Разработчики Mozilla сообщили (https://blog.mozilla.org/futurereleases/2019/07/31/dns-over-.../) о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). В рамках проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов. Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS").
В рамках исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов. Для выявления систем родительского контроля будет отправлен запрос на определение имени exampleadultsite.com и если он не совпадёт с фактическим IP, можно считать, что активна блокировка взрослого контента на уровне DNS. Также будут оценены IP-адреса возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com.
Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети.Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".
URL: https://blog.mozilla.org/futurereleases/2019/07/31/dns-over-.../
Новость: https://www.opennet.me/opennews/art.shtml?num=51204
Годная инициатива. Лично себе давно поставил unbound и шифрую днс траффик
Кто подскажет годные днс серверы, куда форвардить запросы?
8.8^W 1.1.1.1А если серьёзно, то как насчет OpenNIC?
Если unbound умеет в DNSCrypt, то смотри списки https://github.com/dyne/dnscrypt-proxy/blob/master/dnscrypt-...
Там указано кто без логирования, кто с какой-нибудь вырезкой рекламы, есть из чего выбрать
Если не умеет, то поставь dnscrypt-proxy и юзай его(как вариант сделай из них связку, если зачем-то нужен unbound)Я везде юзаю dnscrypt-proxy, мне так спокойней, даже на своих серверах, которые стоят в цивилизованных странах, все запросы только через DNSCrypt к тем кому я доверяю.
> то смотри спискиСейчас только ленивый не делает "семейный днс", а в списке нет днс серверов, например, яндекса. https://dns.yandex.ru/.
Список какой то куцый.
Яндекс умеет в DNSCrypt? Нет же. Я русским по белому написал, что это список тех кто умеет в DNSCrypt.
Ну и да, пользоваться теми серверами, что нидерландская фирма Яндекс держит на территории так называемой Российской Федерации может придти в голову только если сам ты живешь где-нибудь в ЮАР, не имеешь российского гражданства и никогда туда не собираешься. В остальных случаях стоит использовать что-то другое.
Но в списке есть яндекс же, просто не все его днс. Я об этом писал.P.S. И попробуй доказать теперь что ты адекват.
Зачем мне что-то доказывать буковкам в интернете? У меня своих дел в этой жизни хватает.
по причине высокой занятостм ты столько комментариев нагенерил.
Он недавно проговаривался, что писать комментарии — это его работа. Why not?
Давай же ссылочку, лжец.
зачем? и так понятно...
Некоторое время назад обращался в ТП Яндекса с вопросом из смежной области.
Мне их ребята сказали, что Яндекс.ДНС поддерживает DNSCrypt.--- не на правах рекламы ---
(к слову сказать, мне кажется его поддержка внедрена в их же веб-браузер - вкл.на вкладке "Безопасность" его настроек).
Только соль в том, dnscrypt яндекса логирует все запросы. Как и гугловый 8888. И использует против вас для показа рекламы.
Про это ничего сказать не могу...
Я лишь отвечал на, на мой взгляд, ошибочное утверждение о том, что сервис Я.ДНС не поддерживает DNSCrypt.
Я не хожу на сайты с рекламной сетью Яндекса.
А это просто информация. Как и во многих других случаях про это крайне полезно знать. А действовать уже так, как считаешь нужным.
Яндекс умеет в DNSCrypt. Именно в DNSCrypt, а не doh и dot. Ecли честно - это единственный сервер DNSCrypt, о котором я знал до данного момента.
> Ну и да, пользоваться теми серверами, что нидерландская фирма Яндекс держит на территории так называемой Российской Федерации может придти в голову только если сам ты живешь где-нибудь в ЮАР, не имеешь российского гражданства и никогда туда не собираешься.Откуда такая ненависть к Нидерландам? Еще посоветуйте всем тамошним жителям в ЮАР уехать.
Там Яндекс есть и да он в конце списка.
При наличии DNS-over-TLS DNScrypt это "не нужно" ибо оверинжениринг в чистом виде.
> При наличии DNS-over-TLS DNScrypt это "не нужно" ибо оверинжениринг в чистом виде.DNSCrypt protocol 2 существует с 2013 года, DoT существует с 2018 года. Зачем отказываться от проверенного за эти годы решения в пользу решения которое еще формируется? Приходи через 5 лет на мою могилу, тогда и поговорим об использовании DoT.
Затем что DoT идёи из коробки без прокладок и свистоплясок с их настройкой.
DNSCrypt идет без прокладок, ставишь резолвером dnscrypt-proxy и все работает.
А для DoT надо ставить unbound резолвером
Никакой разницы
Расскажи как для убунты поставить. Я за****ся уже прописывать в различные network-targetы systemd. Прописываю в качестве резолвера - инет отваливается вообще.
Ставишь какой хочешь резолвер, а потом так мышкой ТЫК-ТЫК и в нетворк-менеджере задаешь IP на котором он у тебя слушает(я вот обычно отправляю dnscrypt-proxy отправляю куда-нибудь на 127.0.3.1, где он точно ни с кем драк не устроит за порт). И никакие юниты править не нужно, вот ведь в чем парадокс. А ты явно ничего не пытался делать, а просто слова из чужих комментов вставляешь.
> А ты явно ничего не пытался делать, а просто слова из чужих комментов вставляешь.Это враньё. Причём наглое.
>в нетворк-менеджере задаешь IP на котором он у тебя слушает
Он у меня на unix-socketе.
> Он у меня на unix-socketе.Тогда nss-плагин нужен, с прописыванием в nsswitch.conf.
>Расскажи как для убунты поставить.Тaщемта тут никакого секрета и нет. Просто берешь и ставишь без задней мысли.
Но еще нужно будет отключить или настроить (я не смог) systemd-resolved
>Зачем отказываться от проверенного за эти годы решения в пользу решения которое еще формируетсяЗатем что в DNSCrypt вся инфраструктура PKI это текстовый файлик в репозитории проекта.
А DNS over TLS(или HTTPS) использует существующую инфраструктуру, с УЦами, сертификатами, библиотеками, прикладным софтом, и все это проверено десятилетиями.
Технически DNSCrypt может и круче, но это еще не всё что важно.
наоборот - ваше dns-over-tls с установкой tls сессии на кажды чих - оверинжиниринг в наихудшем его виде - не от того что заложили много функций, а от того что собрали велосипед из деталей от трактора Беларусь, потому что ни о чем кроме tls вообще не читали и не слышали. DoH можно простить - он изначально придуман для использования внутри браузера и, если его оттуда и не выносить, сравнительно адекватен решаемой задаче.Но и DNSCrypt точно такое же ненужно - когда я в описании протокола в первых же строчках вижу:
The default port for this protocol should be 443, both for TCP and UDP.
- это писал %дак. На этом можно его описание закрыть и дальше не читать - %дак он во всем будет %дак и сделает криво, ненадежно и в конечном итоге еще и небезопасно.
у cloudflare есть onion адрес для dns
это чтоб они в торе тоже могли тебя отслеживать? Удобно, чо.
Поставь unbound на виртуалку за рубежом, шифруй канал до неё, а там включай рекурсивный резолв, так ты будешь независим от сторонних сервисов и не будешь светить в статистике своими запросами гуглу или Cloudflare.
При таком раскладе можно даже 443 порт использовать для пущей маскировки.
А ещё лучше "both for TCP and UDP".
>Кто подскажет годные днс серверы, куда форвардить запросы?A зачем кому-то форвардить, когда unbound может работать напрямую с root DNS servers ?
#!/bin/sh
# update copy of root servers IPs once every 6 months.
curl -L -o /etc/unbound/named.cache http://ftp.internic.net/domain/named.cache
#и добавить в конфиг unbound-a
server:
root-hints: "/etc/unbound/named.cache"# послать нa xeр всех forwarders
unbound-control forward off
А с британскими службами согласовали? Ай какие злодеи! Ещё нужно получить одобрение РКН. Больше шифрования они завозят, ну и злодеи интернета!
> А с британскими службами согласовали?Какими именно? Или анонимы опять ISP со спецслужбами путают?
> Ай какие злодеи!Ай да анонимы!
> Какими именно?Центр правительственной связи Соединенного Королевства, местный РКН, выдающий ISP предписания на блокировки, а также предоставляющий сервера для аггрегации данных DPI (собираемых в рамках проекта PRISM) перед передачей в США.
>> Какими именно?
> Центр правительственной связи Соединенного Королевства, местный РКН, выдающий ISP предписания на блокировкиТочно блокировки, а не опт-оут фильтр?
Но что еще интереснее - почему у местных такая нездоровая тяга ссылаться и ориентироваться на UK, которое за это критикуют все кому не лень и включали в списки "Enemies of the Internet"
https://web.archive.org/web/20140424024221/http://12mars.rsf.../
https://www.smithsonianmag.com/smart-news/united-states-decl.../
> The list usually includes countries you might expect: Saudi Arabia, China, North Korea. But in 2014 it also includes two countries that pride themselves on freedom of expression: Britain and the United States.
> почему у местных такая нездоровая тяга ссылаться и ориентироваться на UKНачальство сказало, вот он и ссылается, он сам недавно проговорился что писать тут это его работа.
> Точно блокировки, а не опт-оут фильтр?Точно, там ути-пути фильтр... :-)
Наминацию на злодея года отозвали.
> блокировка взрослого контента на уровне DNSЭто расчитано на умственно отсталых детей? Обходится же левой пяткой.
Это расчитано на "голые тёти сматреть онлинь"
Это рассчитано на удобство пользоватенлей. В Британии была достигнута договорённость, что блокировки осуществляются средствами DNS. Закон соблюдён, а пользователям для обхода не надо особо напрягаться. Если же демонстративно начать дразнить гусей, то властям придётся усиливать технические аспекты блокировок, чтобы сохранить лицо.Чем-то похожая ситуация была с блокировкой сайта Навального. Команде Навального разработчиком программы GoodbyeDPI были даны инструкции, как настроить веб-сервер таким образом, чтобы он генерировал HTTP-заголовки, которые существующие системы DPI на тот момент пропускали без обработки (а браузеры эти неточности игнорировали и у пользователей сайт открывался). Были чётко расписаны будущие шаги в духе "если такой способ перестанет работать, сделайте ещё вот так". Команда Навальнго вместо того, чтобы следовать главной цели - обеспечить долговременную доступность своего сайта (для чего нужно было не привлекать внимание, возможно, даже работать очень тонко, отдавая конкретным провайдерам разные трюки, сообразно применяемой у конкретного провайдера системе DPI) решила хайпануть, заюзала сразу все переданные им способы и начала демонстративно публиковать новости "ах, какие тупые власти, мы их обскакали". В короткий срок всё было кончено.
> Чем-то похожая ситуация была…Интересно, где можно почитать подробнее/ещё?
http://nnmclub.to/forum/viewtopic.php?p=9515774#9515774Отсюда и до конца страницы. Но я, по сути, пересказал всё, что там писал разработчик GoodbyeDPI.
Благодарю за ссылку на первоисточник.
так так так ... А этот сайт случаем не заблокирован "навечно"?
а ты как думаешь?
Спасибо за ссылку, жалобы со стороны ValdikSS — очень наивные, ему ли не знать что security by obscurity не работает.
Откуда такие дровишки?
> Это рассчитано на удобство пользоватенлей. В Британии была достигнута договорённость, что блокировки осуществляются средствами DNS. Закон соблюдён, а пользователям для обхода не надо особо напрягаться. Если же демонстративно начать дразнить гусей, то властям придётся усиливать технические аспекты блокировок, чтобы сохранить лицо.Если бы ValdikSS не дразнил гусей (эпизод с Навальным — очередное дразнение, а не первое), в России ситуация могла быть такой же. Но нет, надо было громко и публично доводить до общего сведения, что РКН — дураки, и блокировки обойти легко. Понятно, что РКН ответил на этот челлендж.
Кстати, FYI, ValdikSS сотрудничал в весьма интересной конторе под названием Digital Security https://lenta.ru/news/2018/06/11/new_sanctions/
> в России ситуация могла быть такой жеСмешно.
> "ах, какие тупые власти, мы их обскакали".
> В короткий срок всё было кончено.Вопрос, оставшийся незаданным явно: так кто тупой-то на практике? :)
уже не помню почему(вроде не работает), но вместо https://9.9.9.9/dns-query использую https://dns.quad9.net/dns-query
> По умолчанию используется DNS-сервер CloudFlareА объясните, зачем CloudFlare так активно проталкивает свой 1.1.1.1?
Зачем гуглу 8.8.8.8 - понятно. Но CloudFlare вроде не зарабатыват на рекламе и слежке за юзерами, их продукт - CDN. Тогда зачем? Что-то здесь нечисто.
Иди читай что такое CDN, потом что такое Geo-based DNS. Может что-то поймешь.
>>CloudFlare вроде не зарабатыват на рекламе и слежке за юзерамида, рекламу пока можно вычеркнуть. и всё.
потому CF лучше избегать.
> да, рекламу пока можно вычеркнуть. и всё.не пока, а вообще - всё.
Сейчас давно уже не слежка ведется для лучшей рекламы, а, наоборот, слежку маскируют под рекламу.Баннеры 1x1px не могут ничего рекламировать, запомните это.
А уж авторы mitm-для-всех-и-каждого,добровольно-и-с-песнями - конечно же честнейшие ребята и следить за вами им и в голову не приходит, что вы, что вы.
> Сейчас давно уже не слежка ведется для лучшей рекламыА вы не задумывались, зачем тогда вести слежку.
Основные продавцы результатов слежки — фейсбук и мессенджеры (гугл — автономен, сам следит и сам пользуется). Основные покупатели — рекламные сети/сеошники и банки.Все-таки слежка идет ради втюхивания рекламы, то есть товаров. И кредитов.
> А вы не задумывались, зачем тогда вести слежку.разумеется нет, я сразу понял что кругом честные люди, и они вовсе не собирались за мной следить - а списочек из сотни трекеров, которые пришли за мной при попытке воспользоваться одним-единственным сайтом - это мне мерещится.
> Все-таки слежка идет ради втюхивания рекламы, то есть товаров.
мне кажется, уже нет. Слежка уже идет ради самой слежки.
При хорошем для нас с вами раскладе - это окажется просто инвестиционным пузырем, который годиков через пять громко чпокнет, и все эти индусские ребята снова пойдут содить рис у себя в деревне. К сожалению, оставив после себя публично или с небольшим усилием доступные технологии, которые потом будет пользовать кто надо, но уже не так широко.
При плохом - основным "инвестором" окажутся государства.
Содержать такую систему обходится довольно дорого - это полноценный HA/HL, потому что если из-за твоего 1x1px.gif зависнет на отрисовке страница - тебя тут же выпилят нафиг, втюхивание рекламы ее вообще не может окупать, в принципе - последние лет десять. Посмотрите сколько уцелело banner network'ов помимо гугляндекса, и каких помойных. Почитайте, хотя бы, страдания владельца опеннета, что реклама перестала его не то что кормить, а счета отбивать, и единственная, которая еще может приносить хоть какой-то доход - это уже совсем порнуха.
Это уже давно сложившаяся ситуация. Казалось бы, количество трекеров должно стремительно падать (напоминаю - все это дорого!) - но нет, не тут-то было.
> При плохом - основным "инвестором" окажутся государства.Не при "плохом", а при "ожидаемом". Сейчас инвесторы частные только потому, что государства всё делают медленнее корпораций.
Я дома настроил unbound c DNS-Over-TLS. DoH дикий рак, особенно, если он будет настраиваться для каждой программы отдельно.
DNS-Over-TLS рак и хуже DoH. См. сравнение протоколов: https://dnscrypt.info/faq/
Чтобы иметь один DoH на всю систему, используйте dnscrypt.
Цензура изжила себя.
Ох, если бы. Роскомсвободу просматривай иногда.
На Thu, 01 Aug 2019 12:00:03 +0200 в российском цензурном списке сети интернет 202104 строк
Зато малолетние идиоты себя никогда не изживут.
И это прекрасно, будущее принадлежит детям!
> И это прекрасно, будущее принадлежит детям!Расскажите это "ничегонеподозревавшей сотне" при встрече.
На 3-ке нет соединения, на 2-ке работает.
network.trr.bootstrapAddress. Если с ним не работает, значит вообще не работает и двойка откатывается на голый днс.
И с ним не хочет.Пока подожду.
> По умолчанию используется DNS-сервер CloudFlareНо почему используют DNS от макак, а не наш Яндекс или Adguard на крайний случай.
Те макаки хоть без гранаты, в отличие от.
Не утрируйте.
> Те макаки хоть без гранаты, в отличие от.Почему это "в отличие"? Тут ниже подсказывают, что Яндекс — _иностранная_ компания, причем не из мерзкого Китая, а с Благословенного Запада (а именно, из Нидерландов). Чем она хуже CloudFlare?
не рушь им картину мира :) они же зависнут.
Яндекс вроде как не поддерживает DoH
Зато Adguard прекрасно поддерживает к тому же рекламу чудесно режет.
Я вообще не понимаю, почему я должен доверять Cloudflare больше, чем своему провайдеру. Особенно с учётом того, что секурный CF откровенно тормозит и холодная загрузка сайта CNN занимает на 2-3 секунды больше в сравнении с провайдеровским DNS. Тестирую на нём, т.к. там клинический случай — несколько сотен запросов (при отключенных блокировщиках рекламы). Да и блокировки по DNS — это для Британии, у нас такого не наблюдал, уровень выше.
>Я вообще не понимаю, почему я должен доверять Cloudflare больше, чем своему провайдеру.Ключевая ошибка. На мой взгляд, правильнее так: Почему я вообще должен кому-то неизвестному доверять.
Правильно, вот провайдера или банк я знаю, у меня даже с ним договор есть. А вот каким-то let's encrypt или cloudflare доверять я оснований особенных не вижу.
Кажется у Вас прояснилось в головах многое - рассеялся дым и туман накинутый западом. Отлично так держать ребяты
Ну у многих и не было то в голове никакого дыма. Родина Россия! Иначе жить нельзя!
разница в том, что договор на родине гугля имеет приличную силу и потенциальную стоимость, а договором с местным провайдером можно подтереть >|<опу, потому что даже если и выиграешь, то получишь фактически компенсацию на таблетки - подлечить нервишки после всех похождений по всем инстанциямвот и выбирает народ меньшее из двух зол.. для таких крупных фирм хотя бы репутация и публичность определяет формат поведения
Ну так подай в суд на intel за неисправленные уязвимости в камнях. Думаешь выиграешь?
> разница в том, что договор на родине гугля имеет приличную силу и
> потенциальную стоимость, а договором с местным провайдером можно подтереть >|<опу,
> потому что даже если и выиграешь, то получишь фактически компенсацию на
> таблетки - подлечить нервишки после всех похождений по всем инстанциям
> вот и выбирает народ меньшее из двух зол.. для таких крупных фирм
> хотя бы репутация и публичность определяет формат поведенияА касательно сумм компенсаций в исках... Никто тебе не мешает указать сто тыщ мильонов в иске. Другой вопрос, что у нас такой ущерб тебе придётся ещё доказать, что я считаю вполне справедливым. Вон намедни буквально один щенок, поцапавшийся с индейцами на камеру, на CNN на несколько лямов иск подавал. С какого ляду он эти миллионы придумал?
> Правильно, вот провайдера или банк я знаю, у меня даже с ним
> договор есть. А вот каким-то let's encrypt или cloudflare доверять я
> оснований особенных не вижу.Ну и повторим ещё раз. let's encrypt отнюдь не гарантирует вам чего-либо по поводу какого-либо банка, несмотря на то, что банк может использовать его вполне легальный и действительный сертификат. Этим никак не гарантируется, что банк вас не обманывает, не обкрадёт, не разорён и т. п. И cloudflare тоже ничего такого не обещает. Что банк вас не обманет и заслуживает доверия по-прежнему может быть только гарантировано иногда например договором с банком. Или специфическими актами.
Ну и ваши рассуждения, кому вы склонны доверять особого интереса в контексте не вызывают. Речь здесь не о надёжных банках для вложений, как ни странно. И даже не о специфических провайдерах, готовых вам провести особо надёжную линию связи с вашим банком в кабинет к его директору... Здесь не об этих :-)
Надёжную линию связи с вашим банком? Это те, которые с двумя Курьерами на двух концах? А ирония моя вообще была по другому поводу. Я иронизировал над тем, насколько однобоко ряд местных "специалистов" по безопасности оценивают обстановку.
> Я вообще не понимаю, почему я должен доверять Cloudflare больше, чем своему
> провайдеру.А мы откуда знаем? Что вам этот "ваш провайдер" представил в качестве гарантий своей деятельности? Прецеденты посадок "клиентов" по доносам? >:-)
Повторю вопрос.
Ты гражданин Нидерландов или может акционер Yandex'а? Нет? Тогда он не твой. Наличие одного из офисов дочки на России не делает Yandex российским, как наличие офиса в Турции не делает его турецким, наличие офиса в Республике Беларусь не делает беларуским и наличие офиса в США не делает американским.
Причём тут гражданин Нидерландов и акционер Яндекса? Миноритарии (если конечно акция не "золотая") ничего не решают.
При том, что Yandex — нидерландская фирма торгующаяся на американской бирже. Российского в ней нет ничего. На России у нее пара офисов дочерней фирмы, но такие же офисы и такие же дочки у нее есть в Республике Беларусь, Турции, США и Израиле. Наличие дочек и их офисов в каких-то странах не делает Yandex относящимся к этой стране.
Один из основателей компании «Яндекс» Илья Сегалович так ответил на факт регистрации в Голландии:
— Вы голландская компания.— Нет, мы российская компания. А «Газпром-Медиа» — кипрская? А Google — делавэрская компания, раз они там зарегистрированы? <…> Давайте я поясню эту аналогию. Есть компания, созданная русскими людьми на русские деньги, которая работает в Москве, в которой 2500 работникам платят зарплату, платят налоги с этой зарплаты; работающая в России и создающая продукт для России. Эта компания называется российской. При этом она инкорпорирована за границей. Иностранные акционеры вследствие отсутствия правильного закона об акционерных компаниях в России боятся создавать тут юридическое лицо.
Ты не заметил, что Илья давно умер? А я заметил, даже на похоронах был, так как были лично знакомы.
>а не наш Яндекс или Adguard на крайний случайМайор одобряет.
Ох уж эти мамкины борцуны с режимом.
Со всем уважением к автору новости, “в рамках” давно уже превратилось в паразитное выражение и используется не к месту. Например,> Разработчики Mozilla сообщили о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS).
Разработчики Mozilla сообщили о проведении нового исследования по подготовке к внедрению функции обращения к DNS...
> В рамках проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов.
На системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов.
> В рамках исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов.
Для исследования будут собраны обезличенные данные, включающие...
И так далее. Не знаю, откуда эти паразитные рамки пришли, но этим весь рунет завален. :)
Советский канцелярит?
Когда видите подобные обороты в тексте, это значит одну простую вещь. Тов. майор текст отредактировал. Ааааа куда вы меня тащ
Всё исключительно в рамках закона: https://www.youtube.com/watch?v=eg8wsV7ogWU
стоп̀,̨ а͘ к̵т̢̣͓̹̔̊͑о ͠п͉ͧ͠р͜и͇͋ш͠ё̻л͙̥̈́͛ к̢о̮̐͟ ̥м͙̩͂̈н̢̬̳е̵ н̆̈́ͩͦͫ͌͡оч̸̵̭̙̫̠̞̙͉̹̳̼̾̃̏͊̉ͦ̊̄̽́͠ь̸̀͒ͪ͌͠ю̢͟͜?̩͙͉̞͓̱̗̭̥͔͓̫͉ с̧͞тͦ͐͆р̵̡̙̃а͊̃̇̑н̧̛̞̣̩̠̪͉̯̳̯̳̼̠͍̫̑͂ͧ̐ͨ̆̅̏ͭͥͧ̈́͛̑н̰̠̼͇̜̘͉̫̥̎͑́̄̉ͪ̑ͩ̍̈́ͅт̵͍̭̣͎̜̬̺̯̠̳̹̞̹͕ͭ̔̇̅ͥͧ̏̃͊̆ͭ̌ͣ̓о̶̖͞…
Обясните мне каким боком браузер должен отвечать за резолв адресов?
Прямым и непринужденным. Например при использовании Socks5 Хромиум-бэйзед всегда используют ДНС той стороны носка, а в Файрфокс-бэйзед раньше это решалось в about:config, а с пяток релизов назад появилась галочка в настройках. По дефолту включено
А как ещё? Процесс всегда сам резолвит адреса. Можно поставить dns сервак локально, но как правило никто этого не делает. При этом в libc интерфейс gethostbyname уродский -- там и не пахнет неблокируемостью, поэтому подчастую на gethostbyname забивают и используют сторонние библиотеки. mozilla запилила свою библиотеку. Вполне норм, по-моему.
всем срочно надеть шапочку из фольги и пересесть на FirefoxOS
а сложно было в настройках сделать кнопку вкл выкл "DoH"?
Может, тебе ещё и выбор сервера в настройках сделать?
> Может, тебе ещё и выбор сервера в настройках сделать?И он там есть
Засада, правда?
> а сложно было в настройках сделать кнопку вкл выкл "DoH"?А она там есть
я про настройки для "всех"
Она там есть, но она не позволяет включить режим номер 3
У одного у меня вообще ничего не работает, если выставить настройку на использование только DoH? Уже не один релиз прошел, а все так же не работает.
У меня на одной машине такая фигня. При чем непонятно даже что репортить, так как и полный снос профайла и запуск с нуля не помогает, а на той же системе с тем же Nightly на соседней все работает. И МПХ его знает почему так. Когда-нибудь разберусь и смогу зарепортить баг.
выбор между тем, кто за тобой будет подсматривать
dns провайдера или DoH
У CF DoH доступен через Tor. И что ты там приглядывать будешь? Для них такой запрос будет выглядеть, как пришедший с localhost.
И, да, доверия CF всегда больше, чем ДНСам твоего провайдера(либо паблик-днсам другой страны если ты живешь в США). АНБ нет дела до граждан России или Зимбабве, им на вас плевать, так же и спецслужбам Вануату пофигу на запросы граждан США. Всегда используй ДНСы предоставляемые кем-то из другой страны и твои волосы будут шелковистыми
Пользователям Тора можно специально малварь и эксплоиты подсовывать. ИМХО - это главный аргумент против использования тора.
> ИМХО - это главный аргумент против использования тора.А я думал — что контрольный пакет exit nodes принадлежит "пяти глазам" (AUSCANNZUKUS), а за доминирование в оставшихся 49% борются Китай и Россия.
> АНБ нет дела до граждан Россииподумала Бутина и попала за решётку. Прикол в том, что никаких доказательств против неё не нашли, она сама (с помощью спецслужб) подписала клевету против себя.
Правда не нашли? А почему тогда все доказательства есть в деле?
Нету, единственное, что она подписала - собственное признание.
> Нету, единственное, что она подписала - собственное признание.Там процесс закрытый, неизвестно вообще что там за доказательства.
Вот обвинение вроде бы известно, выдающееся: установление дружеских отношений, влияние на мнение о России в сторону улучшения, вообще заведение знакомств среди влиятельных лиц :-)Вот так. Теперь в СШП запрещается законом дружить, влиять на мнение, знакомиться... Видимо необходимо носить с собой специальную тряпочку, в которую и молчать. Правда это тоже может повлиять на мнение о России :-)
С другой стороны по слухам Бутина на всё это оприходовала что-то порядка сотен тысяч из бюджета "российских чиновников в ССП"... Американская охранка беспокойстве >:-)
в коментах похоже одни педофилы, которым надо скрывать, что они там рассматривают.
При чем тут твои девиации?
Да, я не хочу что бы каждый лох у провайдера мог видеть куда я хожу, так как то куда я хожу мое и только мое дело. У меня и жена не имеет доступа к моему логину на компе и не может зайти и посмотреть историю, так же, как я не могу посмотреть ее историю, у каждого есть личное пространство и для людей это нормально, а отсутствие личного пространства специфично для более простых приматов, наверное ты из них
> я не хочу что бы каждый лох у провайдера мог видетьПредпочитаешь, чтобы могли видеть только ровные пацанчики?
Гугл, твиттер и фейсбук — не пацанчики, а очень даже уважаемые люди. Их скрипты/кнопки есть на >90% сайтов.
Это которых вызывали в Конгресс на ковёр после слива десятков миллионов аккаунтов в третьи страны?
вот видишь - уважаемые люди, в конгресс вызывают, а не в подвал тащат!
Они в законе, кто их там посадит...
У Вас что, шифрованные хомяки у каждого пользователя своим паролем по средствам какого нибудь модуля PAM? Админ компа, теща? И физического доступа к системнику нет? ;)А личное пространство это да, чем его больше, тем оно тяжелее ;)
И конечно же, самое главное, какие то там бозоны нам фермионам не чета! Не говоря уже о братьях наших "меньших" ("более простых приматов" ;)
А будьте добры месячную историю вашу в публичный доступ, раз вам нечего скрывать. Выгрузку сделайте и ссылочку сюда
Сам возьми :) всё же "открыто", никакого дынээсоверхутэтэпыс нету.
доиграются со своими экспирементами небинарные, просрут оставшихся юзеров
>небинарныетекстовые?
Экстремизм будет проведен в очередной раз, вместо доработки браузера.
чем бы дитя не тешилось, лишь бы браузер не делать.
что то мешает DoH CloudFlare делать MITM?
Но это же сугубо демократический MITH от правильной компании из потрясающе демократической страны. Ты радоваться должен если тебя так осчастливят.
Откуда тут столько адептов яндыкса, топящих за доверие ко всему российскому? Вы думаете, что, если набежали в комменты и дружно плюсанули друг друга, то доказали свою правоту и кого-то переубедили? Идите и занимайтесь этим на яндыкс-районе, например.
Давно здесь уже так. Сплошные поцтреоты.