Торговые ассоциации NCTA, CTIA и USTelecom, отстаивающие интересы интернет-провайдеров, обратились в Конгресс США с просьбой обратить внимание на проблему с внедрением "DNS поверх HTTPS" (DoH, DNS over HTTPS) и запросить у Google детальную информацию о текущих и будущих планах по включению DoH в своих продуктах, а также получить обязательство не включать по умолчанию централизованную обработку DNS-запросов в Chrome и Android без предварительного всестороннего обсуждения с другими представителями экосистемы и учёта возможных негативных последствий...Подробнее: https://www.opennet.me/opennews/art.shtml?num=51602
Dumb pipe слишком много о себе воображает.
> Dumb pipe слишком много о себе воображает."Dumb pipe" в США торгует данными пользователей и не хочет терять данные с DNS-запросов.
а вот йа-то - швятой, швятой!
Ага, интернет это Гугол!
Слава рептилоидам, повелителям нашим!
Слава гуглю, повелителю нашего интернета!P.S. надеюсь, сохранится в бигдате анал-итики, и меня кау-кау не в первых рядах, а хотя бы во втором.
Тебя оставят на тумба-юмбу.
> так как компания получит дополнительные сведения о действиях пользователей, которые могут быть использованы для отслеживании активности пользователей и подбора релевантной рекламы.А что, разве не ради этого альтруисты из гугла/клоудфларе/яндекса держат бесплатные личные днс сервера?
А с DoH ещё и кукисы будут работать, конечно!
У гугла про 8.8.8.8 прямо написано, что все данные прямо или косвенно используются для показа рекламы и т.д. У яндекса тоже самое. Так что вообще не секрет. Другое дело, что cloudflare говорить про анонимность, но соблюдает ли она это анонимность, никто не знает.
мы конечно же соблюдаем - просто продаем эти данные в привязке к вашему ip. А так чтоб у вас копию паспорта спрашивать - не, это не мы, это фейсбук.
> Другое дело, что cloudflare говорить про анонимность, но соблюдает ли она это анонимность, никто не знает.Великий Американский Фаервол? Конечно же соблюдают, они же честные ребята.
Даже к DDoS-атакам, настоятельно убеждающим потенциальных клиентов перейти к ним под защиту, эти честные ребята не имеют никакого отношения!
А помнишь как ты лайкал прошлую статью про DoH ? Не забудь лайкнуть и эту.
Должен остаться только один.
жаба против гадюки
- Вот достали эти диктаторы и монополисты. Творят, что хотят, никакого спасения от них нет.
- Здравствуйте, я Святой Гугол, я даю вам свободу! (Конечно, после того, как вы все подсядите на мои сервера, я смогу легко вытеснить любых других конкурентов, перенаправляя ваш трафик только на угодные мне ресурсы, и перекрывая неугодный мне трафик. Никто кроме меня не выстоит в таких условиях, и я стану единственным. Но мы же не станем заострять на этом внимание, да?)
- Ура, Святой Гугол пришёл спасти нас всех от этой поганой диктатуры!P.S.: Жаба их, конечно, и давит, но в данном случае они правы. Слишком много гугл берёт под свой контроль.
Всегда есть неудобный и трудный путь при котором за тобой будут меньше следить. Но ты же не будешь его придерживаться, лучше жаловаться, что за бесплатные продукты заставляют платить приватностью.
По началу любовь в попу вызывает боль, но потом привыкаешь и становится даже приятно, ты это имеешь ввиду?
> любовь в попутебя обманули, Анон, любовь - она в сердце.
Вообще-то в голове.
В голове - лишь представление о Любви.
> P.S.: Жаба их, конечно, и давит, но в данном случае они правы.
> Слишком много гугл берёт под свой контроль.так где другие DoH или DoT? я не против слать каждый днс-запрос на три рандомных криптоднс и сверять ответы
настрою, занедорого, оплачивать хостинг сам будешь, или могу за небольшой процентик сверху.
+100 тебе к карме за правильный ответ. Он должен был бы быть первым в камментах.
Сделай сам или заплати тому кто сделает.
И хоть с 10 серверами ответы сверять - но, на своём ресурсе, без всякиз там гуголов, яндексов и прочих ангажрованных хитрованов.
Нас вынужденно приводят к децентразлизации, когда надёжным сервисом будет лишь тот, что ты сам сделал (или сосед/коллега/etc).
> Сделай сам или заплати тому кто сделает.оппа в том, что собрать сервер doh из дерьма и палок самому еще можно (благодаря, кстати, тем кто сделал это возможным) - а вот собрать себе новый интернет без гугля и гугля - или хотя бы без его зондобраузера и его бесконечных клонов - ни сам не сможешь - не в силах это человеческих, ни заплатить - у Рокфеллера, конечно, хватит, но он может себе позволить просто не пользоваться интернетом и так сэкономить половину состояния.
> Нас вынужденно приводят к децентразлизации, когда надёжным сервисом будет лишь тот, что ты сам
> сделал (или сосед/коллега/etc).общаться, покупать (китайское) барахло, арендовать хостинг, работать, наконец - тоже будешь только сам у себя и сам с собой :-(
Не, ну можно - получаешь "дальневосточный гектар", где-то поглубже в болота (а хороший и не дадут, хорошие для правильных пацанов), продаешь квартиру, роешь землянку, пытаешься выжить. Через три года приходят нехорошие ребята и отбирают землянку и участок за неуплату налога, который на него к этому времени уже ввели, но ты об этом не узнал, так как не получил уведомление на сайте госуслуг.
Насколько я понимаю, невозможно заставить хром использовать DoH для произвольного сервера. Только на адреса вшитые в хром.
ну, можно и постараться, зароутив на свои сервера (мы точно не хотим пакетов, уезжающих от нас на 9.9.9.9 и 1.1.1.1) и приделав к тем правильные урлы. А так да - там все оказывается совсем запущено - взгляните на образчик манки-кодинга:
https://cs.chromium.org/chromium/src/net/dns/dns_util_unitte...
> ну, можно и постараться, зароутив на свои сервера (мы точно не хотим пакетов, уезжающих от нас на 9.9.9.9 и 1.1.1.1) и приделав к тем правильные урлы.Ага, и правильные сертификаты, гугловым CA подписанные (TLS же!).
Пишите ещё, вас приятно читать.
> невозможно заставить хром использовать DoH для произвольного сервераГрепаешь исходники, собираешь правильный хром.
Хотя мне кажется всё намного проще. наверняка где-то в chrome://flags/ зарыто или опциях сборки.
В общем, да. мы все здесь умрем!
https://cs.chromium.org/chromium/src/net/dns/dns_util.cc?g=0нужно просто кусок хрома переписать
> настрою, занедорого, оплачивать хостинг сам будешь, или могу за небольшой процентик сверху.есть 'stunnel' сотоварищи™, плюс "DNS over SOCKS[5]", плюс remote DNS - более чем достаточно, чтобы (локальное) логирование всех запросов (Дорогим Любимым Провайдером, обязанным !покупать! сорм за свои/наши кровные без малейшего намёка на тендер, ибо без его установки ему лицензию никто не даст) по 53-ему порту не показывало чего лишнего.. шифрование dns запросов с одной стороны - неплохая штука, с другой - вещь избыточная и, применимо к тому же https, форсирующая установку в систему "лишнего" сертификата.. централизация в лице Google/Chrome всего трафа dns - "i couldn't care less"©™: кому нужна альтернатива - тот её найдёт..
> так где другие DoH или DoT? я не против слать каждый днс-запрос на три рандомных криптоднс и сверять ответыХотите сливать данные о себе сразу в три базы, чтобы они обесценились? Хитрый план, однако!
>> так где другие DoH или DoT? я не против слать каждый днс-запрос на три рандомных криптоднс и сверять ответы
> Хотите сливать данные о себе сразу в три базы, чтобы они обесценились?
> Хитрый план, однако!нет, в три случайных на каждый запрос из 30к списка
и сверять ответы
но гугл ничего не берёт под свой контроль в данном случае.. но позволяет пользователю чуть более просто отобрать кусочек контроля у провайдера( и у правительства которому подконтролен провайдер) убив так тяжело внедрённые системы слежения и контроля за трафиком( DPI там всякие). естественно что ни правительство ни провайдеры такой фигни терпеть просто так не хотят. ладно ещё когда только мозила DoH включила, тьфу на эти 5% пользователей, но когда это в хроме из коробки и включается легко это уже ой как угрожает бизнесам..
парад феерических идиотов опеннета объявляется открытым.Ничего-ничего не берет под свой контроль - только dns запросы, действительно.
Вот провайдеры - те бяки, бяки, они следили и контролировали!
А админьчки локалхоста не понимают. Они думают что большое корпорации делают всё что бы было лучше простым васям-петям. Нет детишки, всё из-за потоков бабла. И борьба за тех кто сидит в центре этих потоков. А вся компьютеризация служит для упрощения этим дядям учёта и контроля.
Конечно, этим дядям больше нечего делать, как подсматривать. Не жалеют рабочего времени на это. Ведь сеть сама работает, ничего больше не нужно делать, заняться нечем же больше. Поэтому £50k+ каждого инженера куда же еще можно потратить? И софт тоже сам работает, и сеть сама развивается, и узкие каналы сами расширяются. Поэтому остается только, что найти дополнительно место чтобы шпионить за ДНС, всего-то нужно нескольо петабайт, да и сидеть всем работникам отсматривать. Заняться ведь больше нечем совсем.
[сарказм off]
ох уж эти диванные аналитики..
Чему там угрожать бизнесу. На железочке с обновляемыми списками доступа поставил одну галочку и всё. Твой хром падает на фоллбек решение - обычные системные днс.
уверяю тебя, это временно.
В следующей версии лягушке чуть прибавят температурку.А в послеследующей- "твой хром высовывает страницу, полную неведомой хни". И ты меняешь провайдера, потому что "интернет не работает".
С такими фокусами и надо провайдера менять
> А в послеследующей- "твой хром высовывает страницу, полную неведомой хни". И ты меняешь провайдера, потому что "интернет не работает".И как же это можно сделать в мире тотального HTTPS? Расскажите, не стесняйтесь.
Кажется, кто-то только сейчас понял, что весь рынок слежки за юзерами летит в никуда - после внедрения https-почти-везде провайдеры могли хотя бы читать DNS-запросы, а теперь и того не станет.
как это то есть вникуда?Весь рыночек достанется (уже достался) - правильным ребятам.
(провайдеры, если по честному - вообще-то зарабатывали на продаже юзерам траффика. А слежка за ними не приносила им ни денег, ни пользы - одни неприятности. А вот мы зарабатываем - на продаже траффика юзеров. Который мы и контролируем.)
Летит в никуда весь рынок торговли воздухом. В новости решается вопрос, кого выставить крайним.
dpi все еще показывает кто куда ходит, т к запросы nsi не шифруются (или SNI?)
Провайдерам и раньше было фиолетово, а спец гос оборудование у них стояло, и будет только улучшаться.
> dpi все еще показывает кто куда ходит, т к запросы nsi не шифруются (или SNI?).Провайдеру для этого, как бы, не нужен DPI, на то он и провайдер ;)
Да и само по себе шифрование целевого адреса пакета конечно возможно, но откуда провайдер тогда будет знать, куда этот пакет доставить?
Поэтому, помимо собственно шифрования содержимого и придумывают/накручивают еще и всякие анонимайзеры, VPN, луковые маршрутизаторы и прочее.
Просто они в роиссе живут - и экстраполируют свои проблемы на весь мир.
В роиссе dpi нужен, иначе как же мудрые законы выполнять?
Для выполнения Конституции DPI не нужен.
Троекратное ура этому гражданину! Да восславится в веках бог-император!
вы государства перепутали. Это в вашей 1/6 провайдер обязан (за ваши же деньжата) собирать о вас все. А те что судятся сейчас с гуглем - не обязаны. Можно подкупить, но, в отличие от гугля, их основной источник дохода - ваша абонентка. И абонентам чаще всего есть, на кого их поменять, если выяснится, что кто-то переусердствовал в выполнении контракта с любителями слежки.
у американцев и европейцев действует аналогичная система сбора данных государством,к как и наш сорм. не впаривай им мозги в то во что сам не веришь.у амеров тип слежки еще жестче и хитрее. а так да внешне делают вид законопослушных.
> у американцев и европейцев действует аналогичная система сбора данныхтебя, конечно же, не затруднит привести ссылки на американское и европейские "аналогичные" законодательства?
А то, конечно же, у них есть и Федеральный закон "О связи" от 7 июля 2003 г. N 126-ФЗ, и Постановление Правительства РФ от 27 августа 2005 г. N 538 ?
(про приказы минсвязи можно уже не упоминать, поскольку это ведомственнная _реализация_ помянутых законов)А заодно уточнить, требуется ли американскому гражданину лицензия, если вдруг ему пришла мысль раздать свой интернет на соседский двор.
Про гейропцев можешь уже не уточнять - там активно живет и развивается некоммерческая частная инициатива по созданию провайдеронезависимой сети - где-то на wifi-mesh, а где-то и на частной опте - уже даже через госграницы кое-где расползлась. Чем бы это закончилось для тебя, раб, нужно объяснять?
> тебя, конечно же, не затруднит привести ссылки на американское и европейские "аналогичные" законодательства?А при чем тут законодательство. Это отсталые русские варвары всё по закону хотят делать, а благородные эльфы выше этого. «Можем — значит, имеем право.» PRISM и Vault 7, вот это всё.
угу, прям врываются в помещения провайдеров, кладут всех мордой в пол и лично г-н майор устанавливает там свои зонды. Откуда только и знает как, куда и чем - в чужой неизвестной ему сети. А, ну да - разведка ж доложила точно.Продолжайте рассказывать ваши сказки, я страшно люблю послушать как там негров линчуют.
нет все проще, как у амеров. тебе просто не позволят работать провайдером если не будет установлен ящичек. у амеров там все еще хитрее. интелл и прочие производители получат по мозгам если не дадут спец доступ к их чипам. и многие другие хитрости. но названо это будет по другому, типа скажем интелл нарушил там какуюто статью какого то кодекса или закона и будет оштрафован на миллиарды если не исправит ситуацию. вы че все в рамках их хитрого закона.)) как и у нас впрочем.))
> нет все проще, как у амеров.Опять ни ссылок, ни хотя бы большей конкретики не будет, ведь "это знают все"?
> тебе просто не позволят работать провайдером если не будет установлен ящичек. у амеров там все еще хитрее.
Не знаю, как там именно у амеров, но вот оно как у "гейропецев":
https://www.gesetze-im-internet.de/tkg_2004/__113.html
> Wer mehr als 100 000 Kunden hat, hat für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle nach Maßgabe der Technischen Richtlinie nach § 110 Absatz 3 bereitzuhalten,
> Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird.Вольный перевод:
> Более 100 000 клиентов обязуют иметь защищенный электронный интерфейс в соответствии с Техническим руководством § 110 (3) для получения запросов на информацию и для предоставления связанной информации.
> Каждый запрос на информацию необходимо обеспечить проверкой ответственным специалистом на соответствие формальным предварительным условиям, указанным в подразделе (2), и чтобы дальнейшая обработка запроса производилась только после положительного результата теста.,
> все еще хитрее."Орки подозревают, что мы им врем. Им кажется, что любое общество может быть устроено только по той схеме, как у них, только циничнее и подлее. Ну на то они и орки."
> Опять ни ссылок, ни хотя бы большей конкретики не будет, ведь "это знают все"?PRISM и Vault 7 — действительно, общеизвестные факты.
>> Опять ни ссылок, ни хотя бы большей конкретики не будет, ведь "это знают все"?
>>> тебе просто не позволят работать провайдером если не будет установлен ящичек
> PRISM и Vault 7 — действительно, общеизвестные факты.Сообщения целиком не читай, просто сразу отвечай ...
>> нет все проще, как у амеров.
>> у американцев и европейцев действует аналогичная система сбора данныхДейстительно, общеизвестно что весь мир Омерика и вообще "вы! усе! врети!"
>>> тебе просто не позволят работать провайдером если не будет установлен ящичек
>> PRISM и Vault 7 — действительно, общеизвестные факты.
> Сообщения целиком не читай, просто сразу отвечай ...Действительно, откуда же берутся данные в PRISM? Ведь не может же такого быть, чтобы провайдеры сливали?
> угу, прям врываются в помещения провайдеров, кладут всех мордой в пол и лично г-н майор устанавливает там свои зонды.Зачем благородному эльфийскому майору до такого унижаться? Не хотят сотрудничать — не будут работать вообще, США — свободная страна.
> А те что судятся сейчас с гуглем - не обязаны.Они передают добровольно, они же патриоты. PRISM — сугубо добровольная организация.
А вот тем, кто добровольно не хочет, могут и пилюлей прописать.
еще один пятнадцатирублевый, или у тебя искренне душа патриота болит?> А вот тем, кто добровольно не хочет, могут и пилюлей прописать.
пример, хоть один, конечно же, не затруднит привести?
Не люблю, когда одних yблюдков объявляют святыми и ставят выше других yблюдков.
А вот у вас, похоже, действительно ксенопатриотическая попaболь. Как же, кто-то усомнился в непогрешимости Швитой Омереки!
> Не люблю, когда одних yблюдков объявляют святыми и ставят выше других yблюдков.понятно, швятая вера что "там тоже yблюдки" отменяет необходимость в любых фактах.
"меня товарищмайор ежедневно на бутылочку натягивает - значит и ихний обязательно делает так же - и может даже, поскольку подлый пиндос, два раза в день!"
никто никого не натягивает. по закону провайдер прокладывая свой маршрут обязан проложить рядом такой же для государства и поставить черную коробочку на свою линию. все. в европе и америке менее заметно, но тоже подобное.
А разве в Америке найдётся хотя бы одна пара провайдеров, у которых единственный маршрут связи пролегает через чужую территорию?
> "меня товарищмайор ежедневно на бутылочку натягивает - значит и ихний обязательно делает так же - и может даже, поскольку подлый пиндос, два раза в день!"То есть упоминания PRISM и Vault 7 вы упорно игнорируете, ок.
Rats in a jar...
Закон о суверенном интернете позволит и такую блокировку обойти. Так что ждём не просто doh, ждём, когда хром и андроид начнут требовать от dns провайдера сертификат гугля.
суверенного интернета не бывает, интернет бывает только всемирный
Всемирный == Google ?
Научись различать интернет и Интернет
Для большей части россиян интернет это вконтактик. А точные принципы взаимодействия миллионов серверов с мобилками известны немногим.
Скатайся, что ли, в Крым, в Китай, в ОАЭ, в Сирию, расширь кругозор, отдохни.
Кстати, а в Крыму чей суверенный интернет? Если ограничения там введены в основном американскими и европейскими компаниями. Получается, это маленький островок цивилизованной западной суверенности в дикой России.
сею тебя разочаровать. интернет начался с арпанет. а там понеслось. и интернет это всего лишь связка айпи адресов, которые внынешних условиях вполне могут ограничится одним сегментом из 10 провайдеров в легкую. просто верховный серверок днс будет не в штатах или еще где , а скажем в россии. все точка. и это все равно будет интернет, только ограниченный местными серверами. историю развития сети интернет почитай ага?.
угу, могут, технически. Как и, скажем, свою социалочку на десять человек можно завести. Полезность, в общем-то, сравнимая.
ну я не говорил что полезность этого оч велика. хотя скажем интернет в пределах страны и близких соседей, там беларуси, не сделает для подавляющего большинства людей в стране проблему, за исключением всяких там ватсапов и прочего. проблема будет в очень малом и крикливом меньшинстве)) впрочем много других сложностей добавится. но я что то думаю это малореализуемо в нынешнее время. поскольку кто то все равно через тарелочку в сетку выйдет, а там все те же серваки. впрочем я просто хотел просветить юзера на счет того как работает интернет и откуда пошла есть земля интернетовская)))
>сею тебя разочаровать.Прежде чем сеять разумное и доброе, разберитесь с понятиями internet и intranet.
я не собирался рассказывать в терминах о том , что такое арпанет, интранет и интернет. я просто описал возможности построения этих сетей. может мне надо было описать схему устройства tcp/ip?
> Так что ждём не просто doh, ждём, когда хром и андроид начнут требовать от dns провайдера сертификат гугля.Вообще-то, новость как раз об этом. Или вы думаете, что TLS там просто для красоты?
Пока ещё гугл браузер и андроид принимают любые сертификаты. Лягушка ещё может выпрыгнуть.
пока еще версия с дохлым даже не выпущена. А принимает ли она любые сертификаты и какие именно - это ищи в коде сам. Вполне могу поверить, что pkp для ЭТИХ целей вовсе и не отключен.
То есть вы допускаете вероятность, что гугловый браузер пойдёт в гугл по HTTPS и не проверит идентичность гуглового сертификата?
> То есть вы допускаете вероятность, что гугловый браузер пойдёт в гугл по
> HTTPS и не проверит идентичность гуглового сертификата?учитывая показанный код, демонстрирующий феерический радиус кривизны ногорук гугломакак (причем ведь не одна нагадила, цельный, небось, code review советом стаи этот трэш прошел) - допускаю, что да, бросившись отключать "небезопастный" pkp - могли пойти наиболее простым путем и отломать где-то в низкоуровневом коде, который вызывается во всех случаях, когда нужна проверка, один такой на весь браузер.
Это ведь позволило разом решить широкий спектр проблем - от корпоративных дешифрующих прокси до wifi с captive portal.
Немножко упростило жизнь желающим порыться в том, что на самом деле гуглозонд сливает папаше, но лишь немного - всегда можно взять хромиум и похачить проверку даже если она там есть. (это вам не ios или картавая)
Ну и при выборе "получить телеметрию, но поделиться еще и с товарищмайором, или не поделиться, и получить хрен на блюде" делатели-правой-рукой, по-моему, не задумываются.
Вся соль в Гугле, а не в технологии. Никто ведь не запрещает создавать свои DoH-сервера с прозрачным проксированием запросов.Тема с родительским контролем решаема, хоть и другими средствами.
Поэтому пусть Гугл отчитывается что, как и почему. С другой стороны, почему никто не заставляет отчитываться в конгрессе владельцев других публичных серверов, в том числе и провайдерских...
Хорошо, мистер Брин, но вы забыли залогиниться.
А какой смысл создавать свои DoH сервера, если трафик из локалхоста не выходит. Отрезолвили от корня и пошли навигировать. Зачем тут шифрование ?
так вдруг же ж злые враги подменили и корневой ответ, и все остальные? Ведь за васяном охотится nsa, фбр и рептилоиды!
потому что речь не о том что есть DoH а о том что сейчас им пользуются только продвинутые "хакиры" и пользователи мозилы( ну тоесть ещё менее многочисленная группа) и их мало. а когда оно будет в хроме включаться одной кнопкой, то половина юзербазы хрома уже включит а это много.
Гугл заставляют отчитываться в конгрессе потому, что они монополизировали поиск и браузер.
Зачем конгрессменам это всё знать, если это не их работа? Это работа NSA.
> Никто ведь не запрещает создавать свои DoH-сервера с прозрачным проксированием запросов.Да-да, и попросить пользователей отрутовать андроид, чтобы эти свои сервера в нём указать, иначе они не попадут на тот сайт, который хозяева гугла сочли недостаточно демократическими.
>Тема с родительским контролем решаема, хоть и другими средствами.Ремень?
ЗЫ: Какая у нас все таки полезная госдума! И о чебурнете вовремя позаботилась и домашнее насилие легализовала. Прелесть, а не госдума!
Позвольте поинтересоваться, из какой вы страны? У нас в России насилие не легализовано, например.
https://www.znak.com/2018-01-22/god_spustya_chem_obernulas_d...
И как это связано с заявленной вами "легализацией насилия"?
В большинстве штатов США побои (без нанесения средних и тяжких телесных повреждений) тоже не являются преступлением, например.
"Более чем в 70% случаев по административным делам о побоях судами принимаются решения о назначении штрафа, что не в полной мере отвечает целям наказания. Зачастую данная мера не является серьезным сдерживающим фактором, а когда речь идет о близких людях, накладывает на семью еще и дополнительную финансовую нагрузку", — заявил глава МВД."
Ещё раз: где обещанная вами легализация насилия?
Вы уголовное право с административными правонарушениями не смешивайте.
>родительского контроля, нелегального контента, эксплуатации несовершеннолетнихАмерикосы всё о своём.
Ну надо же этим трубам к чему-то апеллировать...
А то в Рассеюшке такого нет.
Я DNSCrypt с недавних пор настроил, но что-то тупит иногда.
Добро пожаловать в этот дивный мир, где тебя минусуют за то, что ты ничего не сделал.
Напомню, что Dnssec для доменов гугла до сих пор не включен.
это не имеет отношения к текущей теме (наличия одинаковых букв D,N и S недостаточно)
ну в общем-то имеет - игнорирование гуглем (который обычно впереди всех внедряет сомнительного качества идеи, если на них написано "безопастно!") dnssec явно означает что его интересует вовсе не защита пользователя от подделки dns-ответов.И doh ему нужен совсем не для этого. Хотя, разумеется, это и ничуть не новость.
DNSSEC не нужен.Это ещё более вредительская инициатива чем DoH
она безусловно вредительская, но во всяком случае - не сливает твои данные правильным ребятам.
DNS сливать в логи самое простое! логируем ваши запросы в Kafka и Clickhouse.
> DNS сливать в логи самое простое! логируем ваши запросы в Kafka и
> Clickhouse.товарищмайор, мой dns на анализаторе не слишком отличается от корпоративных vpn ;-)
Это не говоря уже о том, какое количетсво всякого трэша там налогится из-за prefetch, спамоанализатора и тд, а какое не-трэша потеряется в мусоре, поскольку запрос был только один, а остальные пришлись в кэш.Не мучайтесь, логируйте sni - гуглезила позаботилась, чтобы сделать процесс простым, нересурсоемким и свободным от ненужного мусора.
В чем отличие DoH HTTP/3 от DNS?
DNS обычный работает по UDP:53, DoH по TCP:443.
Разве Http3 Работает по Tcp/ip?
По UDP/IP
Поэтому отличия минимальны, и шифрует все через Quic
QUIC - это рабочее гугловское название HTTP/3. Также, как HTTP/2 был SPDY
Хотя DoQ/DoT Должен быть легче.
>системы родительского контролясовременные фашисты называют себя патерналистами
А в чем собственно проблема то? Хром (в отличии от firefox) будет пользовать в качестве резолвера сервер указаный в системе. Нет доверия к гуглу? юзай резолвер от клаудфлар,квад9,... да тысячи их. Че панику розводить то?
Раньше провайдер выдавал тебе днс. Меняли его 1% пользователей. Сейчас его выйдает гугл, а провы остались не у дел. Вот и истерят.
Провайдерам за даром не сдались абонентские запросы к DNS, они на другом зарабатывают.
Ну насколько я понял все не совсем так. Точнее совсем не так. Гугль как раз таки не собирается ничего выдавать, а будет юзать то что у тебя в resolv.conf, и DoH будет использовать только если неймсервер єтот самый DoH поддерживает.
> то что у тебя в resolv.conf, и DoH будет использовать только
> если неймсервер єтот самый DoH поддерживает.вопросов ровно два - зачем гугль лазит мимо системных средств (еще и) в resolv.conf, не спрашивая пользователя, и остановится ли он на этом, собрав нужную и полезную телеметрию, как ты думаешь? ;-)
Конспирологические теории явно не мой конек. Но если вдруг вы опасаетесь что ЗОГ/АНБ/гугль/тов.майор/etc будут кешировать ваши ДНС запросы то кто собстно вам мешает поднять свой резолвер с DoT/DoH (по желанию). Где собственно централизацыя обработки DNS-запросов из за боязни которой весь срач и начался?
> кто собстно вам мешает поднять свой резолверя вам ссылку на исходники гугля показывал - вы там видите место для своего ресолвера?
Да, возможно (когда фичу таки сделают глобальной, потому что совершенно незачем было бы стараться ради полутора процентов пользователей провайдеров, _и_так_ подсовывающих гуглоdns) будет еще стопиццотый flags, позволяющий как-то этим управлять, возможно даже его еще через пол-года не задепрекейтят, но - вы в самом деле мальчик с феноменальной памятью и феноменальной усидчивостью, чтоб на КАЖДОЙ (включая мобильные) системы, где вы засвечиваете свое поведение (можно даже не авторизоваться нигде) - вовремя менять эту и миллион других настроек, обеспечивающих вам видимость приватности?
в какой еще "системе"? В моей системе нет никакого дохлого и указать его тоже негде. Есть resolv.conf, который гугель вовсе не собирается использовать (кстати, и не его собачье дело).
А что ж тогда хрому для резолвинга использовать если не resolv.conf?
resolv.conf использует (или не использует, в десяточке нет никакого resolv.conf) gethostbyname()
- и совершенно не собачье дело юзер-приложения туда лазить самостоятельно и изобретать наколенные ресолверы отдельные от системы.
>DNSSEC использует шифрование лишь для аутентификации клиента и сервераhttps://www.dns-school.org/Documentation/dnssec_howto.pdf
DNSSEC was designed to deal with cache poisoning and a set of other DNSvulnerabilities such as man in the middle attacks and data modification in au-thoritative servers.
Its major objective is to provide the ability to validate theauthenticity and integrity of DNS messages in such a way that tampering withthe DNS information anywhere in the DNS system can be detected.
А тут речь не только о tampering, но и том, чтобы прочесть нельзя было
> А тут речь не только о tampering, но и том, чтобы прочесть нельзя былоа тут речь идет ТОЛЬКО о чтоб прочесть _неправильным_ ребятам нельзя было. А правильным можно было и в tampering поиграться (причем буквально в паре удобных точек - контролировать вообще весь интернет, а не гоняться за каждым authoritative васян-серверком в *опе мира), и уж тем более - пополнить бездонную бигдату.
Когда это делает Ростелеком или chinatelecom - это нарушение всех прав человека, когда NSA - это на благо общества и всех демократических институтов.
> Когда это делает Ростелеком или chinatelecom- они ср..ные неудачники и неумехи.
А у гугля есть почти весь интернет и почти все браузеры!
У chinatelecom всё довольно неплохо. У Китая действительно свой интернет, со своими социалочками, мессенджерами и т.д.
Главное отличие - у кого выключатель этой фичи.
Вот именно. Когда выключатель принадлежит Державе Добра, это добро, а когда Оси Зла, это зло. Никогда не запутаешься.
Гугл на сегодняшний день является самым уродливым и страшным гомункулом, который только смогла породить корпоративная система.
Просто игнорируйте всё, к чему эти мрази приложили руку.
что ты тогда делаешь в интернете?
> что ты тогда делаешь в интернете?А что, интернет = google?
facepalm.jpg
а что, еще нет?! Тогда мы идем к вам - вот, DoH несем в клювике.
ну по сути да, без сервисов гугла сейчас практически ни 1 крупный сайт работать не будут. с их серверов все тянут фреймворки(ajax/jqery и все такое). да даже уё#$#ая капча у всех одна и та же :)
> ну по сути да, без сервисов гугла сейчас практически ни 1 крупный сайт работать не будут. с их серверов все тянут фреймворки(ajax/jqery и все такое). да даже уё#$#ая капча у всех одна и та же :)У меня почти везде это отрезается umatrix'ом. И, в основном, как-то работает. На чтение точно - 80% моих потребностей.
Про капчу - да. Это частое явление.
Тем не менее, это в любом случае не про тождественность гугля и интернета вообще. Жить без гуглоблевоты, не привлекая внимания санитаров, возможно. Пока ещё.
Cloudflare Будет крупнее гугла.
> Гугл на сегодняшний день является самым уродливым и страшным гомункулом,
> который только смогла породить корпоративная система.
> Просто игнорируйте всё, к чему эти мрази приложили руку.У Вас опять приступ шизофрении, похоже.
Гугль, как и Cisco, весьма важен для АНБ. Равно как и "борцуны за свободу", особенно крайне бюджетные -- которым достаточно стеклянных идеечек в вакуум между ухов пропихнуть.
Так что определитесь -- или "против режЫмов", или "против гуглоцЫски". Нейтралитета Вам в этом вопросе не давали.
>Так что определитесь -- или "против режЫмов", или "против гуглоцЫски".КОРПОРАЦИИ = РЕЖИМ
Какую альтернативу современной системе доменных имен предложите?
Сейчас вам накидают в стиле "Абырваг, блокчейн, признание Америки, ещё парочку..."
/etc/hosts/
ip
dns
А чем плох стандартный DNS?
Пока не могу ответить на Ваш вопрос. Но прикручивают же "фичи", dnssec, dnscrypt. Значит кому-то это нужно.
С другой стороны, изначально ведь Интернет задумывался как очень отказоустойчивая система. Но потом набежали...
Если DNS даёт провайдер, то его вообще никто не отслеживает. Прову это совершенно не нужно. К тому же, это самый короткий путь выдачи ДНС, а потому самый безопасный. Вероятность того, что кто-то перехватит ваш запрос от провайдера минимальна, потому что этот запрос выполняется во внутренней сети провайдера.Все dnssec, dnscrypt -- это не про безопасность, а про деньги и обход официальных (наиболее близких к вам и безопасных) DNS-служб, чтобы мониторить ваши запросы и продавать их на строну в паре с вашим IP-шником.
Это все интересная тема. Меня это интересует с точки зрения чистоты эксперимента и того факта (именно факта, так что прошу со мной согласится), что хотя яблоко которое прогрыз червяк, оно хоть и (наверняка) содержит в себе меньше химикатов, но есть его немного (совсем немножечко ;) неприятно. То есть иногда хочется быть академически анонимным или почти реально анонимным, не шалости ради, но для полезных (польза понятие относительное, но каждый должен сам отвечать за свои полезные (для себя) дела) дел.> в паре с вашим IP-шником.
Если я через Tor например получил IP адрес сайта, и через Tor загрузил с него страницы сайта (конечно ведя себя в соответствии с рекомендациями для анонимов с сайта торпроэкт, ну и голову конечно же не выключая) сколько будет стоить мой IP?
> рекомендациями для анонимов с сайта торпроэкт, ну и голову конечно же
> не выключая) сколько будет стоить мой IP?примерно $1 на 100 запросов "угадай все гидранты". Во всяком случае, таковы цены "гибридных" индусо-капчерешателей.
"анонимность" ходящих через тор примерно равна сегодня "анонимности" нашивших на рукав желтую звезду - как именно тебя звали, никто даже спрашивать не будет, сразу в газенваген, вместе с п-сами и шизофрениками.
Ну просто потому что никому не интересно отличать тебя из их толпы - и иметь с ними дело - тоже.
Фрэнк Дэнис запилил спецификацию для резолва DnsCrypt через dns-сервера провайдера.
> Компания Google заявила, что опасение напраснырасходимся
Ну, если гугл сказала, уж ей-то надо верить :)
Такое странное молчание тут. А владельцы дистров так и будут включать эту лису в свои дистрибутивы?
А что тогда включать? Хром, который все запросы будет слать на свой ДНСник?
>подобный шаг также даст Google необоснованные преимущества перед конкурентами,Они даже не скрывают, что срать они хотели на пользователей и что им важно, чтобы они могли продолжать следить. Волновала бы надёжность и приватность - давно запилили бы децентрализованный оффлайновый днс на блокчейне.
десять лет назад запилен https://bit.namecoin.org/ , но пока юзеров по-настоящему не прижмут - они альтернативами не озаботятся.
Пока провайдеры и прочие корпорации это не станут продвигать - это не взлетит.
Что американские провайдеры не в восторге от великого американского файервола.
Не в восторге от монополии и отсутствия выбора. Что приводит к закисанию и коррупции.Никакого фаервола не задумывалось и не обсуждалось.
> Никакого фаервола не задумывалось и не обсуждалось.Действительно, зачем обсуждать такие уважаемые компании, как Google и CloudFlare?
> Т.е. действия Google сводятся лишь к замене на эквивалентный сервис текущего провайдераТ.е. Папа взял и заменил твоё на своё.
На сколько я помню, тут была новость о том что Гугл использует в своих продуктах DNSoverHTTPS только если заранее известно, что у уже используемых серверов есть официальная поддержка этого самого DoH
То есть если в системе прописан 9.9.9.9 как DNS сервер, то он просто "проапгрейдит" соединение с ним... а не с ГугломДругое дело что в systemd уже давно жестко вшиты зон^ сервера cloudflarе... Но кого такие пустяки вообще волнуют? Мы же тут google похейтить собрались?
Видимо кому-то это не понравилось что за сентябрь пришло чуть меньше денег...
Да уж лучше Google следит за мной, чем ушлые местечковые провайдеры под такими же спецслужбами.
молодец! зайди за очередной выплатой.
Если выбирать между беспринципными спецслужбами и беспринципными торгашами, то хуже как раз торгаши. У спецслужб доступ к информации ограничен (иначе какие они спецслужбы), а торгаши продадут эту информацию кому угодно, кто заплатить может. Иными словами, открывать информацию всяким гуглам - это открывать ее вообще всем.
это смотря у каких спецслужб.Наши товарищмайоры всегда непрочь поработать торгашами.
> Наши товарищмайоры всегда непрочь поработать торгашами.Не подскажете, кто и почём? А то для наших бизнес-целей попробовал подкатить — послали в опу, пригрозили в следующий раз ласты завернуть.
Места знать нужно или через посредника приходите +30% $$$
Съезди в Митино, узнай расценки.
> У спецслужб доступ к информации ограничен (иначе какие они спецслужбы)Не просто ограничен, а ещё и дичайше забюрократизирован.
Если вы никого не взорвали или лично не разозлили какого-нибудь высокого чина, любой майор плюнет собирать весь пакет документов, требуемых для доступа к вашим записям.
Широко известный факт - операторы систем слежки США следили за своими девушками без каких-либо документов. Ещё один широко известный факт - у бизнеса соглашение на использование данных подразумевает её передачу кому угодно по желанию левой пятки бизнеса. А бизнес не будет кусать руку, которая его кормит: судит конкурентов за якобы нарушение патентов, засуживает пользователей якобы за нарушение ToS, копирайта и ещё чего-нибудь, закрывает глаза на де-факто нарушения законов о персональных данных и о защите прав потребителей. Если бизнес укусит руку, его кормящую, в суде внезапно дела пойдут не в пользу этого бизнеса. Поэтому бизнес передаст все данные даже не по бумажке - по устной просьбе. Если не даст прямой доступ к информации в своих системах.
>любой майор плюнетЕсли ему нет личной выгоды - плюнет. Если же выгода есть - соберет о вас данные вплоть до 5 колена.
Централизация - это, конечно, плохо, но добавления DoH лично мне хватило чтобы уже перейти с Chrome (на котором сидел т.к. он быстрее) на Firefox Nightly.
> Централизация - это, конечно, плохо, но добавления DoH лично мне хватило чтобы
> уже перейти с Chrome (на котором сидел т.к. он быстрее) нав смысле - переживаешь что в хромой поздно добавили?
> Firefox Nightly.где он по умолчанию и отключавший его сеттинг ВНЕЗАПНО перестал его отключать?
Что вы срань то развели? Вам же сказали, по умолчанию будет ВЫКЛ.
Читать же нужно хоть иногда, ну.
верьте нам, верьте! По умолчанию будет - выкл, и причем - мы совсем-совсем не планируем это умолчание поменять, как только оттестируемся на ограниченном числе хомячков!(а вот ассоциация сидящих на трубе, гадов, почему-то не верит... плак-плак...)
может здравый смысл восторжествует?