Разработчики Mozilla намерены (https://groups.google.com/forum/#!msg/mozilla.dev.platform/_...) провести в ночных сборках (https://www.mozilla.org/en-US/firefox/channel/desktop/#nightly) Firefox тестирование (https://bugzilla.mozilla.org/show_bug.cgi?id=1446404) нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS (https://tools.ietf.org/html/draft-ietf-doh-dns-over-https-02)). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).
DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров или для оганизации работы в случае невозможности прямого обращения к DNS-сервеам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.
Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.
В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением.
Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.
В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri, в настоящее время доступно два экспериментальных публичных сервера
"https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental".
URL: https://www.theregister.co.uk/2018/03/20/mozilla_firefox_tes.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48303
Ха. Годно. Провы, мухлющие с подменой DNS, аки бакланы, пролетают мимо...
Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь мало того надо убедиться что юзается dns за vpn / dnscrypt, еще надо будет как-то убедиться, что браузер не шлет их непойми куда...
> Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь
> мало того надо убедиться что юзается dns за vpn / dnscrypt,
> еще надо будет как-то убедиться, что браузер не шлет их непойми
> куда...Ну да, тут, конечно, не все гладко. Но пусть лучше будет такая возможность, чтобы применять ее там, где нет возможности заюзать vpn.
Иметь фичу и не иметь фичу - это вместе две фичи, а две фичи лучше, чем одна.
Не туда смотрите. На гаджетах сейчас установить dnscrypt можно только через рутирование. Если FF будет идти сразу с этой фичей, то это большое подспорье
Вот только DNS-запросы отправляет не только браузер, а значит, нужность DNSCrypt эта фича не отменяет.
Чо это? Об чем речь то?
Никто об этом и не заявляет!
Вот только DNSCrypt поставить на гаджет сможет 1 из 100,
кто рутировал. А кто не хочет рутировать, вообще не имеет
НА СЕГОДНЯ шансов. FF даст им этот шанс.
Однако не все потеряно и в маркете появилось куча предложений DNS over VPN
вот там не надо рута
> Чо это? Об чем речь то?
> Никто об этом и не заявляет!
> Вот только DNSCrypt поставить на гаджет сможет 1 из 100,
> кто рутировал. А кто не хочет рутировать, вообще не имеет
> НА СЕГОДНЯ шансов. FF даст им этот шанс.
> Однако не все потеряно и в маркете появилось куча предложений DNS over
> VPN
> вот там не надо рутаНаверное root там нужен для того, что бы трафик фильтровать?
Там загрузить сам сабж не сможешь, просто потому что ФС в r/o
ну так далее.. Там вопросом немало, которые без root никак
Не поверишь, но даже под ненавистный iOS есть
https://itunes.apple.com/us/app/dnscloak-dnscrypt-doh-client...
Не поверишь! )) Я общался с разрабом.
И даже пробовал и для 32 и для 64
Это DNS over VPN )) Иначе джейлбрейк!
Что за крик а драги нет? С VPN все просто, с dnscrypt - отрубить в FF эту фичу.
> Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPSХорошее начало, но...
> по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare
про то, что Cloudflare это общий проект АНБ с Китайцами, всё и так уже понятно, но похоже теперь и у Мозиллы не осталось других источников финансирования, кроме "пожертвований" от госорганов.
Окончательное превращение в шавок госдепа началось с закрытия API для аддонов, и теперь похоже там вся компания — сплошные внештатные сотрудники.
*Ни одного* решения за последние несколько лет не принято в интересах пользователей, — одни зонды, зонды, зонды, зонды.
Нам АНБ не почем. Это вам там за бугром угроза ))
У нас своих желающий регулировать, перлюстрировать, логировать (на полгода) хоть отбавляй.
Так вот и первая задача от этих г..регуляторов скрыть свои запросы )) А кто там дальше.. АНБ или АБВГД уже без разницы
Cloudflare - они ребята щедрые, - достанется и тебе. https://blog.cloudflare.com/incident-report-on-memory-leak-c.../, - данные тысяч сайтов внезапно полетели открытым текстом в html-фыхлоп их кешей и летели пока гугловцы, слегка офигели от масштаба протечек, не подняли тревогу. Про групповые иски от жертв утечек что-то ничего не слышно. И это только публичные сведения (и опубликовали ихтолько потому что гугловцы удосужились).А кого тебе больше нравится боятся, — ЦРУ или ФСБ, — не важно: продадут твои данные и бандитам, и рекламщикам, и тов. майору (если у него денег хватит).
Ураденные данные - это украденные/протекшие. В оперативных целях использоватьт можно - в суде.. ну ты сам знаешь )) или не знаешь? %-)
в суде тоже можем. Здесь вам не гейропа и не толерантостан.
Но ты и так во всем уже чистосердечно признаешься и в двух местах распишешься, данные судья даже смотреть не будет.
Ну дык если все так,
так к чему этот фарс с ДНС? ))
Сдадут не сдадут, утекут не утекут..
Дзержинский жив на Лубянке? ))
> Ну дык если все так,
> так к чему этот фарс с ДНС? ))так у нас принято. Традиция с 30го года, что поделать. Заметьте - все осужденные и тогда тоже признали свою вину, и каялись перед партией.
> Дзержинский жив на Лубянке? ))
он стоял к ней _спиной_.
> в суде.. ну ты сам знаешь )) или не знаешь? %-)А налоговая в этих самых европах не знала и у работников свисс-банков данные покупала, чтобы потом самых злостных и мерзких преступников (налогоукрывателей) к ногтю прижимать.
Видать, не те кина и серии смотрели.
>> в суде.. ну ты сам знаешь )) или не знаешь? %-)
> А налоговая в этих самых европах не знала и у работников свисс-банков
> данные покупала, чтобы потом самых злостных и мерзких преступников (налогоукрывателей)
> к ногтю прижимать.
> Видать, не те кина и серии смотрели.Все те.. Не надо вырывать события из контекста и извращать смысл событий. Тогда все будет на своих местах. А то привыкли ситуации использовать в выгодном для себя свете. Либо судебная система есть и она работает как надо, либо ее пользуют как хотят в своих целях. Вы сейчас о какой модели?????
Про китайцев непонятно. Причём тут китайцы? Основатель компании - европеоид, и американец по национальности.
Главная страница Cloudflare, список спонсоров ("Backed by")
Пора сделать протокол EoH - everything over http. А кому-то семиуровневая модель казалась большой....
https://en.wikipedia.org/wiki/BOSH_(protocol)
Давно ждал подобной фичи, вот только тут масса подводных камней в реализации.
Надо было не ждать, а польтзваться. Давно куча решений существует
Каких именно?
Чёт, до сих пор никак не разберусь, почему, начиная с ядра 4.15 при использовании dnsmasq, systemd-resolved, bind, unbound и т.п. после нескольких минут использования или достижения определённого уровня запросов весь интерфейс начинает тупо фризить, а с 4.14 ничего подобного не наблюдается :))
^ Там вместо слова 'весь' лучше было использовать 'сетевой'...))
Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к этому HTTP, но сначала надо зарезолвить его адрес ...
но это же нужно будет сделать только раз, в отличие от
HTTPS а не HTTP. Чего там надо то сделать?
Для вашего удобства адрес будет неизменным - 8.8.8.8
> Для вашего удобства адрес будет неизменным - 8.8.8.8это нетолерантно, у пользователя должен быть выбор.
Поэтому вы сможете ввести и любые другие цифры, они автоматически превратятся в 8.8.4.4
Кстати, да. Легко. Провайдер может заворачивать на себя (или на любой другой адрес) днс трафик (53/UDP) идущий на любые destination.
> Кстати, да. Легко. Провайдер может заворачивать на себя (или на любой другой адрес) днс трафик (53/UDP) идущий на любые destination.Ему ещё как минимум потребуется завладеть ключом владельца сертификата. Если мы о сабже.
Вы используете уникальные сертификаты в стандартных браузерах?
Лучше 1.4.8.8
Еще лучше 1664 ))
> Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к
> этому HTTP, но сначала надо зарезолвить его адрес ...HTTP работает без DNS.
тогда можно совсем убрать резолвер из браузера :)
а то вон сколько проблем из-за него
Можно, если помнишь все ip адреса сайтов.
Здесь как не крути, но у кого-то всегда будет возможность контролировать информацию о хостах, которые открывают пользователи :)
"всегда" ‒ это в смысле, что пользователь никак не может резолвить в одиночку :)
Тогда пусть "кто-то" принимает соответствующий закон, и отгребает потом, когда архив со список твоих HTTP-запросов выложат в сеть. Когда глобальную слежку аутсорсят в сторонние шараги, это уже полный беспредел.
> Тогда пусть "кто-то" принимает соответствующий закон, и отгребает потом, когда архив со
> список твоих HTTP-запросов выложат в сеть. Когда глобальную слежку аутсорсят в
> сторонние шараги, это уже полный беспредел.Да плевать!!! Лишь бы не ваша контора это делала! Да товаристч майор!? ))
Всегда кто то кого то контролирует! Вы о чем?
Ага, надо понимать, что через 8.8.8.8 ничто и никому не утекает и никто ничего не контролирует, лол.
Есали провайдер резолвит его на себя - может и не утекать
А провайдер ‒ это, как правило, "сосед", который может больше, чем нужно тобою интересоваться и делиться инфо с другими интересующимися :)
А еще он просверлил к тебе в туалет дырку и подсматривает 24/7
Не, ну, дырку он по-любому просверлил :))
Ну а это тут причем?
>Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании.При том, что Cloudflare узнает\поменяет хосты это ужас-ужас, а с гуглом все норм, корпорация добра же!
>>Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании.
> При том, что Cloudflare узнает\поменяет хосты это ужас-ужас, а с гуглом все
> норм, корпорация добра же!Ну так тестирование ЖЕ!!! Пишите в багрепорт
> приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам.Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данным пользователей со времён смены CEO на лицо нетрадиционной ориентации.
ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.
> Tor
> NSA
> ПриватностьНу ты понел.
>Рептилоиды
Не понял. И чо?
>использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.А как это сделать?
Есть готовая ссылка?
>>использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.
> А как это сделать?
> Есть готовая ссылка?ЛОВИ - Torproject.org
Самое простое - ставь Proxifier и создавай правило как душе угодно. Там же есть DNS through Proxy
> как это сделать?В файле конфигурации демона tor есть директива «DNSPort».
Да и называется torrc
Чел спросил просто так. Вряд ли он будет настраивать
dns over tor
>> приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам.
> Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данным
> пользователей со времён смены CEO на лицо нетрадиционной ориентации.
> ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью,
> зато приватно.Т.е. вы в новости ничего не поняли?
> ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью,
> зато приватно.Что ты хотел от изкоробочных бриждей на которых сидят многие пользователи тора?
Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не видят, условие выполняется.
> Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не
> видят, условие выполняется.Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободные. Хомячки поставили тор и сидят на одной ноде. Ясен красен будет всё тупить по жести.
>> Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не
>> видят, условие выполняется.
> Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободные.
> Хомячки поставили тор и сидят на одной ноде. Ясен красен будет
> всё тупить по жести.)))))) Да ну??? Они могут это сделать?
Бриджи на свободные? Б...ь, ну это еще что за чудо то такое???
Вы чо там про Tor вообще ничего не знаете???
Вот оно чо.. а ничего что бриджи используются при выборе
obfs? Или это от незнания?
1. Покупаем VPN с поддержкой DNS-серверов.2. Идем на ipleak.net...
3. Profit!
С поддержкой чего? Если я на VPS подниму openvpn и пропишу dns 8.8.8.8 работать не будет? ))) Нужно вот обязательно с поддержкой "DNS-серверов"? Или вы васе таки о своем резолвере? )))
С поддержкой собственных DNS, видимо. Или DNS большого брата тебе больше нравится?
Кому что, а я могу и dnscrypt поставить.
На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?
> На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?Посоветуйте IP честного ресолвера
ip=`dig +short unbound.net`
> пропишу dns 8.8.8.8 работать не будет?Будет, но какой в этом толк? Это чтобы рассказать гуглу по каким сайтам ты ходишь со своей вепеески?
>> пропишу dns 8.8.8.8 работать не будет?
> Будет, но какой в этом толк? Это чтобы рассказать гуглу по каким
> сайтам ты ходишь со своей вепеески?Ну можно же ещё принять на себя груз ответственности перед Гуглом за посещение этих сайтов другими людьми. Ну, типа, героем сдохнуть, а не просто педофилом.
1). Скачиваем Tor Browser >= 7.5
2). Открываем about:support
3). Смотрим "Операционная система"
4). Анонимность!На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так не было
И ты конечно не открыл его?
Срочно!!!! Пиши! Смотришь в книгу - видишь фигу!
> 1). Скачиваем Tor Browser >= 7.5
> 2). Открываем about:support
> 3). Смотрим "Операционная система"
> 4). Анонимность!
> На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так
> не былоВидимо лучше показывать то что у большинства. Так же и с User Agent только там еще и версия Firefox имеется. Лучше взять среднюю температуру по больнице и всем ее показывать.
Эт как в том мультике ... "...Если говорят, что народ не пострадает - это значит спасайся кто может..."
Это всего лишь тестирование. В работе это пользовать нельзя. Просто кто то гонет здесь волну.. хочет развести здесь флуд и заодно пурги нагнать, что отечественный контролер лучше и роднее, т.к. он заботится о ваших персональных данных. Буржуйские, они злые и могут как то навредить )) Непонятно правда как )) Импортозамещение однако полным ходо и во всем )
теперь я понял зачем они с гулоидами натягивают всем хттс. кто не понял - чтобы сливать безпалевно данные пользователей :)надеюсь в будущем когда эта х-нь станет майнстримом (т.е. неотключаемой (а это будет 100%)) выложат список адресов через которые делается этот самый ресолвинг чтобы заблочить их в брандмауере. ибо реально че хотят, то и творят.
Точно!! И они то знают как применить эти персональные данные на полную катушку!! ДА!?
Любая рекламная сеть знает как применять твои персональные данные, и историю твоего браузера.
Вот оно как.. а если нет истории браузера то чо?
> Вот оно как.. а если нет истории браузера то чо?история - она всегда есть, если ты им вообще пользуешься.
То что ее нет на _твоем_ диске - это нам с товарищем майором, в общем, совершенно все равно.
Вот вы любите мусировать разную пургу про фингерпринтинг ))
Если бы все так просто было, то не было бы провонарушений в
инете)) И вас с майором послали бы улицы мести, а не лить в уши
неокрепшим пОдросткам
Существующая система изжила себя. Все эти накостыляния создают больше проблем, чем решают. Давно надо было внедрить NameCoin или Ethereum Domain Naming System.
О чем вы говорите, мы тут в 2018 (!транспорт!) не можем на tls перевести потому что бабло и закостенелость системы.
Безопасность сверху нагородим хоть какой то прогресс и польза.
Похоже комментирующие просто не в теме как обстоят дела с безопасным днс. Если кратко - никак.
Мы проиграли, безопасной реализации в массах не будет потому как все куплено, никто не хочет отдавать этот инструмент контроля.
DoH этот по сути отчаянная попытка хоть как то сдвинуть с мертвой точки ситуацию. Причем рабочий, причем уже сейчас рабочий. Сейчас три публичных сервера есть для DoH клиентов, один от лицокниги, другой от гугла третий от сабжа. Хотите свой - прекрасно. На гитхабе есть пару реализаций сервера.
Нужно что то решать уже сейчас. Никакой dnscrypt dnss+ не будет внедрен массово, это все шумиха для отвода глаз и затягивания процесса.
Ну вот пришел мастер и объяснил сирым, что все плохо!
Ю бест мастэ ))
Остальные лохи шифруют запросы и делают это безграмотно, ибо
они априори не могут быть щифрованы, ротму что так сказал великий Мастер
Могут конечно. Могут.
Но стараниями некоторых товарищей в массы это не пойдет.
Вы недооцениваете массы ))
Dnscrypt досточно распространен на ПК
В гаджетах зоопарк предложений, но на 1-ю строку ныне вырывается
DNS over VPN. Таких предложений в аппсторе несколько, а в гуглмаркете куча
Dnscrypt в смартах врядли может быть массовым в силу нежелания/страха
джейлбрейка/рутирования
В массы это я про глобальный переход. Понятно что все можно если сильно захотеть. Вопрос в том что как раз глобальный переход на DNSCrypt мешает всем кроме клиента. Поэтому старый протокол у нас похоже задержится. А DoH при условии внедрения всеми бразерами хоть и костыль по сути но задачу решит в короткие сроки.
Глобальный переход никому не нужен, как не нужна глобальная
безопасность!
90% Васянов вообще не задумывается, зачем им шифровать что то.
Была б их воля, они бы и HTTPS зарыли за ненадобностью.
То что делает FF, это пассивная безопасность, когда пользователь не думает,
что кто то беспокоится о нем ))
Старый проток чего? DNSCrypt? А чем проток то не устраивает?
Версия 2 шагает по инету. Резолверы потихоньку начинают поддерживать.
В перспективе сабж будет поддерживать DoH
Вы почитайте перспективы развития DNSCrypt. Мейнтейнер собственно не
скрывает своих планов ))
>[оверквотинг удален]
> Мы проиграли, безопасной реализации в массах не будет потому как все куплено,
> никто не хочет отдавать этот инструмент контроля.
> DoH этот по сути отчаянная попытка хоть как то сдвинуть с мертвой
> точки ситуацию. Причем рабочий, причем уже сейчас рабочий. Сейчас три
> публичных сервера есть для DoH клиентов, один от лицокниги, другой от
> гугла третий от сабжа. Хотите свой - прекрасно. На гитхабе есть
> пару реализаций сервера.
> Нужно что то решать уже сейчас. Никакой dnscrypt dnss+ не будет внедрен
> массово, это все шумиха для отвода глаз и затягивания процесса.
> Мы проиграли,Что за пессимизм?
Вы как то замешали все в одну кашу.
Если рассматривать тему бабла, то конечно же, тот кто на этом зарабатывает не хочет отдавать.
Пользователям (основной "серой" массе) пока не припечет, то шевеления не начнется. И то, даже если припечет, пока поставщик оборудования и/или ОС/ПО не установит по умолчанию, будут есть кактус.
Энтузиазисты немного могут помочь, но необходимо иметь безлимит и ограничивать нагрузку на канал, а то провайдер подумает, что DoS/DDoS и отрубит "все". Плюс клиент должен "долбится" к различным серверам по какому то "умному" алгоритму (в случайном порядке). Где клиенту взять списки серверов?...А вообще, да, "Старый Добрый Интернет" усилиями добрых людишек все тяжелее и тяжелее "дышит" :(
Может даркнет? И где ее взять "полную" анонимность?
днс крипт для гиков, а толпа будет сидеть на том, что ей дают - этого то и достаточно для сильных мира сего
Да-да, этого достаточно, чтобы (гоогле, пейсбук, и прочим дефолтным DoH сервисам) не делиться траффиком и данными ни с кем, кроме себя.
Ставьте себе сервер, делитесь только с собой.
Но тогда отпадает весь смысл массового внедрения этой фичи.
Чего там отпадает? Вы о чем?
Фича фичей, а свой резолвер это +/- безопасность
А я про приватность. Не круто, если все, используемые по-умолчанию, DoH-серверы будут принадлежат Google, Facebook, Cloudflare и т.п.
> А я про приватность. Не круто, если все, используемые по-умолчанию, DoH-серверы будут
> принадлежат Google, Facebook, Cloudflare и т.п.Свой держи) ну как маленький. Или тебе надо чтобы кто то за тебя держал на сервере неуловимого джо?
Короче, склифасовский, посмотри список днс-резолверов, которые поддерживают
dnscrypt, и поймешь что их немало! И еще раз, ты можешь сделать свой.
Никто не запрещает.
Вот именно, что DNSCrypt, но не DoH.
Короче бегом читать про dnscrypt
А то у нас разговор как между глухим и немым
Давно использую dnscrypt-proxy, поэтому знаю, что серверов, поддерживающих DNSCrypt много, в отличии от DoH. О котором тут речь.
дружище, давай ты самостоятельно почитаешь:
- https://github.com/jedisct1/dnscrypt-proxy
- https://dnscrypt.info/public-servers/
Потом спросишь если чо
А "свой" резолвиться сам по себе будет? :)
В принципе, оно, конечно, понятно, что теоретически TTL можно на вечность установить :))
Короче, будем ждать появления методички "Настраиваем DNS через Wi-Fi соседей" :))
Кончай демагогию! Давай днскрипт в массы!
Не болтайте чушь. Идите в гугл. Там вагон и маленькая тележка
манов по установке и настройке сабжа
>соглашение не защитит от ... злого умысла отдельных сотрудниковда кому сдались эти ихние днс-запросы?
Парадоксально, но я больше доверяю сотрудникам CloudFlare, чем своему провайдеру. Сотрудники мне ничего плохого ещё не делали, а вот провайдер совершенно точно блокирует некоторые сайты, вдобавок ещё и без возражений выдаст информацию кому надо о том, что это я запостил смешной мемас, который какой-то там мухосранский судья, заходящий во вконтактик через яндекс, признал экстремистским материалом.
> Парадоксально, но я больше доверяю сотрудникам CloudFlare, чем своему провайдеру. Сотрудники
> мне ничего плохого ещё не делали, а вот провайдер совершенно точно
> блокирует некоторые сайты, вдобавок ещё и без возражений выдаст информацию кому
> надо о том, что это я запостил смешной мемас, который какой-то
> там мухосранский судья, заходящий во вконтактик через яндекс, признал экстремистским материалом.Доверие доверием, но анонимность то лучше. Если Вас невозможно вычленить из обычной средней массы, то и рекламные ролики для Вас будут очень разнообразны и спам разносортный. И главное, когда произойдет утечка информации, которую "добрый" дядя собирал под благовидным предлогом (а то что утечки происходят думаю никто не сомневается), вот тогда и почувствуете разницу (может быть и с последствиями :(
Чем DNS-over-HTTPS лучше DNS-over-TLS?
Разработчик DNSCrypt уже сам не пользуется им.
Есть, конечно DNSCrypt2, но чем он лучше DNS-over-TLS?
Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.
Читать новость и понимать что написано!
> Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.DNSCrypt тоже можно, есть в Яндекс.Браузере, например.
О докатились это этого.. все можно тему накрест забивать
гвоздями
Так не языком тренпать надо,
а идти изучать матчасть!
А то у него разработчик что то бросил!
Если не знаешь ответа на вопрос, помолчал бы.
https://twitter.com/jedisct1/status/928942292202860544
Ну откуда вы такие беретесь? ААа??
Что ж вы в бутылку лезете без знаний?
Оставить бы тебя в твоем каматозе..
СМОТРИ СЮДА - https://github.com/jedisct1/dnscrypt-proxy
Научись работать с инетом!
По количеству выпитых бутылок анонимов мне никак уж не догнать. ))
Не надо бухать, нужно просто следить за темой, если это интереснео!
> Чем DNS-over-HTTPS лучше DNS-over-TLS?Это у Google надо спросить.
https://www.xda-developers.com/android-dns-over-tls-website-.../
https://developers.google.com/speed/public-dns/docs/dns-over...
Спасибо за гуглинг. ) В общем, пришел к выводу, что не лучше. И никто не доказал иное.
В предыдущей ссылке моей видно, что рекомендует разработчик оригинального DNSCrypt.
Что у тебя там все лучше хуже?
Читай документацию по dnscrypt v2
а не гадай на кофейной гуще из гугла
Вот как раз небольшое сравнение тут есть: https://dnscrypt.info/faq/
Разработчик "оригинального" = тот же самый человек, что теперь пилит "DNSCrypt 2". Твит, который ты приводил выше, был отправлен до того, как он начал разрабатывать вторую версию. И DNSCrypt 2, кстати, поддерживает DNS over HTTPS.
https://bugs.archlinux.org/task/57027
Это баг. ) И все запуталось. )
какой баг? Причем здесь Арч?
Куратор сложил полномочия и предложил кому нибудь взять тему.
В начале года все рухнуло. Сайт стал недоступен, как и гитхаб.
Потом слезно попросили его вернуться. У него с лета 2017 уже во всю шла
работа над v2
C середины января 2018 полетели первые беты, потом альфы и т.д.
Сейчас уже финал 2.0.7
Поздравляю. Но мне он уже не нужен. Есть другие решения. Пользуйся, так и быть. )
Себя поздравь с выходом из комы!
> Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.И о чём думали авторы DNSSEC?
>> Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
> И о чём думали авторы DNSSEC?Неправильно назвали, надо было DNSTRUST!
>> Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
> И о чём думали авторы DNSSEC?О том, что вам с предыдущем ораторам нужно матчасть поизучать!
Все это только для маскировки утечки данных. )This is thanks to something in https called Server Name Indication (SNI).
When you make a connection to an https enabled website there is a process called a handshake.
This is the exchange of information before the encryption starts.During this unencrypted handshake (ClientHello) one of the things that is sent by you is a remote host name.
This allows the server on the other end to choose appropriate certificate based on the requested host name.
This happens when multiple virtual hosts reside on the same server, and this a very common setup.
Unfortunately, your ISP can see this, slurp it up, and log this to your account/profile.
Да, да! Для маскировки.
Ты опять разоблачил заговор! ))
> Да, да! Для маскировки.
> Ты опять разоблачил заговор! ))Зачем сразу предполагать глобальный заговор рептилоидов, если все объясняется банальным сговором с целью наживы?
И чо?Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это работать не будет.
Если на сервере на одном IP-адресе только один виртуальный хост, то и без SNI понятно все.
Про "понятно все" можно подробнее? )
Понятно, что в заголовке Host домен, на которые выдан единственный настроенный для этого IP-адреса сертификат (тот, что в CommonName, ну либо то, что там в subjectAltName, а там в 99.99% субдомены и алиасы).
> Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это
> работать не будет.опеннетовские пиoнеры они такие пиoнеры.
Без sni все прекрасно работает - протокол http, даже завернутый в ssl, знаете ли, не на sni полагается, а на заголовок host внутри.
Единственный минус - визг новых-модных браузеров, что тут все несекьюрно, давайте лучше я вам котиков покажу. К счастью, пока еще с кнопкой "продолжить".
> Единственный минус - визг новых-модных браузеров, что тут все несекьюрно, давайте лучше
> я вам котиков покажу. К счастью, пока еще с кнопкой "продолжить".И какой же это старомодный браузер не выдаст предупреждение при несовпадении CommonName? И чего в этом хорошего?
они там, понимаете ли, именно что предупреждение выдавали. А не страницу бессмысленных воплей, очень похожих на угрозы. И честно писали прямо в тексте этого диалога (и да, это было принято делать - модальным диалогом, как и положено делать важные предупреждения в нормальных программах, а не через жопу, как ныне. Попутно оно работало для элементов страниц, а не только самих страниц) что ты шел на одессу, а вышел вот нахрен. Но - немодно, немолодежно, юзер не умеет читать, давайте о нем позаботимся - вместо запрошенного сайта выведем большуюкраснуюстраницуневедомойбредятины...(впрочем, это вряд ли даже такая "забота" - скорее диалог надо еще нарисовать, а вот нагуаноскриптить на html+css было куда проще)
SNI палит домен провайдерам. А здесь решили взять в долю cloudflare
Объясните нубу про шифрование DNS, и надо ли оно мне, если мой VPN и так предоставляет собственные DNS-сервера (заместо гугловских 8.8.8.8). Читаю уже который раз про dnscrypt, но не могу найти простую статью для новичка - надо ли это мне, с чего начать, как установить на комп с линуксом. Будет ли полезен dnscrypt там где нет VPN и т.д., вот это все хотелось бы понять.
Если весь трафик идет через тунель, то не нужно.
Файерволом прибить максимально возможно все запросы мимо VPN
А вдруг он про впн провайдера имел введу? Тогда днс прокси ему нужен!
ВПН провайдера оприори не имеется ввиду, ну если только чел совсем не в теме
> Объясните нубу про шифрование DNS, и надо ли оно мне, если мойв общем и целом - нет. твой впн и так знает о тебе если не все, то достаточно многое, если ты подозреваешь что он работает на товарища майора - шифрованный dns тебя ни разу не спасет.
а если ему это знание неинтересно - ты просто потеряешься среди сотен тыщ хомячков, качающих прон.
То есть ВПН выбрасываем за ненадобностью?
Вариантов по середине, исходя из написаного тобой, нет?
Или майор контролирует, или мойору скучно и он не контролирует?
Оригинально...
> То есть ВПН выбрасываем за ненадобностью?из какого слова сделан такой вывод?
На деле - зависит от уровня паранойи. Я вот склонен предполагать, что vpn'ы, советуемые torrentfreaks, вполне себе vPn'ы и никакой майор их не контролирует.
Полные параноики могут засунуть в этот vpn еще один vpn, приземляя его на сервер где-нибудь подальше - уже личный (исчезает использование этого сервера в качестве маячка, а у админов коммерческого vpn - возможность проявлять любопытство).но мне пока и так неплохо дышится.
> в случае DoH запрос на определение IP-адреса хоста
> инкапсулируется в трафик HTTPS и отправляется
> на HTTP-сервер, на котором резолвер обрабатывает
> запросы через Web APIКакой ещё Web API?
Вот наваяю я на HTTP-сервере CGI-скрипт, отечающий на любые запросы браузеров только страницей с фразой "привет, мир", а какой-то браузер вместо запроса страницы пришлёт запрос на резолвинг доменного имени, к которому прицеплен мой CGI-скрипт. Что мой скрипт ответит на такой запрос? Правильно, ответит "привет, мир". А браузер-дурак, надеялся на то, что мой CGI (а не dns!) скрипт раррезолвит ему доменное имя. Да не тут-то было! И ведь мой CGI-скрипт-то будет абсолютно прав, ибо DNS-запросы отправлять-то положено на серверы DNS, а не на серверы HTTP.
Интересно network.trr.mode=3 не грузится ничего. При 2 обходит блокировку на dns но только по https
Прокси от Facebook? Нет им веры после их бесплатного vpn, спасибо, что тщательно сохраняете и анализируете наши данные.