Компания Google сообщила (https://android-developers.googleblog.com/2018/04/dns-over-t... о добавлении в тестовые сборки Android P Developer Preview, используемые для тестирования функциональности следующего значительного релиза мобильной платформы Android, поддержки технологии "DNS over TLS (https://tools.ietf.org/html/rfc7858)", позволяющей защитить канал связи с DNS-сервером. Таким образом, платформа Android станет первой популярной ОС в которой будет доступа из коробки функция шифрования трафика DNS, что может существенно подтолкнуть продвижение технологии "DNS over TLS" и в других системах.
"DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS (https://ru.wikipedia.org/wiki/TLS) с проверкой валидности хоста через TLS/SSL-сертификаты, заверенные удостоверяющим центром (в "DNS over HTTPS" резолвер обрабатывает запросы через Web API). Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
"DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, защищают от MITM-атак по подмене DNS-трафика и помогают противостоять блокировкам на уровне DNS. Для тестирования предлагается подборка (https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Serv... поддерживаемых сообществом серверов "DNS over TLS", в том числе данный протокол теперь поддерживают серверы 9.9.9.9 (Quad9) и 1.1.1.1 (Cloudflare).В настройках Android (Private DNS в секции Network & internet ) предоставлена возможность автоматического включения "DNS over TLS" для текущего DNS-сервера, если он поддерживает данный протокол, а также опция для указания сервера вручную. Для разработчиков приложений в API добавлена новая функция LinkProperties.isPrivateDnsActive(), позволяющая проверить применяется ли в текущем окружении защищённый канал связи для DNS. Сборки Android P Developer Preview с поддержкой DNS over TLS" можно получить в рамках программы бета-тестирования, доступной (https://developer.android.com/preview/download.html) для пользователей устройств Pixel, Pixel XL Pixel 2 и Pixel 2 XL.
URL: https://android-developers.googleblog.com/2018/04/dns-over-t...
Новость: https://www.opennet.me/opennews/art.shtml?num=48443
>доступной для пользователей устройств Pixel, Pixel XL Pixel 2 и Pixel 2 XL.Владельцы Ляофонов и вообще всех старых (то есть старше года) моделей пролетают, как фанера над Парижем.
Кто-то и на компе на предустановленной винде сидит, и что?
Не вижу связи.
Я могу обновить винду, а андроид - нет.
И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.
> И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.Их не так много, к сожалению. Ещё хуже, если нужна, например, съёмная батарея.
> Покупай китайфаоны с официальным lineageOS.Где такой купить? Крупные магазины в Москве такими не торгуют.
Торгуют. вот к примеру mvideo, ozon продают oneplus 3(t)/5(t), xiaomi mi5s(plus).
Лжёте либо вы, либо продавцы Мвидео. В тех. описаниях этих телефонов чётко указано, что это Андроид и его версия.
> Лжёте либо вы, либо продавцы Мвидео. В тех. описаниях этих телефонов чётко
> указано, что это Андроид и его версия.что вам мешает зайти на сайт линейки и за 10 минут накатить новый андроид? у меня leeco le max 2 и то 8.1.0 стабильная стоит уже.
А кто может дать гарантию, что там правильный линьяж, а не подпиленный Ва Сяном, который напихал туда овердофига закладок для последующего слива всего, что там найдётся интересного? И к тому же залочивший загрузчик так, что туда вообще ничего залить нельзя?
xpda кто-то отменил?
> А кто может дать гарантию, что там правильный линьяжКакую ещё тебе гарантию? Правильных прошивок ни один производитель не шьёт. Покупаешь тело, разблокируешь и ставишь правильный с оф. сайта.
> правильный с оф. сайтаВсё понятно.
А тебе откуда надо? Ну скачай васяносборку с 4пда: если повезёт, она может оказаться даже лучше китайской и с меньшим числом троянов. Собрать самостоятельно не предлагаю, не осилишь.
Перепиливальщики андроеда с оф.сайта линейки, равно как их медноголовые или репликантные коллеги, заслуживают доверия ровно столько же, сколько зондопихатели из гугла или прошивкособиратели из Вынь Сунь в Чай Индастриал парк или безымянный умелец с 4пда. А именно - ноль.
У тебя выход один - не пользуйся смартфонами
> У тебя выход один - не пользуйся смартфонамиеще надеть шапочку из фольги. 100% защита
Если дрова есть - можешь. А если производитель забил на дрова для новой винды - опаньки...Та же история и с китайфонами. Для моего есть LineageOS с OTA-обновлениями. Плюс телефон поддерживает Treble, так что не проблема поставить на него AOSP и получить Android 8, а потом и 9.
И как это чудо называется? Я думал если хочешь нормально обновляться и без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а это очень дорого даже БУ.
Дешевле, чем инвестировать своё время в портирование LineageOS. Если устройство не поддерживается - даже с опытом добавить поддержку и отладить баги займёт несколько дней.
Если Вы за несколько дней зарабатываете на Пиксель - рад за Вас. Большинству людей проще пару дней на отладку потратить.
> И как это чудо называется? Я думал если хочешь нормально обновляться и
> без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а
> это очень дорого даже БУ.А пойти на вики и посмотреть список поддерживаемых устройств не пробовал? Даже ссылку могу дать, чтоб не заблудился: https://wiki.lineageos.org/devices/
Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть все ошибки но остаться на той же системе? Новые версии windows мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы ушли критические ошибки.
> Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть
> все ошибки но остаться на той же системе? Новые версии windows
> мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы
> ушли критические ошибки.РеактОС не подойдет?
> РеактОС не подойдет?еще сыроват
>> РеактОС не подойдет?
> еще сыроват
> ещеОптимист.
Извините, одно дело говорить о телефонах, поддержка систем у которых кончается за 2-3 года, а другое дело WinXP, которая, на минутку, выпущена 17 лет назад.
Венда 7 вот поддерживается и обновляется, вышла она ещё до любого Андроида.
Я не защищаю венду, я говорю о том, что вы тут все сравниваете тёплое с мягким.
Вы не пробовали ставить семёрку на новые ноуты? Начиная с 2017 года выпуска многие компании забили на поддержку дров для семёрки, и дрова на них есть только для 8-10.
А при чём тут это? Речь про актуальный софт на старом железе.
зачем его обновлять? г-но не обновляют, а сливают в канализацию.
На негoвно денег дашь?
Сам заработать не пробовал?
Не можешь. Процесс обновления должен иметь какой-то смысл (быстрее, выше, сильнее). Процесс без смысла, ради процесса, бессмыслен. Не существует обновлений винды, которые могли что-либо в ней улучшить. И это проблема для тех, кто не заблуждается в красивых фантиках.
Рутируй и ставь dnscrypt
>Таким образом, платформа Android станет первой популярной ОС в которой будет доступа из коробки функция шифрования трафика DNSКак здорово, что в редакции опеннета есть люди с телепатическими возможностями.
Заминусовали то.
И что? Ну не прочтут запросы к днс, так разберут, куда летит запрос на страницу.
Ты не понял, малтшик. Вкупе с https это сделает блокировку сайтов еще более проблемным делом.
Не совсем. SNI как ходил открытым текстом, так и ходит...
Когда залатают?
Насколько я помню в TLS 1.3.
> Насколько я помню в TLS 1.3.Нет, TLS 1.3 уже приняли, но шифрование SNI туда не вошло.
sni -- это tls protocol extension, на практике все его умеют в 2018
примерно никогда. Так мы с кураторами гугля решили.
просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне проблема.
> просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне
> проблема.ващета проблема. Но мы - боремся.
И многие у вас в службе пишут безграмотно?
Вообще-то проблема. Посмотри, ютуб и фейсбук заблокированы в РФ? Там есть запрещённый контент.
> Вообще-то проблема.но ни разу не та о которой ты думаешь.
> Посмотри, ютуб и фейсбук заблокированы в РФ?
слушай, ну зачем нам блокировать наших лучших агентов? Мы ж не китайцы бидоноголовые. Они с величайшим удовольствием выполнили команду о переносе твоих данных в нашу осободуховноскрепную страну. И обеспечили нас удобным интерфейсом к ним. А знают они о тебе - даже то, что ты о себе не знаешь (потому что пока ты спал, твои друзья...впрочем, не будем о грустном, тем более фейсбук уже все "удалил")
> Там есть запрещённый контент.
они прекрасно его выпиливают по первой же жалобе роспозора. А _неправильный_ контент - и до жалобы.
а с блокировкой по ip вышли совсем другие неприятности, примерно те же, из-за которых за паршивые 345 рублей каждый может получить себе "неблокируемый" домен (его, конечно, разделегируют, по моей настойчивой просьбе, но небыстро, там не фейсбук, ночью все спят, к примеру)
но мы с этим боремся, и рано или поздно всех прижмем к ногтю. Возможностей у нас есть.
> они прекрасно его выпиливают по первой же жалобе роспозора. А _неправильный_ контент - и до жалобы.НеДимон до сих пор лежит. Уже скоро год будет после того суда.
> "DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связиИ тут же
> "DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений
Чот-то совсем не понятно, "DNS over TLS" более безопасный чем "DNS over HTTPS". Или нет разницы?
В обоих случаях используется TLS. Только в случае Https это не класический DNS протокол. А вот в случае DNS over TLS это будет просто тот самый DNS но внутри TLS шифрования.
Глобально меньше
С развёртыванием поддержки DNS-over-TLS первопроходец Dnscrypt отправляется на свалку истории.
вот только какой из этих вариантов таки сесурнее? Емнип dnscrypt тоже поддерживается всякими гуглоднс и прочими
DNScrypt секурнее (решена проблема "первой ночи"), но сложен в применении и реализации. Такой гибрид DNSSEC с TLS. Да ещё и нестандартизирован.
В каком месте DNSCrypt сложен? Скачать пакет / собрать из сырцов, прописать строку на автозапуск и правило iptables (в общем случае) - это сложно? Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки. Другое дело, что оригинальный разраб проект дропнул и "форком" теперь занимаются сомнительные личности с неясной мотивацией.
> В каком месте DNSCrypt сложен?В реализации, анон. Никто не говорит про сложность установки мокрописьки для конечного юзера. В самой своей сути днскрипт сложен и ужасен. Потому автор и дропнул первую версию.
Читай: https://github.com/jedisct1/dnscrypt-proxy/wiki/Differences-...
> Code quality Big ugly mess
> Code quality Big ugly messу пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.
собственно и вся эта таблица - fud и bullshit.
видите-ли, несекьюрно включать в исходник патченные (потому что штатные не работают) версии системных библиотек. Вот включать все библиотеки, переписанные (и переписываемые каждый день заново) стаей диких go-обезьян, которые вообще никто и никогда не изучает на предмет безопасности, потому что бесполезно, каждый день новая - это нормально, потому что они так думают.
в общем, уносите. dnscrypt мертв. Зверушка и изначально была калекой, а теперь и вовсе дни ее сочтены.
> у пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.Но это вики репозитория автора оригинального DNSCrypt, лол. Ниасилятор сперва написал big ugly mess на нормальном языке, все с радостью пользовались, потом он дропнул и назвал тем самым, начав писать вторую версию на го. Самому не смешно? Зачем тогда вам оригинальный проект от такого человека и о чём вы печалитесь?
Не было там никакой сложности и ужаса, пока go-обезьяны не занесли.
Причина дропа изначально выставлялась иная, собственно https://mobile.twitter.com/jedisct1/status/928942292202860544
Спустя некоторое время были выпилены КЕМ файлохранилище на офсайте (dnscrypt.ORG) и ветка git'а, ссылку на которую ты привел, а с офсайта настроен редирект на левый сайт с кривым сертификатом, демонстрирующий в красочных картинках тотальное превосходство DNS-over-TLS над DNSCrypt. Обнаружил случайно, когда у меня wget перестал список резолверов с офсайта дергать. Тред на reddit, народ в непонятках https://www.reddit.com/r/privacy/comments/7oiu9f/what_happen... А теперь внезапно всплывает и git, и автор (а тот ли это автор, и если тот, то каковы причины мутного отказа от софтины в пользу (!)VPN и резкая смена курса?), и реинкарнация. Ничего не напоминает? А мне напомнило слив TrueCrypt и г-нософтовский BitLeaker во все поля.
Касательно> Code quality Big ugly mess
> go-обезьянкамрад выше все правильно изложил.
А посмотреть более свежее описание религия не позволяет?
> теперь занимаются сомнительные личности с неясной мотивацией.лол, да какая разница кто автор первой, а кто второй версии. как раз таки мотивация автора второй версии понятна - удобный конфиг, блэклисты, скорость работы, авто форвардинг и куча фич, поддержка DoH, выбор метода шифрования DoH. и вообще код доступен и первой, и второй версии. вы вообще не туда смотрите. смотреть надо не на авторов кода, а на серверы! точнее на держателей этих серверов. вот в чем вопрос! кто стоит, например, за сетью секурных серверов оупенднс? кто сертифицирует сервера в канаде? кто занимается аудитом сервером тумабокс? вот куда копать надо! клиенты это дело десятое!
Разницы НИКАКОЙ! Один и тот же )))
Есть варианты альтернативы?
Смотреть нужно еще ближе -mitm своего провайдера!
> В каком месте DNSCrypt сложен?Во всех. Посмотрите принципы, реализацию и поддержание сервера. Плюс для клиента, как правило, нужна ещё и прослойка-прокси.
Чего там нужно для клиента?
Прокси DNScrypt, мон петит ами. Unbound (да, вероятно, все остальные) "внезапно" его не умеет как клиент напрямую.
Обалденно. А как запросы будут шифроваться? Прямотоком?
Ещё более "внезапно" DNS-over-TLS этой прокси-прокладки не требует. Равно как и дополнительного геморроя с ключами.
> Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки.Ошибаетесь. Он поддерживает обслуживание запросов, но не работу с ключами. А там подобие DNSSEC/DANE с использованием своего софта.
Чего глупости несем???
Блет не пойму, днскрипт это лучше или хуже?
> Блет не пойму, днскрипт это лучше или хуже?Хуже тем, что не является стандартом. Стандартизированные решения имеют больше шансов получить в операционных системах реализацию "из коробки", что и произошло.
> Блет не пойму, днскрипт это лучше или хуже?лучше хотя бы тем, что его не навязывает гугль. Но по этой же причине и не взлетит.
(внутри - такой же в общем треш и п-ц, унесите)
Пока лучше всех вариантов
Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером. Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.
> Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером.
> Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.Видимо, вы невнимательно читали новость. Если текущий сервер, который вы и так уже используете, поддерживает DNS over TLS, то можно включить.
Никто не заставляет вас прописывать DNS-сервер гугла в настройках.
> Никто не заставляет вас прописывать DNS-сервер гугла в настройках.да, мы уже давно работаем над тем, чтоб в настройках можно было написать хоть "йа креведко".
P.S. и нет, вам никто не обещал что в _этом_ месте мы тоже "для большей безопастности" отключим pkp.
Ну это лучше, чем родному ФСБ
>андроидовладельцевПрочитал как "неандертальцев". Проиграл.
Гугл не поддерживает DNS-over-TLS.
Следующим шагом надо запретить днс открытым текстом и днс с неодобренными гуглем сертами. Ведь это же для нашей безопасности!
а можно сразу в требованиях к ведровендорам прописать захардкоженные 8.8.8.8 и 4.4.4.4 .
Если не можешь запомнить второй днс, то и нефиг писать его, умножая безграмотность.8.8.4.4 блин - запомнил?
Запомнил.
Пусть хоть 20 шифровальщиков навесят. Попробуй потом снифером трафик словить чтоб отдебажить. Я уже ничем не могу ловить https. О разработчиках не думают. Андроид что-ли пересобирать придется?
подскажи, что ты разрабатываешь? (что случайно не вляпаться)
Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру или гуглу - хорошо когда есть выбор. Но в любом случае все основано на доверии, а доверять нельзя никому т.к. что 8.8.8.8, что 1.1.1.1 - это лишь конторки, которые бесплатно не работают и созданы вовсе не для свободы Интернета. У них свои цели и своя монетизация. Но в целом - хорошо когда есть выбор.
Если перед тобой стоит вопрос доверия к провайдеру (!)
то тебе ничего не поможет ))
> Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру
> или гуглу - хорошо когда есть выбор.После внедрения DNS-over-TLS вопрос доверия можно легко решить запустив минуты за 2 в общей сложности на копеечном VPS свой DNS сервер (Unbound + Let's Encrypt) и не парится ни о доверии "корпорациям добра", ни о слушающем вас "товарище майоре".
Подскажите пожалуйста,что такое TLS,и почему при соединении с любым сайтом моя лиса пишет"рукопожатие с ---.com?Зачем это,если и так все мои сообщения читаются,мои файлы просматриваются.Как это TLS отключить?
Там у лисы на обратной стороне тумблер должен быть.
А на какой домен генерить сертификат в связве bind и nginx? И что если там на одном айпи много доменов?
Что ты там собрался генерить?
У тебя свой днс-сервер?
Да, я на все свои сайты свой днс сервер поднимаю.
Лучше бы выпилили SNI из коробки, было бы полезнее.
Зашибись. Ещё encrypted sni добавить и пипец. Что провайдерам останется, что б удовлетворять ркн? Блокировка по ip только. Вот радости будет для всех...