
> днс трафик от следяших торгашей, ни фильтровать домены по своему усмотрению.Ага, браузером. :D
> фильтровать браузером DNS-запросыМожно же реализовать программу которая будет разрешать имена через DOH и фильтровать как Вам необходимо. Запустить ее на локальной машине и пускать все запросы только через нее. Но это уже не браузером будет называться.
Разделяй, и властвуй!
Обязательно, необходимо кешировать все ответы (на неопределенный срок, вопреки рекомендациям и прочим RFC), периодически (через случайные промежутки времени) обновлять часть записей. Держать список часто используемых адресов и имен доменов в хорошо защищенном месте. При запуске этой программы дать ей время на неторопливую проверку соответствия между адресами и именами, желательно через какую нибудь шифрованную сеть (типа Tor/i2p ;)
И да, как сказал один из здешних комментаторов, после получения необходимого IP, ни в коем случае не выходить в эту страшную и опасную сеть Интернет (или только через ... ;)
>Можно же реализовать программу которая будет разрешать имена через DOH и фильтровать как Вам необходимо.С помощью DNS-over-HTTPS браузер ходит на DNS-сервер, разрешает DNS-имена. Пока эта возможность отключаема, разумеется можно реализовать такую программу. Достаточно тот-же dnsmasq настроить.
Но вот когда возможность DNS-over-HTTPS сделают в браузере неотключаемой, то реализовать фильтрацию DNS-запросов с помощью внешней программы станет сложней. Я это выше и пытался объяснить.
А ее сделают неотключаемой. В ней иначе смысла нет. Разрешением DNS-имен браузер вообще заниматься не должен. Или максимально запутают пользователя. Впрочем, уже запутывают.
Ну что же, поживем посмотрим.
Пусть Мозила покаместЪ попилит бабло. А там наверняка умные люди найдутся, и випилят. Благо исходники есть, да и умные люди всегда будут!
Про грамотных людей я уже написал.
А вот если эта firefox-ина начнет лезть в Интернет к серверам с DoH не по адресам указанным в настройках (пусть даже и захардкорженным), то за это необходимо по сусалам надавать (пакетным фильтром порезать). Правда все это сложновато контролировать, но как мне кажется должно быть возможно всегда. Иначе какой ты хозяин своей железки и программного обеспечения работающего на ней?!?!?!!!
> А вот если эта firefox-ина начнет лезть в Интернет к серверам с DoH не по адресам указанным в настройках (пусть даже и захардкорженным), то за это необходимо по сусалам надавать (пакетным фильтром порезать).CloudFlare имеет техническую возможность сделать DoH endpoints на всех своих HTTPS endpoints, через которые работает ДОХРЕНИЩИ сайтов.
В этом случае, во-первых, обнаружить "левый" трафик практически нереально, во-вторых, при попытке блокировки, у вас отвалится пол-интернета.> Иначе какой ты хозяин своей железки и программного обеспечения работающего на ней?!?!?!!!
Вы не хозяин, вы арендатор. За "бесплатный" Chrome/Firefox вы платите тем, что они позволяют своим хозяевам и их партнёрам следить за вами и показывать вам рекламу.
А чем занимается Intel ME/AMD PSP на "вашей" железке, я вам не скажу. Потому что не знаю.
> Но вот когда возможность DNS-over-HTTPS сделают в браузере неотключаемой, то реализовать фильтрацию DNS-запросов с помощью внешней программы станет сложней. Я это выше и пытался объяснить.Не особо и пытался, обоснований так и не привел, потому что их у тебя нет.
> А ее сделают неотключаемой. В ней иначе смысла нет.
Иначе смысл в ней есть, выше аргументы были.
> Разрешением DNS-имен браузер вообще заниматься не должен.
Операционные системы не спешат добавлять шифрование днс. И даже люди, создававшие днс, не спешили исправлять проблему приватности днс, т.к. защищали интересы собирателей данных и устоявшиеся привычки по контролю в своих рабочих и домашних сетях. Поэтому браузерам пришлось делать это самим, защищая юзеров, ведь днс запросы, которым нужна приватность, в основном идут из браузера, по крайней мере на ПК.
> Не особо и пытался, обоснований так и не привел, потому что их
> у тебя нет.Каких обоснования я тебе должен был привести? Обосновать что браузер не может фильтровать DNS-запросы? Ты не дурак часом?
Несешь какой-то бред. Поэтому ничего больше объяснять я тебе и не буду.
> Хотя перед этим требовал от меня обоснований, почему DoH не может фильтровать DNS-имена. Учитывая, что речь изначально шла о возможностях работы с DoH, которые в браузере, то ты как бы немного был не в теме. О чем я и написал раньше.Ложь. Я требовал обоснований почему введение DoH помешает тебе или кому-то фильтровать домены, постоянно напоминал про возможность отключения DoH и что она не исчезнет. В начале не шло речи о фильтрации с DoH, но когда появилась, я указал на возможность и с DoH это делать с помощью своего локального/удаленного сервера, так же как у тебя сейчас локальный днс сервер для фильтрации.
> Что не гарантировано? За нарушение законов не сажают?
Посадка. Нигде не судят за все нарушения законов. Всегда есть доля нарушений без наказаний. Пенитенциарная система не может охватывать 100%. Ты в сказке живешь? Что за инфантилизм?
> Угадай, что сделает Роскомнадзор, если ему регулярно не будет предоставлять запрашиваемые данные.
Если ему гугл не будет? Подотрется и стерпит. Так же как он несколько лет терпит неисполнение переноса персональных данных россиян твиттером и фейсбуком. Много раз заблочил уже? На много оштрафовал, или по 5 тысяч рублей?
Не все яростные заявления являются правдой.
> Ложь. Я требовал обоснований почему введение DoH помешает тебе или кому-то фильтровать
> домены, постоянно напоминал про возможность отключения DoH и что она не
> исчезнет.А теперь одень очки и прочитай название темы. Там о работе браузер с DoH речь идет. Требовал он... у мамки будешь требовать.
> Но он может отключить DoH (и всегда сможет,Отберут возможность, как отобрали ходить по палёному SSL.
> Если ты это все накостылил, то кто тебе запретит отключить DoH?Ну разумеется, мне никто не запретит отключать это. До тех пор, пока это можно отключать. Тут вопрос в том, как скоро они прибьют это гвоздями.
Отберут возможность, как отобрали ходить по палёному SSL.
И от кого ты защитился? Не увидишь очередной баннер купи аппарат, можно было отключить любым адблоком.
Всегда вопрос доверия, даже если вы свой DNS настроите, вы же будете резолвить с корневых DNS, и конечно они будут знать какие адреса вы резолвите.
а нечего было pi-hole пиарить, вот они и заерзали, причем давно уже. года два назад.
везде уже это, https://www.youtube.com/watch?v=KBXTnrD_Zs4
понятное дело что доходы от рекламы падают в геометрической прогрессии, подобные фильры вырубают сразу рекламу и трекеры во всей локалке сразу. и сейчас к сожалению это уже давно мейнстрим, и никого этим не увивишь. молодняк узнал что так можно, оказывается, и начали брызгать слюной везде где можно, вот зачем ? ну грузится реклама и всем нормально. так нет, нужно всем донести об этом. это обычная реакция. вопрос поможет ли, вот это уже интереснее. т.к. это попадет в первую очередь в блеклисты, и как ты будешь резолвить домен, через https, когда сам домен резолвера уже не работает ? смех и грех.
зато как красиво затирают нормисам то! защита от злых хакеров! ну-ну, попробуй ка подмени по dns сайт который работает на https, браузер сразу не пустит туда. но народ то хавает, вот что удивительно. совсем уже, обезумели. словечки модные узнали из википедии, и выеживаются. а сами не сном ни духом про то как это работает хотя бы в двух словах, хотя бы в теории. не знают, и не узнают, только и кичатся своим отсутствием знаний. а другие на подхвате. только головой кивают да поддакивают.
---==---
подменяй по днс что угодно, ssl ты этим не поборишь. так что для кого эти сказки то ?
В Индонезии например начинает работать reddit или vimeo когда включаешь DNS-over-HTTPS. Иначе все запросы к DNS перехватываются и подменяются где-то на уровне провайдеров.
А кто вообще решил, что доверять данные какому-то Cloudflare (он вообще юридически представлен у нас?) чем-то надёжнее моего провайдера? С ним у меня хотя бы договор есть.
Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого. Остаются лишь машина пользователя и DNS сервер.
Это просто предоставляет ещё одну возможность подарить информацию большой корпорации, нет?
Пропиши DNS-сервер от маленькой корпорации.
Ничего не изменилось кроме того что совсем левые люди не смогут сунуть нос куда не нужно. Нет, никто не утверждал что вообще никто не сможет сунуть нос. Просто носов будет меньше.
Не, будет один или два с очень и очень большой статистикой.
Не вижу оснований так думать: поднять ДНС с шифрованием задача одного уровня с поднятием ДНС без шифрования.
Просто нельзя взять и -- бадабыщь! -- все перешли на шифрование. Некоторое время будет ситуация, когжа ДНСов всего несколько. Лично ты можешь пересидеть это время на серверах без шифрования, светя эти данные не только тем кому они нужны, но и вообще кому попало, раз уж так тебе спокойней и привычней.
> Не, будет один или два с очень и очень большой статистикой.Он и так один, и называется Google.com (8.8.8.8).
На самом деле идет растаскивание дефолтных запросов.
А DoH дополнительно отрезает промежуточные фильтры
> А DoH дополнительно отрезает промежуточные фильтрыИ добавляет возможность фингерпринтить пользователей (TLS предоставляет куда больше уникальных признаков, чем plain DNS).
Ну и гугл, видимо, не очень охотно сотрудничает с NSA, в отличие от Cloudflare.
>> чем-то надёжнее моего провайдера?
> Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого.Между тобой и твоим провайдером есть любопытные вообще-хрен-знает-кто? Интересно!
Так-то есть... продукты Мозилы :)
> Между тобой и твоим провайдером есть любопытные вообще-хрен-знает-кто? Интересно!Очень даже может быть - это не намного сложнее сканера автобрелоков и технология пошла в массы. Скандалы были даже в Штатах. Но любопытные могут быть между тобой и DNS сервером. Твой провайдер лишь один из них и самый близкий к тебе. Физически. Да и то не всегда.
Речь идёт об использовании провайдерского DNS.Никто вне провайдерской сети не может определить, какие DNS-запросы идут персонально от вас.
А при нормальной инфраструктуре провайдера, даже внутри сети определить это невозможно (изоляция абонентских линий, с современным оборудованием эпоха локалок уходит).Итого, остаётся DNS-сервер провайдера. Записывает он или нет — вы всегда можете узнать, сверившись с законами своей страны. Провайдер не гугл и не фейсбук, со слежки прибылей не имеет, а расходы очень даже. Поэтому если его не заставят под угрозой штрафа — на слежке будет экономить.
> Никто вне провайдерской сети не может определить, какие DNS-запросы идут персонально от
> вас.- Правда?! Wi-Fi роутеры (включая и чужие смартфоны) вокруг Вас только провайдеровские? Да я вижу, Вы Блаженный!
Причем на столько Блаженный, что даже сам взломать не можешь? И думаешь, что остальным это тоже не под силу? Иначе от куда столько уже крекнутых паролей для кухарок от закрытых сетей?> А при нормальной инфраструктуре провайдера, даже внутри сети определить это невозможно
> (изоляция абонентских линий, с современным оборудованием эпоха локалок уходит).- У Вас есть опыт работы в "нормальной инфраструктуре провайдера"? Не поделитесь, это кого Вы имеете ввиду? Мне даже интересно, где это я, или мои друзья не работали. Причем можете предлагать в пример и иностранные компании. Или Вы просто не работали ни в одном провайдере? А может просто квалификации не хватает понять, что там твориться? Вы когда-нибудь пробовали навести чистоту у себя в квартире? Хотя бы класса "В"? Так вот, для примера, каждая пылинка в Вашей квартире - это и есть открытая дверца, просто Вы её не видите, но это не значит, что её нет.
Может быть Вы и сидите непрерывно на надутой оптике, но весь остальной мобильный мир пользуется беспроводными сетями доступными снифферам. Согласен, локалки сдают рынок, но только на последней миле и для частных лиц. Вернее так, демонтажа локалок крайне мало, даже телефонных линий, просто сверху навешивается беспроводка, за счет чего процент доступа по проводу меньше в процентах, хотя в количестве не убывает.> Итого, остаётся DNS-сервер провайдера.
А вот и нет, в бытность свою мы собирали огромное количество инфы со всего Интернета, так там пакетов логин-паролей гигабайты/час были.
- И так же наивно полагаете, что от провайдера до корневых серверов эти запросы нигде не светятся.
> - Правда?! Wi-Fi роутеры (включая и чужие смартфоны) вокруг Вас только провайдеровские? Да я вижу, Вы Блаженный!Не знаю насчёт блаженности, но мне пофиг, чьи роутеры вокруг меня. Мне важно, к каким роутерам я подключаюсь.
> - У Вас есть опыт работы в "нормальной инфраструктуре провайдера"? Не поделитесь, это кого Вы имеете ввиду? Мне даже интересно, где это я, или мои друзья не работали. Причем можете предлагать в пример и иностранные компании. Или Вы просто не работали ни в одном провайдере? А может просто квалификации не хватает понять, что там твориться? Вы когда-нибудь пробовали навести чистоту у себя в квартире? Хотя бы класса "В"? Так вот, для примера, каждая пылинка в Вашей квартире - это и есть открытая дверца, просто Вы её не видите, но это не значит, что её нет.
Эмоциональный спич — отличный (нет) способ скрыть отсутствие технических аргументов.
> - И так же наивно полагаете, что от провайдера до корневых серверов эти запросы нигде не светятся.
Пусть светятся где хотят, персонально со мной их ассоциировать уже невозможно.
> мне пофиг, чьи роутеры вокруг меня. Мне важно, к каким роутерам я подключаюсь.- Пусть будет так, в чистоте своих связей Вы уверены
>> - У Вас есть опыт работы в "нормальной инфраструктуре провайдера"? Не поделитесь, это кого Вы имеете ввиду? Мне даже интересно, где это я, или мои друзья не работали. Причем можете предлагать в пример и иностранные компании.
> Эмоциональный спич — отличный (нет) способ скрыть отсутствие технических аргументов.- Ну, что-ж очередное разочарование, и Вы не можете назвать провайдера с "нормальной инфраструктурой в Ваших интересах"
>> - И так же наивно полагаете, что от провайдера до корневых серверов эти запросы нигде не светятся.
> Пусть светятся где хотят, персонально со мной их ассоциировать уже невозможно.- Ну, может быть, Вы и Ваше окружение не представляет никакого интереса ни в личных вопросах, ни по роду своей профдеятельности, ни инициируете банковские транзакции, не оставляете квартиру без Бабушки надолго и тп.
Но такой наглядный пример 5-ти метрового P2P: когда Ваша машина не встанет на охрану в общественном месте после первого нажатия кнопки "Закрыть", прежде чем нажать её второй раз, подумайте, не сработал ли где-то рядом граббер...
> Никто так не решил. Просто шифрование DNS-возни отсекает любопытных вообще-хрен-знает-кого. Остаются лишь машина пользователя и DNS сервер._Один для всех_ DNS-сервер, это важно. К тому же, имеющий возможность эффективно отличать конкретных пользователей.
Который уже, в свою очередь, может передавать/продавать эти данные хрен-знает-кому.
>_Один для всех_ DNS-серверНет, не один.
Именно один, а остальные даром что доверенные, будут работать как proxy. Чтоб такие как ты думали что тебе хоть какую-то свободу дали.
> Нет, не один.Вы так говорите, как будто 95% пользователей будут менять дефолтные настройки.
Добавляешь сбоку ESNI который работает только с DoH и добро пожаловать в светлое прошлое где блокировки происходят не по sni заголовку, а по адресу назначения
А DNS-сервер существует сам по себе, никто его не создавал, никто его не обслуживает и никто никогда не сможет получить к нему доступа. Верим в это и будем верить всегда.
А кому надо доверять? Товарищ майору, которому несешь бабки за интернет?)
> А кому надо доверять? Товарищ майору, которому несешь бабки за интернет?)Дятлам, считающим что они "в домике" и провайдер не засечет, куда вдруг пошли пакеты после шифрованного запроса в DoH *facepalm.tiff*
Так вроде бы прокси пока никто не отменял!?!
> Так вроде бы прокси пока никто не отменял!?!Сейчас это модно называть словом "VPN".
Но (совершенно внезапно, кто бы мог предположить!) - в этом случае трафик идет через VPN-сервис, который в этом случае (тоже) "провайдер", только уже "второго слоя".
И вообще-то, туннель по определению (VPN - virtual private network) - шифрованный.
Т.е. непосредственно недоверенный провайдер "первого слоя" не увидит DNS запросов так и так.
Хоть как-то скрыть свою "переписку" от любопытного провайдера "последнего" слоя можно только имея пару дюжин выходных нод (проксей, других VPN-сервисов и т.д.) и раскидывая запросы между ними.
Но это сложно (если велосипедить самому - а тор и Ко это отдельная история) и без каких либо гарантий, что на самом деле все эти "маленькие и гордые, независимые VPN/прокси/итд-провайдеры" не принадлежат одному доброму дяде.В общем выходит так - если ты используешь "нормальный" VPN, то и без DoH между вами никто ничего не прочитает.
Если ты не используешь VPN, то твой провайдер знает, куда ты подсоединялся и скрытие запросов тут не сильно поможет.
Если ты используешь TOR &Co, то тебе, наверное, тем более на один мужской орган не сдалась отправка запросов в гугл или клоудфлер или еще куда.
Если подсоединился через открытый вайфай (т.е. недоверенную сеть), то … как раз для этого случая и изобрели VPN.
> Если ты используешь TOR &Co, то тебе, наверное, тем более на один мужской орган не сдалась
> отправка запросов в гугл или клоудфлер или еще куда.На минуточку, они могут "профайл клиента" отстроить и тор будет от них помогать сильно меньше чем по задумке должен.
Причём TLS им в этом сильно поможет (implicit fingerprinting), он ведь не затачивался под анонимность.
> какому-то Cloudflare (он вообще юридически представлен у нас?) чем-то надёжнее моего провайдера?Это с тех пор как перестали выдавать бумажки экстрасенсам юрик в рф стал оплотом надежности?
Юрик в РФ, выполняющий требования регуляторов, не будет забанен (скорее всего).Контора из США, профессионально занимающаяся отслеживанием пользователей и блокировкой доступа, скорее всего получит по щам довольно быстро.
Влажные фантазии анона мало имеют общего с реальностью.
Я не понял, вы на свою жизнь-жестянку жалуетесь?
С кем у тебя договор, вася? С мтс-ами и ему подобными которые с трафиком и пользователями творят всё что хотят наплевав на договора?🤣 Ты дурачок по-ходу если веришь каким-либо провайдерам/опсосам и их договорам.
Ну, вы-то, надеюсь, не через провайдера в интернет выходите?
Кстати, как?
Я мало кому верю, но смело иду в суд, если кто-то со мной имеет письменные обязательства и их нарушает. А писать письма в другую страну в случае нарушений — это письма в Спортлото.
в Спортлото... вот именно что бы не было спортлото - все кто хочет работать на "территории" - должны здеся иметь юрлицо... и именно по этому лицу...
> Применение DoH может привести к проблемам в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Для обхода подобных проблем реализована и протестирована система проверок, автоматически отключающих DoH при определённых условиях.Выпилить!
И фейсом об тайбл этих умников.
В дополнение.Ну может быть я чего недопонимаю, но все же!
> Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet. .
Одичали в конец!
И конечно же фейсом об тайбл.
Выпилить!
Чтобы усилить ваш баттxёрт, скажу, что такая штука, как eSNI, которая в теории должна защищать от подсматривания имя хоста, на который вы идёте по TLS, в случае проблем откатывается на обычный SNI, который всё покажет. Выявить и создать проблемы — тривиально.
Чет народ про Tor позабыл. Ну и опять же HTTPS прокси.
В случае tor ты таки доверяешься exit node на предмет что она сконектит тебя куда ты попросил, в том числе и ее dns resolution. Который может работать, может не работать, может работать криво. В втором случае tor повторит попытку с другого exti, всего iirc там 3 попытки с разных точек если сразу не удалось.Однако интереснее всего если ты конектился, exit подсунул какое-то фуфло (или его подсунул пров exit'а). В этом случае конект может случиться к чему угодно. В случае TLS ты даже в принципе можешь и заметить что это не тот хост который хотелось. А вот в нешифрованных протоколах... в общем их только как onion сервис можно юзать через тор (там свое end-to-end шифрование). Иначе на нешифрованном участке от exit до назначения может случиться что угодно.
Поддерживаю.
"Родительский контроль" в современном мире - это поставить проприетарную пpибдyдy от одного из тысяч гoвноделов, которая ниxpенa не гарантирует, и свалить на работу, пока чадо плавает в [s]океане говна[/s] этих ваших интернетах, в надежде на то что ничего нехорошего там не всплывет))
По-сравнению с океанами говна во дворе и в школе, интернет просто тихая гавань. В интернете хотя бы твою дочку за гаражами не изнасилуют.
Во-первых, там её пригласят за гаражи, во-вторых, там потом выложат видеоотчёт.
Ну если пригласят и согласится то твоя дочь дура или шлюха и в этом выновны либо родители либо наследственность(тоесть опять родители), а не интернет. А во дворе и приглашать не будут как в "этих ваших интернетах" , в тачку затолкают и на "пикничок" за город. А потом менты на опознание пригласят. А зато не в интернетах сидела, а на свежем воздухе гуляла!
на свежем воздухе гуляла, ......героинчиком кололась :-)
> "Родительский контроль" в современном мире...это когда чадо задолбалось да и вернуло родичам фавор, поставив троян или ограничения. При том в силу уровня владения IT данный сценарий происходит чаще чем обратный :D.
Представляете, 90% старперов не знают как поставить даже пароль на телевизор. А вот любопытная мелкота его может и найти и даже поставить. И вот тогда случается родительский контроль. Вы хотите посмотреть любимое порево, а у вас - фигакс - пароль какой-то спрашивают! :)))
принудительный DoH - какой-то совершенно детский бред. под красочной вывеской "не доверяйте DNS-резолверам своего провайдера - доверяйте нам. искренне и навеки ваш, Cloudflare" обезъянам в очередной раз пытаются внушить идею что о них заботятся. у любой более-менее IT-компании как-правило своя сеть резолверов. с DoH или без - по желанию
Мы в общем то всегда доверяем "DNS-резолверам своего провайдера". Особенно мы рады когда нам продають доступ в сеть Интернет, без доступа к некоторым IP. А так да, мы доверяем ;)
Ну так это вопросы не к провайдеру, а к законодательству конкретной страны. Строго говоря, провайдеру вообще неинтересно что-то там блокировать, только лишний геморрой.
ха! Провай-дыру очень интересно, зато, чтобы я в своём нагиосе увидел на весь экран рекламу "подпишись на почтибесплатный сервис и купи вольксвагин за полдвойнойцены!" без кнопки "нет".
убей не помню в Nagios (до версии 3) такого плагина. думаю подобное интересно наверное лишь тебе, да его автору
> убей не помню в Nagios (до версии 3) такого плагина. думаю подобное
> интересно наверное лишь тебе, да его авторуЯ намекал на то что провайдеры наподобие всем известного мегафона вклиниваются в любой доступный им HTTP-трафик (даже твоего собственного сервера) и вколачивают туда всё что им вздумается. Например оргомный постер и JS.
При использовании HTTPS это невозможно, вне зависимости от шифрования DNS.
Спасибо, КО.
Тогда смысл в вашем комментарии 4.121?
> Мы в общем то всегда доверяем "DNS-резолверам своего провайдера". Особенно мы рады когда нам продають доступ в сеть Интернет, без доступа к некоторым IP.Конечно, это позволяет почувствовать себя гражданином United Kingdom.
Если бы ещё за окном помойки не было...
Для того, чтобы почувствовать себя гражданином United Kingdom достаточно:
обрезать себе скорость интернета до 2kb/s и поднять цену за трафик на порядок.
А свою помойку за окном убери, она не от страны зависит.
Отключается в настройках.
бублички нынче слишком тупые пошли 🤣 что-то в настройках отключать это черезчур! Они браузир ставили не для того чтобы в настройках крacноглазить!🤣
По прежнему не работает при включении. Его вообще как нибудь можно включить? Хотя бы на попробовать.
Если через роутер, то меняйте настройки DNS в самом роутере. Можно сделать, чтобы все устройства, подключаемые к роутеру, имели соответствующий DNS
Как отключить все эти дополнительные проверки чтобы DoH всегда был включен?
Какие именно?
Если нравится вариант фф - так и ипользуйте, проверок нет.
Если не нравится - ставьте stubby, и всё это будет реализовываться прямо на оси. Там и сервер выбрать любой можно.
network.trr.mode=3. На данный момент известно что тогда открытым днс резолвятся только captive portal https://bugzilla.mozilla.org/show_bug.cgi?id=1593873 (его нет смысла резолвить через DoH, и если проверка на портал не нужна, можно выключить network.captive-portal-service.enabled, тогда и днс запроса не будет) и отправка телеметрии при закрытии браузера, т.к. там отдельный процесс и его сложно к DoH привязать https://bugzilla.mozilla.org/show_bug.cgi?id=1610365 (и телеметрию тоже можно выключить).
Когда оно появилось пробовал, жутко тормознуто было.
Оно и сейчас у меня в 4 раза медленнее DNS от оператора.
Потому что не UDP как DNSCrypt.
UDP как-то позволит избежать большого оверхеда на TLS?
Держи в курсе!
Начали под централизованный колпак хомячьё пересаживать... А кто даст гарантию, что CloudFlare честно разыменует запрос, а не протуннелирует тебя с подменой сертификата? Тем более, что они-то и занимаются контент-деливери сетями.
А зачем ее давать, когда люд потребляэ?
> Изменить провайдера или отключить DoH можно в настройках сетевого соединения. Например, можно указать альтернативный сервер DoH "https://9.9.9.9/dns-query" для обращения к серверам Google, "https://dns.quad9.net/dns-query" - Quad9 и "https://doh.opendns.com/dns-query" - OpenDNS. В about:config также предусмотрена настройка network.trr.mode, через которую можно изменить режим работы DoH: значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.4-й же вариант!
У Вас наверное какая то особая гарантия?
Вот, предположим Вы, со своей гарантией, вдруг, ну может быть не совсем вдруг, обнаружили, что с двух различных каналов получены различные ответы. Что Вы станете делать? Даже с учетом вашей гарантией ;)
Под колпаком COPMа уютнее? :-)
CloudFanny те ещё п(ом)идоры. С гуглом в одной койке.
Мечтают приучить юзеров вводить goolag-капчу на каждый DNS-запрос )
А еще они TLS на себе терминируют. "Для целей ускорения". Ага, после этого безопасность идет лесом и клаудспайварь может hijack-ать траф. Чем и занимается, на примере гуглокапчи. Это ж не контент сайта, это фигня врезанная клаудспайварью в траф.Т.е. зеленый замочек ничего не гарантирует. Совершенно левая фирма вклинивается в траф. Круто.
Ну, у Китая есть Великий Китайский Фаервол, а у США есть CloudFlare.
Оба они выполняют одни и те же функции
– смотрят, кто куда ходит
– решают, куда можно ходить, а куда нетНадо сказать, у американцев получается лучше, потому что вклиниться в HTTPS и китайцев пока не получилось.
> кто даст гарантию, что CloudFlare честно разыменует запросЯ могу дать гарантию, что %твой_говнопровайдер% сто процентов подделывает днс-запросы.
Подними свой DoH и делов то. А вот подняв свой DNS, ты даже как админ не можешь гарантировать, что твои резолвинги не будут исправляться.
Лучше свой dnscrypt поднять. Работает в разы быстрее.
> Я могу дать гарантию, что %твой_говнопровайдер% сто процентов подделывает днс-запросы.Какие ваши доказательства?
> Не должен хранить логи дольше 24 часовПочему бы просто не заюзать Tor DNS или DNSCrypt?
Так и вижу, домохозяйки гуглят мануалы по настройке Tor DNS или DNSCrypt. :D
Товарищ Ленин, может вы залогинетесь?
apt install tor
echo "DNSPort 53" >> /etc/tor/torrc
echo "nameserver 127.0.0.1" > /etc/resolv.conf
systemctl restart torОчень сложно, да.
systemctl: команда не найдена
Тогда страдай, утенок
Вы нетолерантны к пользователям Шindoшs.
Причем сам Tor может подняться без DNS. Но я правда не уверен сможет ли, если очень давно не включать.
разве DoH и DNS-over-TLS более можный-молодежный-современный? который есть в роутерах изкоробки
> DNSCryptИ что это изменит, умник? Ты в курсе что это просто протокол, как DoH и DoT? Но не являющийся стандартом. Допустим они заюзали бы (или ты заюзаешь) его, как это повлияет на хранение логов?
Ну вот так и повлияет - провайдеру не будет видно что там реально было. А то что они хранят какой-то мусор, кому это мешает?
Почитайте про SNI (и заодно про провал eSNI и блокировку domain fronting).
Если ваш провайдер захочет, то всё увидит.
И еще, разработчик dnscrypt хвалит DoH (и ругает DoT). И в своем dnscrypt имеет поддержку DoH протокола.
https://dnscrypt.info/faq/
> Tor DNS или DNSCryptНо для этого еще надо eSNI, иначе домен легко вытаскивается из пакета. Они также могут конфликтовать с VPN.
Так что мозилловская реализация защищает от провайдера в пользу АНБ. Причем, защищает только себя, а у нас репозитории на голом http еще.
> Но для этого еще надо eSNI, иначе домен легко вытаскивается из пакета.При блокировке eSNI каким-нибудь MitM-ом (что весьма несложно), браузеры откатываются на обычный SNI.
И ничего с этим не поделать — надо же как-то обеспечивать совместимость с теми серверами, которые eSNI не поддерживают.
Каким митмом? Технология ESNI включается когда в днс домена указана поддержка. Не указана - работаем как раньше. ESNI в лисе завязано на DoH, без него не работает. Митмить и откатывать придется днс.
> Сервис также должен дать обязательства не цензурировать, не фильтровать, не вмешиваться и не блокировать DNS-трафик, за исключением ситуаций, предусмотренным законодательством.Вопрос: ЧЬИМ законодательством?
Ихним, вася. Они ихние сервисы в инхних странах и ихних-же интернетах продвигают🤣 Интернет это вобще проект ЦРУ по заявлению одного пережившего анальную геополитическую трагедию престарелого карлика🤣🤣🤣
Stubby на openwrt и нет проблем, работает на все устройства в доме. 👺👺
VPN на OpenWRT и нет проблем, работает на все устройства в доме. 💪💪💪
Подскажите как настроить dnscrypt-proxy и включить DoH в firefox и подключиться к dnscrypt-proxy
звучит как немецкое πορно
> немецкоеЯ видел только Manuel.
Вот зачем я об этом вспомнил?...
В wiki есть
https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Local-DoH
А можно как-нибудь это надежно выключить, чтобы потом не вспоминать?
можно, удалив FF
> DoH ... CloudFlareНазывается, пустили козла в огород капусту сторожить
>>>при желании отказаться от обращения к централизованным DoH-серверамЦентрализация - это социализм. Точнее подготовка к нему. Ох не зря Сандерс победил в Неваде. Победит на президентских выборах.
> Ох не зря Сандерс победил в Неваде. Победит на президентских выборах.
> The social media company is going to get Trump re-elected — because it’s good for business. https://www.nytimes.com/2020/01/31/opinion/soros-facebook-zu...
Хэй, камрады, посоветуйте годный браузер, который будет Google Chrome, но не Google Chrome, вернее Chrome, но не Google.
гугли Ungoogled Chromium
Буду следить. А что-нибудь более готовое?
Яндекс Браузер
> Яндекс БраузерТогда уж лучше сразу амигу.
В статье ИМХО ошибка,network.trr.mode=0 это дефолт, a не запрет и как только они решат что дефолт DoH, то ноль будет DoH
Для запрета нужо юзать network.trr.mode=5
https://wiki.mozilla.org/Trusted_Recursive_Resolver
network.trr.mode
0 - Off (default). use standard native resolving only (don't use TRR at all)
1 - Reserved (used to be Race mode)
2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback.
3 - Only. Only use TRR, never use the native resolver.
Up to FF >= 73, this mode also requires the bootstrapAddress pref to be set.
Starting with Firefox 74, setting the bootstrap address is no longer mandatory - the browser will simply bootstrap itself using regular DNS, unless the DoH server domain can't be resolved.
The native resolver will still be used for portal detection and telemetry (Bug 1593873)
4 - Reserved (used to be Shadow mode)
5 - Off by choice. This is the same as 0 but marks it as done by choice and not done by default.
> network.trr.mode=0 это дефолт, a не запрет и как только они решат что дефолт DoH, то ноль будет DoHНе ноль будет DoH, а юзеров с дефолтного 0 будут переводить на 2. Но юзеров с 5 (ручное отключение) переводить не будут.
Спасибо! Выставил везде в 5
В общем к хостинг-провайдерам, провайдерам контента и провайдерам доступа добавились ещё и провайдеры секурности. И все хотят денег
Вот полный список:
1. Провайдер домена - 500 руб/год
2. Провайдер хостинга - 1000 руб/год
3. Провайдер сертификата - 600 руб/год
4. Провайдер канала - 500 руб/мес.Скоро от корпорастов:
5. Провайдер воздуха - 100 руб/день
6. Провайдер еды - 500 руб/день
7. Провайдер кайфа - 1000 руб/мг
8. Провайдер подъёма с колен - бесценно.Ну и так далее.
>Провайдер кайфа - 1000 руб/мгЕште дети капсаицин - от него тоже кайф и он дешевле :)
Мда, будто в новости про политику зашел. Брр...
Почитал. Страшно. Дайте плз другой интернет, желательно на других физических принципах (ну там гравимагнитный какой-нибудь)... Видимо надо переползать на links & K...
Уважаемые гуру, почему в Firefox под Минтом 4К видео тормозит, а в Хромиуме нет?
это же Тор... мозилла.
А почему у меня наоборот?
Моментами мне кажется, что часть критиков данной технологии на самом деле имеют иную цель - убедить пользователя сидеть на локальных провайдерских DNS...
Кто там минусуёт, человек же сказал, что кажется и говорил по часть комментаторов.
Это не технология а услуга.
Столько визгу-то! А всего лишь надо взять копеечный VPS в обожаемой вами Африке и поднять на нем shadow-socks