The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Запущен новый этап тестирования DNS поверх HTTPS в Firefox"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от opennews (ok), 28-Ноя-18, 10:44 
Разработчики Mozilla анонсировали (https://blog.mozilla.org/futurereleases/2018/11/27/next-step.../)  третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании  (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов.


Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи.  У пользователей с высокоскоростным доступом к сети  отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и  незаметным в процессе работы. Если первые два этапа измеряли производительность непосредственно операций с DNS, то на третьем этапе планируется оценить общую картину, учитывающую и время загрузки тестовой страницы. Раз в сутки браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит оценить влияние локализации обращений к DNS через сети доставки контента.

Для включения DoH на системах не приглашённых для участия в тестировании, достаточно в about:config изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".


Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

URL: https://blog.mozilla.org/futurereleases/2018/11/27/next-step.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49673

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от timur.davletshin (ok), 28-Ноя-18, 10:44 
Да годная, годная штука. Только у меня почему-то ряд адресов в режиме только DoH не резолвится...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от A.Stahl (ok), 28-Ноя-18, 11:17 
Я х.з. как это работает, но наверное нужна поддержка этой технологии и со стороны самого DNS-сервера. И эта поддержка, скорее всего, пока ещё есть далеко не везде.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

34. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от dimqua (ok), 28-Ноя-18, 14:10 
Поддержка необязательна.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от andy (??), 28-Ноя-18, 12:05 
Нет, не годная.
https://youtu.be/OxFFTxJv1L4?t=2627
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

44. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +10 +/
Сообщение от Тоха Салогвинов (?), 28-Ноя-18, 16:17 
Всё что я увидел в вашем видео по таймкоду это:
>Ты то куда лезешь χ¥€¢Ø¢№₳ из нижнего интернета
>Мы тут все крутые DNS мужыки, а ты просто HTTP-школьник-неудачник поверивший сказочкнику Сноудену бла бла бла

И всё что он сказал про DoH неправда. Я уже пощупал эту штуку в фирефоксе и могу сказать что HTTPS до дефолтого сервера не закрывается через две минуты, а продолжает висеть и висеть. А если бы даже и закрывалось то что? Его-то какое дело? Мало ли реализаций DoH есть и ещё появится? Может я наоборот хочу чтобы закрывалось?
Что ещё он сказал? Ах, да, кажется, что-то про то, что DoH не поддерживает асинхронные ответы - и это тоже не правда. По крайней мере ответы ipv6 и ipv4 могут приходить независимо, об этом даже настройка соответствующая есть...

Короче батхертит он знатно. Я хоть и признаю Калловый-флейр ещё большей червем-корпорацией, чем даже Гугл, но этого слушать этого поехавшего больше не смог...

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

45. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Тоха Салогвинов (?), 28-Ноя-18, 16:21 
И 500 просмотров у видео... Жаль поздно заметил.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

100. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +3 +/
Сообщение от Аноним (-), 29-Ноя-18, 11:37 
Мужик не убедителен. Выше уже отметили другие вещи (чувствуется, что его бесит, что какие-то веб-макаки взяли и сделали шифрование днс прямо здесь и сейчас, а крутые днс-мужики сидят на жопе ровно, обесценивают проблему (даже в случае хвалимого им dns over tls, видно что он намекает на не особую нужность шифрования днс и не собирался шевелить пальцем) и успеют только через 10 лет со своей реализацией), затрону одну. Проблема локальных доменов не проблема. Есть старый https://tools.ietf.org/html/rfc2606 в котором указано 4 зарезервированных tld. Нет никакой проблемы для браузера автоматически не резолвить их через DoH, а спрашивать систему. И это уже так: https://daniel.haxx.se/blog/2018/06/03/inside-firefoxs-doh-e.../
> Additionally, "localhost" and all names in the ".local" TLD are sort of hard-coded as blacklisted and will never be resolved with TRR. (Unless you run TRR-only...)

Если только вы не профнепригодный, как те что брали .dev tld, который никогда не обозначался зарезервированным для локальных/девелоперских нужд (ну и что? зато красиво, берём!), и когда гугл покупает эту зону и невозбранно форсит на ней HSTS, они получили невозможность открывать свои красивые локальные домены в современных браузерах по http, которую заслужили.
Более того, в его примере с сетью в его доме, если придёт гость с ноутбуком/смартфоном, где захардкожен гуглднс, то автоматически у него тоже не будет работать локальный домен. Устройство гостя проигнорирует dns-сервер, который выплюнуло DHCP его локалки, и продолжит использовать гугл. При чём тут шифрование, казалось бы? Видимо при том, что с открытым днс у него всё равно остаётся возможность наплевать на настройки гостя и забрать его днс-запросы себе, ответить от имени гугла, а устройства гостя и не заметят ничего. Видимо он рад такой возможности, упоминал же что любит контроль и пугает ботнетами. Только почему нас должны волновать его желания?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

108. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от DerRoteBaron (ok), 29-Ноя-18, 15:14 
Пожалуй, единственное, в чем он прав, так это в том, что сейчас DOH живёт в браузере, а не в системном резолвере, что может быть хорошо только при использовании доверенного браузера во враждебной ОС. А это само по себе уже плохая идея.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

115. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 21:25 
Да, никто не отрицает, что это не совсем правильно и в идеале надо это делать в ОС. Но это ведь не самоцель. Просто ОСи будут долго внедрять, скорее всего. И даже внедрив, пользователи будут долго обновляться на новые версии ОСей (привет win7-8, старым андроидам). А у браузера есть возможность внедрить это прямо сейчас и пользователи обновятся сразу. Плюс, цитируя https://dnscrypt.info/faq/ по поводу DNS over TLS:
> Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-...

А в браузерах эта часть годами отполирована и нигде не сделано лучше среди клиентской части.
И те домены, которые желательно скрыть, чаще резолвятся именно для браузера, а не другого софта.
По этим причинам мы и видим это в браузере. Когда-нибудь это станет не нужно, но сейчас полезно и не мешает внедрению шифрования в ОСи.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

33. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  –7 +/
Сообщение от th3m3 (ok), 28-Ноя-18, 14:01 
Когда ещё только завели эту фичу, у меня ни один сайт не открывался с DoH. Больше не тестил.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от Аноним (2), 28-Ноя-18, 10:44 
Ну, теперь будет только один источник цензуры - удостоверяющий центр. Только один, зато на всех. Этож лучше "товарищ майор" - далеко и ему совершенно нет до тебя дела, да? ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +4 +/
Сообщение от Аноним (3), 28-Ноя-18, 10:49 
"Когда вы говорите, такое впечатление, что вы бредите" - Шурик.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (2), 28-Ноя-18, 11:02 
"Сейчас к людям надо помягше. А на вопросы смотреть ширше."
Друг шурика
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Анонимemail (19), 28-Ноя-18, 12:36 
Друг-ли?..
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от товарищ майор (?), 28-Ноя-18, 11:12 
ну чего это "только один"? Сколько надо, столько и будет.

А "удостоверяющий центр" может быть и впрямь один - это ж гугль, если мы правильно попросим - подпишет чего надо. Они вообще с удовольствием с нами сотрудничают. И с "ними" тоже, конечно, но мы в данном случае - не конкурируем, а тоже сотрудничаем.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Запущен новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (2), 28-Ноя-18, 11:57 
"Сколько надо, столько и будет."

А в том то и дело, товарищ майор, что "достаточно только одной таблетки".

Так что от такого сотрудничества ожидать можно разве что слияния органов если не сказать совокупления...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (6), 28-Ноя-18, 11:14 
Как бы помягчьте сказать ... DNS юзает не только браузер.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (8), 28-Ноя-18, 11:19 
Да. Что сказать то хотели?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 28-Ноя-18, 11:25 
1. Основная часть конфиденциальных днс-запросов это именно браузер. Резолвы клиента стима сильно хочется шифровать?
2. ОСям никто не мешает реализовывать нативную поддержку. Вон, последний андроид уже умеет. Но ждать люди будут 10 лет. Независимо от того, что будет делать мозилла.
3. Что тебе не нравится и что ты хочешь от мозиллы в этом плане?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от Аноним (11), 28-Ноя-18, 11:42 
Вот именно в случае браузера DoH добавляет мало конфиденциальности: имена видны в самих https запросах.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +4 +/
Сообщение от Аноним (-), 28-Ноя-18, 11:50 
Ты не пробовал подумать на 1 шаг вперёд? Или хотя бы логику включить?
Смотри, на данный момент (условно) мы имеем два слива: DNS и SNI. И ты тут такой говоришь, что какой смысл фиксить x, если остался y. Или какой смысл фиксить y, если остался x. Это смешно, лол. Внедрять надо оба, в любом порядке. И именно это делается. ESNI уже тоже есть и работает.
Более того, зырнуть в открытый днс попросту технически легче, чем в сертификат сервера (в TLS 1.2, в 1.3 он уже шифрован) или нешифрованный SNI. Так что даже если бы ESNI ещё не был готов к стандартизации, шифрование dns уже лучше чем ничего.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от нах (?), 28-Ноя-18, 12:41 
иксперды опеннета такие иксперды...

sni отправляет имя твоего порноресурса открытым текстом без всякой ненужной сложности, "посмотреть" на него может почти любой васян, освоивший вайршкварк (я бы сказал 'любой', но вот ты, как выясняется, не можешь, бредишь какими-то сертификатами сервера), но есть один ньюанс - он должен как-то уметь перехватить твой траффик.

(причем эта технология a) вредная b) ненужная c) стоило бы внимательно посмотреть, что за люди вообще ее пропихнули в стандарты, и, на всякий случай, проверить что они еще понапропихивали.)

но вместо этого мы будем городить dns-over-tls чтоб никто не догадался, кому именно принадлежат те dns-прокси и зачем их владельцы пошли на такие затраты.

наивные детишки вроде тебя будут счастливы слить помимо васяна еще и клаудфлейру все свои секретики. Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от dimqua (ok), 28-Ноя-18, 14:14 
> Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

А по-твоему, других провайдеров кроме Cloudflare не существует?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

47. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от нах (?), 28-Ноя-18, 16:48 
для типового опеннетчика - нет, не существует. Для сильно продвинутого - ну да, еще же и гугль ;-)

Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища, а не случайному мимокрокодилу (которому меньше всего, пожалуй, интересны имена сайтов)?

У тех кого на самом деле волнуют такие вещи-то, давно, полагаю, настроен криптотуннель подальше от товарищмайоров, без всяких модных openрешет, встроенных в браузер. Но вот они-то могут теперь лохануться, забыв отключить стопиццотую "очень полезную фичу", ага.

Вот выпилить sni - задача куда посложнее, в современных браузерах она решения, imho, не имеет (поскольку они давно разучились модальным диалогам, и им просто негде будет переспрашивать подтверждения)

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

61. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от dimqua (ok), 28-Ноя-18, 18:20 
> Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища

А разве эти люди не сливают её сейчас все тем же Google и Cloudflare? Так хоть будут сливать исключительно им, если eSNI таки получит распространение.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

69. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от пох (?), 28-Ноя-18, 20:06 
> А разве эти люди не сливают её сейчас все тем же Google и Cloudflare?

ну, очевидно же, не в полном объеме - особенно cloudflare, которая на этом рынке догоняющая.

> Так хоть будут сливать исключительно им, если eSNI таки получит распространение.

на _их_ серверах - безусловно получит. другим не должно достаться нахаляву то, за что тут уполчено.

поинт-то в другом, если кто не заметил - sni технология ненужная и вредная в принципе, ни один уважающий себя сервис на нее не полагается, а наличие на другой стороне не того сертификата должно вызывать как минимум нежелание отдавать ей данные карты, поскольку даже если он честный - данные очевидно доступны третьим лицам.

esni, всунутый по самые гланды в принудительном порядке, лишит вас даже теоретической возможности это вовремя заметить.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

65. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от анон (?), 28-Ноя-18, 19:12 
Ростелеком, например, корпорация, а не мимикрокодил. П
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

70. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от пох (?), 28-Ноя-18, 20:06 
ростелекому твои котики даром не нужны.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

76. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (76), 28-Ноя-18, 20:44 
CleanBrowsing ещё)
https://cleanbrowsing.org/dnsoverhttps
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

36. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +3 +/
Сообщение от Колюня (?), 28-Ноя-18, 14:54 
Таки погугли ESNI
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

49. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от нах (?), 28-Ноя-18, 16:54 
твой esni - это точно такой же оверинжиниренный ненужно-мусор, как и doh.

sni ненужен. Ни e, ни обычный.
Нужно выводить предупреждение каждый раз, как в ответ вместо сертификата запрошенного сервера вылезло мурло клаудфлари.

но современные мартышки, др...щие на модные фишки, во-первых, на такие сложные изменения неспособны, во-вторых все равно не поймут.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

55. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от OldFart (?), 28-Ноя-18, 17:45 
Согласен со всеми вашими предыдущими мыслями, но не с этим: "sni ненужен. Ни e, ни обычный."
Без SNI  на каждый сайт надо будет иметь или выделенный IP или хостать его на другигих портах в случае исползования SSL, что не есть практично (и не экономично). С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL сертификат
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

58. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (58), 28-Ноя-18, 18:06 
Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего оратора вполне может пожертвовать доступом к таким сайтам ради своей иллюзорной приватности в общественном туа^Wинтернете
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

105. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 29-Ноя-18, 14:52 
> Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего оратора вполне
> может пожертвовать доступом к таким сайтам

а я не хожу по "таким" сайтам. А на сайте, где ssl - ради удовлетворения гуглошантажистов - нажму ok, понимая, что никакой безопасностью тут и не пахнет.
Сайт рашкованского "интернет-магазина" накормлю именем иван петров и мобилой специально для таких - все равно они кредитные карты ниасилили (если и асилили - через платежную прокладку, у которой все в порядке, и на ее серверах никого левого нет,данные карт тырят только честные люди, ее сотрудники), и будут "перезванивать", по другому работать не умеют. А вот продать твой номер или проиметь его спаммерам - умеют.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

72. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от пох (?), 28-Ноя-18, 20:12 
> Без SNI  на каждый сайт надо будет иметь или выделенный IP

да. На каждый сайт, где шифрование - по делу, а не в попытках удовлетворить гугля.
Потому что иначе, повторяю, твой ssl превращается в тыкву.

ну то есть можно и не иметь - в предположении что у тебя есть браузер доисторической эпохи, умеющий внятно, на человеческом языке вывести предупреждение. И дальше ты уже глазами смотришь - кто там живет, и думаешь. зачем он вместо того за кем ты пришел.

> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
> сертификат

только смысла в этом не будет никакого.

ну кроме прямого обмана пользователя - в свойствах "эта страница защищена шифрованием, сертификат принадлежит уважаемая-компания", а на практике - он слит клаудфлейру, и все твое шифрование кончается на их проксилке. Что, подчеркиваю, не факт что плохо. но хотелось бы об этом знать заранее.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

77. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Анонимус2 (?), 28-Ноя-18, 20:59 
В итоге без SNI адрес сайта к которому твой браузер обращается определяется тривиально - нужно просто установить соединение и посмотреть какой сертификат отправил сервер. А блокировать сайты без sni вообще отлично.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

119. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 19:14 
> В итоге без SNI адрес сайта к которому твой браузер обращается определяется
> тривиально - нужно просто установить соединение и посмотреть какой сертификат отправил
> сервер.

так cloudflare же ж! ;-)

сессия останется зашифрованной. просто пользователь будет в курсе, что его не видит товарищ майор, зато видят те, кто вполне могут продать товарищ-майору.

что ж в этом неправильного-то?

А там где security is the issue - так там в любом случае не может быть никакого sni. sni не средство обхода блокировок, это средство улпрощения слежки.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

79. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Гентушник (ok), 28-Ноя-18, 21:09 
>  а на практике - он слит клаудфлейру

Но ведь SNI использует не только cloudflare.
Есть огромная куча дешёвых shared-хостингов, где можно прикрутить TLS и не раскошеливаться на отдельные IP.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

94. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 29-Ноя-18, 07:04 
> Но ведь SNI использует не только cloudflare.

естественно
> Есть огромная куча дешёвых shared-хостингов, где можно прикрутить TLS и
> не раскошеливаться на отдельные IP.

именно - и превратить твою секьюрить в тыкву может уже не только cloudflare, которая все же данные крединых карт воровать вряд ли станет, у них другие цели и, скорее всего, они не намерены делиться со своими индусскими сотрудниками, а и грошовый админ урюпинского шаредхостера, и соседний по шареду васян, ломанувший тот хостинг.

или даже не ломанувший, а просто данные кредиток лежат в файлике creditcards.txt с пермишнами 777 (они где-то прочитали что это самые надежные, точно все будет работать), или пароль от базы с ними где-то в таком же config.php, и дамп ее рядышком лежит.

а если там вся секьюрить только ради шантаж гугля удовлетворить - то и пофиг тебе, что сертификат вылезет шаредхостера - при условии что ты умеешь это прочитать и понять, а не пустая страница-полная-неведомой-фигни, как это сейчас принято, без кнопки "продолжить".

то есть работа браузеров без этой ненужно-фичи намеренно и очень основательно сломана лет семь назад, ты не можешь ее отключить никакими силами.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

92. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 29-Ноя-18, 01:27 
>> Без SNI  на каждый сайт надо будет иметь или выделенный IP
> да. На каждый сайт, где шифрование - по делу, а не в
> попытках удовлетворить гугля.
> Потому что иначе, повторяю, твой ssl превращается в тыкву.

SSL шифрование в тыкву не превращется (если конечно сисадин не подсадил в браузер свой доверенный рут сертификат и декодирует все на файрволе).
Гугл под видом того что он волнуется за приватность и так давно удовлетворен без SNI, любой выданный сертификат на (суб)домен находится у них в certificate transparency database доступный кстати кому попало. Кстати привязка SSL только к однлму ИП идентифицирует значительно лучше, чем если на одном ИП навешенно куча SSL хостов


>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>> сертификат
> только смысла в этом не будет никакого.

Как это не будет ? Выделенный ИПшник стоит не так уж и дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках и ВПС-ах где можно за 3 бакса отмазаться разово, но при этом свято доверять что в клаудном серваке никто не лазит со стороны хостера), а для любого нормального домена надо как миниум 3 сертификата, на сайт, на емэил сервак, на веб мэил сидящем в субдомене

SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров не избежать...

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

120. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 19:32 
>>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>>> сертификат
>> только смысла в этом не будет никакого.
> Как это не будет ? Выделенный ИПшник стоит не так уж и

банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно, shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.

> дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках

у меня <$1, что я делаю не так? Необезличенный с отметкой в райпе еще дешевле, но там, понятно, от /28, не надо мне столько на один ящик, дохлые они у меня, а распределять их нельзя.

> и ВПС-ах где можно за 3 бакса отмазаться разово, но при
> этом свято доверять что в клаудном серваке никто не лазит со
> стороны хостера), а для любого нормального домена надо как миниум 3

я вот побыл тут надысь тем хостером - понадобилось при смене работы забрать все нажитое непосильным трудом. И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.

Ну можно, конечно, бэкап-софтом воспользоваться, через специфический api утащить образы дисков - но тебе понадобится овердофига места (потому что чтобы порыться, образ таки надо иметь в развернутом виде) и овердофига времени и пропускной способности, если ты не за конкретным клиентом приходил, а пытаешься шпионить за всеми (и обломаться об encfs). И да, у этого хостера на дешевом тарифе бэкапы ни разу не предусмотрены, и san тоже - по-моему, я могу спать совершенно спокойно, пока не торгую наркотиками крупным оптом и ядерным оружием с доставкой баллистической ракетой.

> сертификата, на сайт, на емэил сервак, на веб мэил сидящем в
> субдомене

вообще-то для этого достаточно одного, а email-серваку вообще не нужен (к счастию великому, гугль еще не контролирует весь почтовый софт).

> SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб

с опозданием на десять лет, ага. Причем надо было, вместо этого, придумать пересогласование протокола с новым сертификатом, апи для этого по сути уже был - вместо этого его как раз срочно выпилили под кудахтанье "это небезопасТно, вдруг там сервер настраивали враги" (кого при этом еще волнует безопасность соединения с таким?), и вместо мелкого исправления впилили громадную, уродливую, неверифицируемую хрень.

> упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров
> не избежать...

выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю, которые заявили что скачивать всякие черные списки и телеметрию отправлять - это ничего, а вот crl это долго, медленно, не приносит гуглю данных о посещаемом сервере, и его надо срочно выпилить.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

121. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 30-Ноя-18, 20:27 
>банально - раз на одном ip живет куча сайтов с разными сертификатами вместо
> wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно,
> shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.

Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на всех клиентах, и каждому сервису не shared сертификат, очень однако большая разница....

> у меня <$1,

Завидую белой завистью...

> И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.

Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки, легально а не хаки со стороны работников и пршмонать конкретную виртуалку не такая уж и проблема, тем более что не надо никуда и нечего перекачивать, а локальненько...

> ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL

Класс, т.е. боремся за приватность, но вот трафик между серваками пусть смотрят, так что ли?

>> упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров
>> не избежать...
>выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю

Да, блин, я не говорю о себе и тех кто может это сделать, а в глобальном плане...

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

123. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 22:19 
> Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на

что неправильного в сертификате *.mycompany.com и тем более www.mycompany.com /alt:mycompany.com server.mycompany.com etc (а для very-secure-server.mycompany.com - отдельный на отдельном ip)?

> всех клиентах, и каждому сервису не shared сертификат, очень однако большая

лолшта? widcard и alt работает в этой вот мазиле 3.6 - которая понятия не имеет ни о каком sni. Ну, правда, да, а где теперь взять wildcard, если ты не очень большой банк? Да и altnames недешевы и продаются поштучно. Постарался гугель, на славу, все кто мешал тырить траффик, уничтожены.

>> у меня <$1,
> Завидую белой завистью...

aruba за 2евро/мес тебе с адресом еще и vm завернет. Только thinprint читай внимательно, а то будут сюрпризы. ssd штука такая...

>> И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным
>> лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.
> Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки,

блин. я сам себе хостер, машину отбирают, клиент уезжает, официальное право есть, времени мало. И вот чо делать? Доступ непосредственно внутрь vmdk в вмвари ни разу не предусмотрен.
Скопировать можно - по сети, мээээдлэээнно - команда mount чтобы просто подключить внешний диск или хранилку - тоже ни разу не предусмотрена.
Можно подключить внешнее устройство через usb непосредственно к гостевой системе - это, по факту, оказался самый быстрый способ, но он требует перехвата контроля над гостевой системой - беспалевно этого не сделать.
(надо заметить, что у таких хостеров никакие пароли никуда не вводятся и перехватывать их бестолку - только открытые ключи ssh)

> легально а не хаки со стороны работников и пршмонать конкретную виртуалку
> не такая уж и проблема, тем более что не надо никуда
> и нечего перекачивать, а локальненько...

ну вот есть у тебя доступ, положим, к консоли виртуалки - и чо делать будииим? Пароля-то нет. Ребут? Вызовет вопросы у клиента, кто йта меня перезагружал - с проверкой целостности и т д. А что, если там что-то ценное, на ней нет шифрования хотя бы тем же encfs?

То есть сделать это массово - не получится, можно индивидуально для специальных клиентов, за которых очень попросят - но искать иголку в стоге сена тоже непросто и небыстро, поэтому, повторюсь, пока ты не торгуешь совсем крупными партиями хмурого и не распространяешь запрещенные вооружения - хрен тебя кто вообще подрядится искать.

>> ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL
> Класс, т.е. боремся за приватность, но вот трафик между серваками пусть смотрят,
> так что ли?

траффик между серверами - пусть смотрят, там нет шибкоумных админчиков с манией величия и васянов, ломанувших свитч на чердаке. Накрайняк зашифруй самоподписанным, все равно никто его проверять не будет. Почта шифруется в клиенте, испокон веку - хошь pgp, именно для почты изначально и изобретенный, хошь s/mime, встроен в аутглюк, если она представляет собой хоть какую-то ценность, так что узнать в любом случае могут только from/to конверта.

>>выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю
> Да, блин, я не говорю о себе и тех кто может это
> сделать, а в глобальном плане...

а в глобальном плане жопа, о том, собственно, и вся эта новость :-(
под видом приобщения к шифрованию - подсунули глобальную слежку. В очередной раз. А ты за траффик между серверами паришься - да кому он вообще теперь будет нужен...

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

38. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +3 +/
Сообщение от Аноним (38), 28-Ноя-18, 15:22 
Васян-то может, и для него разницы нет, вайршарк открыть или что-то другое. А вот в масштабе провайдера просмотр SNI это уже deep packet inspection. И это не так просто для больших провайдеров (особенно), как может показаться, накладная и дорогая штука. Нельзя просто взять, и весь поток трафика через него пустить, они очень стараются экономить. Посмотри презентации Фила Кулина и других, сейчас шли и ещё будут пиринговые форумы и HighLoad++.
А днс трафик всяко проще смотрится и рулится. И когда есть/был выбор, он очевидно падает на днс, а не SNI.
> (я бы сказал 'любой', но вот ты, как выясняется, не можешь, бредишь какими-то сертификатами сервера)

О, иксперд спалился. Ты не в курсах, что в tls 1.2 и ранее серверный сертфикат в serverhello тоже открыто передаётся, как и SNI в clienthello? И соответственно мог использоваться для детекта наравне со SNI тем же DPI (а в период до введения обязательного SNI основными браузерами мог быть даже основным). Ну молодец, мы запомним уровень твоих знаний, хорошо что ты залогинен.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

62. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от dimqua (ok), 28-Ноя-18, 18:23 
> deep packet inspection. И это не так просто для больших провайдеров

А у них что есть выбор?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

66. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (66), 28-Ноя-18, 19:50 
Нарушители Конституции должны страдать.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

39. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (11), 28-Ноя-18, 15:48 
> И ты тут такой

Ты читаешь что-то между строк и споришь с голосами в голове.
Я написал только, что написал.
Возможно, стоило добавить слово "Сейчас".
Сейчас, на рандомом сайте нет esni.
Насколько, с учётом этого, конфиденциальнее становится сёрфинг c doh-ом?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Annoynymous (ok), 28-Ноя-18, 12:56 
Доменные имена в https запросах видны? Ты что куришь?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (25), 28-Ноя-18, 13:12 
SNI
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от Колюня (?), 28-Ноя-18, 14:55 
ESNI. С разморозкой
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

40. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Аноним (11), 28-Ноя-18, 15:50 
Колюня, кинь статистику внедрения esni, ознакомимся.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

27. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от Аноним (27), 28-Ноя-18, 13:39 
Да, имя домена до SNI не шифровалось в HTTPS и шло в хендшейке SSL.

Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
но нет гарантий, что она включена и работает.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

48. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от commiethebeastie (ok), 28-Ноя-18, 16:51 
> Да, имя домена до SNI не шифровалось в HTTPS и шло в
> хендшейке SSL.
> Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
> но нет гарантий, что она включена и работает.

Да, опасно по tumblr лазить.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

53. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от 0x0 (?), 28-Ноя-18, 17:19 
> нет гарантий, что она включена и работает

Есть возможность проверить: https://www.cloudflare.com/ssl/encrypted-sni/

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

56. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от OldFart (?), 28-Ноя-18, 17:53 
"Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,"
Really???
Да не один шэринг хостинг без SNI не работает уже лет эдак 10...
Без SNI для SSL нужен отдельный ИП на каждый сертификат, а с SNI хоть сколь хошь на одном ИП и сразными сертификатами
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

85. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 28-Ноя-18, 22:54 
> SNI сейчас расширение и это скорее новинка и прикольная штук

Как там в 2005 году? SNI в IE с 2006, в Firefox с 2006, в Chrome с 2009(то есть с его бет).
Вылезай из криокамеры. SNI — стандарт, без него ты бы так и жил с 1 httpsным сайтом на 1 IPшнике.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

96. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 10:03 
Он просто путает термины. Замени в его посте SNI на ESNI и всё будет верно.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

98. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 29-Ноя-18, 10:38 
> Он просто путает термины. Замени в его посте SNI на ESNI и
> всё будет верно.

Ну да. Мальчик-девочка, какая в дупу разница. Подумаешь SNI и ESNI, пофигу что SNI старше, чем он.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

90. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 28-Ноя-18, 23:00 
https://github.com/jedisct1/dnscrypt-proxy
Тебя спасет!
А он уже умеет и DoH, и DNSCrypt, и черта лысого верхом на метле.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (6), 28-Ноя-18, 11:30 
> Основная часть конфиденциальных днс-запросов это именно браузер

Это еще зачем ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (20), 28-Ноя-18, 12:41 
> браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит...

...держать на карандаше пользователя браузера.
> По умолчанию используется DNS-сервер CloudFlare

Так вот чьи уши из-за кулис торчат.
> DoH может оказаться полезным для организации утечки сведений о запрашиваемых именах хостов через DoH-серверы провайдеров, обеспечения возможности MITM-атак и подмены DoH-трафика правильными организациями, организации блокировок на уровне DoH или для организации работы так, как это нужно владельцу DoH-сервера в случае невозможности прямого обращения к DNS-серверам

Можете не благодарить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним84701 (ok), 28-Ноя-18, 13:44 
>> По умолчанию используется DNS-сервер CloudFlare
> Так вот чьи уши из-за кулис торчат.

Видимо, у гугла пока ушей на всех не хватает:
https://github.com/systemd/systemd/blob/master/meson_options...
>       description : 'space-separated list of default DNS servers',
>       value : '8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844')

[...]
> option('ntp-servers', type : 'string',
>       description : 'space-separated list of default NTP servers',
>      value : 'time1.google.com time2.google.com time3.google.com time4.google.com')
>

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Pahanivo (ok), 28-Ноя-18, 13:44 
Я так понимаю, что в данном случае, для использования липового сертификата спецслужбам не надо даже на канал врезаться - достаточно просто переписать А запись на "своем" ДНС?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

43. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (43), 28-Ноя-18, 16:11 
А что в первый раз по указке спецслужб dns-ответы подменяются? Блокировка рутрекера вас ничему не научила?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

91. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Pahanivo (ok), 28-Ноя-18, 23:14 
Может для начала научится отделять гласное от негласного?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

22. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Тот_Самый_Анонимус (?), 28-Ноя-18, 12:49 
Интересно, а есть браузеры для корпоративного использования? Чтобы можно было запретить установку расширений и махинаций с ДНС? Очень полезная была бы штука.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от A.Stahl (ok), 28-Ноя-18, 13:05 
IE. Там нельзя устанавливать расширения. Корпоративней некуда...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от 1 (??), 28-Ноя-18, 13:38 
+1 и рулится политикой в AD
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

32. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (32), 28-Ноя-18, 13:52 
только MS рулилку ломает от версии к версии
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

51. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от нах (?), 28-Ноя-18, 17:12 
> IE. Там нельзя устанавливать расширения.

вы прослушали очередную порцию потока сознания типичного опеннетчика, не ведающего ничего за пределами родной бубунточки.

В IE вполне устанавливаются расширения. Но апи не на жабкоскрипте, поэтому число их было крайне ограничено даже в благословенные времена седьмой версии - не только лишь каждый васян может освоить C++ .

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

75. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Тот_Самый_Анонимус (?), 28-Ноя-18, 20:35 
Т.е. линух не пригоден для корпоративного использования?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (27), 28-Ноя-18, 13:41 
Закрывай все проксей и говори что корпорация в серой сети.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от НяшМяш (ok), 28-Ноя-18, 13:42 
Internet Explorer
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

42. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от commiethebeastie (ok), 28-Ноя-18, 16:09 
Firefox, там любой параметр фиксируется.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

54. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Аноним (54), 28-Ноя-18, 17:43 
Любой опенсорсный броузер, в исходниках которого ты можешь выстричь возможность установки расширений, прибить гвоздями свой корпоративный DNS-сервер и свой корпоративный прокси, прописать один-единственный корневой сертификат своей организации, без возможности добавления новых, а заодно прописать URL веб-интерфейса корпоративной ERP/CRM как стартовый URL, убрав адресную строку и запретив открытие URL'ов "about:".
Дерзай.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

41. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от Sw00p akaJerom (?), 28-Ноя-18, 15:57 
хер с пальцем скрещивают лишь бы нормальную технологию не придумывать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от нах (?), 28-Ноя-18, 17:13 
да они нормальную технологию придумали - только, в очередной раз, под видом заботы о несчастных лохах их собираются снова подоить.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

60. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (60), 28-Ноя-18, 18:13 
Нажал плюс Вашему комменту, а засчиталось как минус. Поэтому напишу так - полностью поддерживаю.
Заодно еше разок скину - https://support.mozilla.org/en-US/kb/how-stop-firefox-making...
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

104. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Аноним (104), 29-Ноя-18, 13:30 
Я не могу понять тех нытиков, которым что-то не нравится в tls соединении до днс-резолвера. Что вы ноете? В чем суть ваших претензий? Что сервер собирает стату ваших запросов? Ну, так и обычные, абсолютно все текущие локальные провы могут и делают это. Так же как подменяют ответ, и сливает трафика на сорм. Что вам не нравится? Хотя подменять днс ответы не будут, хотя бы пров не сможет вести стату. Хотя бы такая польза.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

106. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Sw00p akaJerom (?), 29-Ноя-18, 14:54 
>>Я не могу понять тех нытиков

вы походу ничего не понимаете

>>Что вам не нравится?

выше в коменте написал, хер и палец разные вещи, разницу не ощущаете?

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

116. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от ДДДДД (?), 30-Ноя-18, 07:44 
А какая технология нормальная? Децентрализованная? Технология ручной правки hosts?
Мир отрыт для новых технологий. Предлагайте.
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

117. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Sw00p aka Jerom (?), 30-Ноя-18, 12:21 
>>Мир отрыт для новых технологий. Предлагайте.

Если мир погряз в прошлом, будущее на этом не построишь. Обращаюсь к "старикам", направляйте "новичков" (привет Иванову :)) (будущее поколение), чтобы они создавали кардинально новые технологии, а не "скрещивали старье". Мир меняется, меняются требования, изучайте минусы/плюсы "прошлых" технологий, создавайте кардинально "новое" (новые идеи). При всем этом "скрещивании" вы думаете человек развивается? На сей день стандартный "новичек" даже не способен придумать банальный текстовый протокол.

пс: Удачи.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

57. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Pofigist (?), 28-Ноя-18, 17:54 
Что бы еще инкапсулировать в HTTPS? IP? Было...  IEEE 802.3? Или тоже уже было?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от 0309email (?), 28-Ноя-18, 18:09 
Парни я действительно не пойму зачем всё это. Центр обработки данных у клод фларе есть в москве. Я так понимаю что это всеравно что в контакте чтото шифровать. А может я что непойму?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от OldFart (?), 28-Ноя-18, 18:45 
DoH = Spying mechanism

Последователи Цукерберга следующие его правилу "We moving fast, we breaking things..." будут очень рады новому инструменту для слежки, так же как и лохи не понимающие простой вещи: не сломалось, - не чини, но дело не в этом, главное здесь контроль толпы

Верующих в добро от 8.8.8.8 и 1.1.1.1 больше, так что велком в коллективное стадо...
Спасибо гугловским инсайдерам в мозиле, которые технично и стабильно убивают лису

Пока что можно запретить все исходящие запросы к DNS и кормить своим ДНС-ом (который кормится только с рут серверов) локалку, но вот запрещать 443 порт не получится так просто, так как Гугля очень хочет что бы все было через HTTPS и рано или поздно они нагнут интернет (ибо certificate transparency всех SSL сертификатов у них хоститься) и блокировать rolling IPs of DoH будет не так просто. Каждый браузер бегает на OSCP проверить сертификаты, поэтому установить зависимость кто куда ходит очень легко. Короче, благодаря любителям всего нового - все в загон или дышим свободой пока network.trr.mode=0 можно использовать...

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

74. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Crazy Alex (ok), 28-Ноя-18, 20:21 
Если это твой браузер - настрой его чтобы ходил по DNS или по DoH на твой сервер. Если не твой - не лезь, всё просто.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

81. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 28-Ноя-18, 21:26 
Да разговор то не о технарях, которые могут что то настроить чтоб не быть под колпаком, а о массовости трэкинга и когда DoH не будет вызывать много шума, то станет главным резолвером, а если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод...
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

83. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 28-Ноя-18, 21:51 
не переживай так за банки- в хромом не просто так отломали нафиг pkp. Менять в нем нам ничего не надо, нам гугль уже все поменял - любой https траффик у нас дешифруется на файрволле, если родина скажет - то и подменить можем.

ну, придется подождать пару часов апдейта от вендора, если вдруг еще фича не предусмотрена штатными средствами той же PA7xxx

гугель же - он понятливый. хочешь в банку - соблюдай правила. Это мурзила выпендривается - ни системные настройки прокси не подбирает, ни системные же сертификаты ей, видите ли, не подходят (с линуксом, кстати, проще - там как раз прежне-мазильную помойку сделали общесистемной), и pkp кое-где все еще срабатывает, насколько я вижу.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

118. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от J.L. (?), 30-Ноя-18, 17:46 
> если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод

а зачем вы собрались что-то менять в ПО и на машине которые вам не принадлежат?
вы в инстаграмчик ходите с рабочей машинки?

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

122. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 30-Ноя-18, 20:41 
>> если учесть что уже сейчас многие конторы (включая банки) работают только под хромом, в котором много особо не наменяешь то напрашивается не приятный вывод
> а зачем вы собрались что-то менять в ПО и на машине которые
> вам не принадлежат?

С чего вы это взяли, что я что то собираюсь менять не на моих машинах?
Я говорю о повальном использовании шпионищим Хромом DevOp-ами, привязки к нему


> вы в инстаграмчик ходите с рабочей машинки?

Я на истаграмчик вооообще не хожу....


Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

86. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Sw00p aka Jerom (?), 28-Ноя-18, 22:55 
>>Короче, благодаря любителям всего нового - все в загон или дышим свободой

ага и все приложения скоро по одному порту бегать будут (подразумеваю это tcp 443)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

63. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от OldFart (?), 28-Ноя-18, 18:41 
Welcome в мир коллектевизма под управлением несущих "добро" 1.1.1.1 & 8.8.8.8
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Sw00p aka Jerom (?), 28-Ноя-18, 22:57 
интернет коммунизм, знаем к чему это все привело, всех в колхозы, ни один крестьянин не получил земли!
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

67. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Юзер (??), 28-Ноя-18, 19:55 
Объясняю зачем корпорации и спецслужбы вводят DNS-через-HTTPS:

1. Блокировка торрентов.

После ввода DoH можно заблокировать UDP, и торренты перестанут работать, наконец сбудутся голубые мечты копирастов и корпорастов.

2. Блокировка p2p.

Также при полном переходе на TCP можно будет избавиться от зарождающихся p2p-сетей, ведь через TCP на порядок сложнее "дырявить" NAT'ы, чем через UDP.

3. Цензура доменов.

Так как протокол HTTPS потребует сертификаты подписанные головным удостоверяющим центром, то корпорации опять-таки смогут контролировать DNS-запросы и блокировать неугодные домены.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (68), 28-Ноя-18, 20:05 
Хотим услышать ваше решение проблемы
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

73. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Crazy Alex (ok), 28-Ноя-18, 20:19 
...именно поэтому Гугл (и прочие "злые корпорации") проталкивают udp-based HTTP/3...
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

84. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 28-Ноя-18, 22:15 
У тебя каша в голове, лол. DNS на UDP и 53 порте никак не мешает резать текущие торренты и p2p UDP, ведь они не маскируются под DNS и легко отличимы.
А гугловский QUIC на UDP, который всех захватит, просто разбивает весь твой бред. С ним наоборот UDP зацветёт полнейшей жизнью, забыв о болях предыдущих десятилетий, когда его дискриминировали и резали.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

95. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (95), 29-Ноя-18, 07:13 
Зацветёт, ага — прям как IPv6 зацвёл. Будет fallback на TCP для 60% популяции.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

102. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 12:04 
Цифру из башки взял? 80% популяции это последний хром, там будет HTTP/2-over-QUIC и прочее новьё и никаких фолбеков из-за юзера. Да и лиса тоже будет поддерживать. Не недооценивай реактивность веба.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

89. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 28-Ноя-18, 22:59 
Смешались в кучу кони-люди.
Где DoH работающий только в браузере и где UDP? Ты вообще понимаешь о чем пишешь?
Как они связаны, убогий?
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от topin89email (?), 28-Ноя-18, 20:07 
Это всё круто, но как там с поддержкой OpenNIC?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Ключевский (?), 28-Ноя-18, 22:57 
Ставишь себе dnscrypt-proxy, говоришь ему ходить к серверам OpenNIC'а и серверам поддерживающим DoH. Он умеет. И обращаешься у себя локально к нему.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

80. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (80), 28-Ноя-18, 21:21 
>DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".

Заведомо неверные параметры конфигурации приводящие к неработоспособности вместо ссылки на список известных серверов https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-av... ...
И целый абзац о том какое это ненужно
Ньюсмейкеры опеннета ничего больше не пишите!*


*просто нажмите плюсик над этим постом чтобы мы поняли что вы находитесь под дулом тов. майора...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от тов.майор (?), 28-Ноя-18, 21:43 
жмите, жмите, я разрешаю.

список васяну-известных-серверов мне вполне нравится, я понимаю, что есть масса васянов, осиливших запустить неведомый им код на го и ноджс, чтобы иметь возможность и самим приобщиться, так сказать, к нашей "и опасна и трудна", и поинтересоваться, кто и каких интересных вещей качает. А тут рассказывают про снифферы, злых провайдеров, проклятый сорм - вот же ж как все просто - взял и создал никому неведомый васян, простите, он тут Димон, не путайте с не-димоном, репу на гитхапе, и выложил список, он-то точно на стороне добра, нет-нет, что вы, что вы, ему в голову не приходит включить лог запросов в своем "toy server".

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

93. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Анонизмус (?), 29-Ноя-18, 01:44 
Мне однозначно интересно, как у них 3-way handshake в TCP оказался быстрее request-response схемы UDP. Умолчу об ещё одном этапе обмена сертификатами в HTTPS.

При rtt до 50мс (привет, Starlink/SpaceX) всё будет красиво, не спорю, на практике же, особенно при высоких rtt всё очень печально.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Аноним (115), 29-Ноя-18, 10:20 
Всё просто. TCP и TLS хендшейки делаются один раз при запуске браузера. А потом соединение живёт часами и работает. И там обязательный HTTP/2, кстати, по задумке и реализации. По HTTP/1.1 они даже не планировали вообще. Т.е. корректное название DoH это DNS over HTTP/2. Соответственно все плюшки его имеет.
Плюс у TLS 1.3 1 rtt при первом соединении, и 0 rtt при возобновлении. https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Вот тебе и скорость на плохих каналах, где старый UDP DNS может и потеряться, а tls бегает стабильнее (сам много лет назад заметил, что http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

99. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Анонизмус (?), 29-Ноя-18, 10:40 
Спасибо, теперь стало понятней в теории. На практике, разрабатывая один проект, пришлось использовать DoH, но сервер-резолвер был в США - полминуты тупняка на резолв мне показалось многовато. Но это с отдельного устройства, который локальный UDP-DNS преобразовывал в DoH. Если с клиентских устройств использовать в браузерах, то должно быть нормально.
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

101. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (101), 29-Ноя-18, 11:45 
> http намного более страдает от проблем сети чем https, ибо в него лезут тормозные нагруженные фильтры провайдера, и может кто-то ещё криворукий).

Это пока, как в Китае, не ввели белые списки. И остается красивый шифрованный HTTPS (и не только он, конечно) на самом дне приоритетов, да еще и искусственно шейпится.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

103. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (103), 29-Ноя-18, 12:15 
И чем ОНО лучше dnscrypt?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

107. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 14:55 
Тем что стандарт. Даже автор dnscrypt одобряет DoH и поддерживает его в своей софтине. https://dnscrypt.info/faq/
А вот dns over tls не одобряет.
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

109. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 29-Ноя-18, 15:44 
Ну там приводится оценка +/-, но нет категоричных выводов.
Так какие же сертификаты будут использоваться при шифровании?
Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

111. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 18:23 
>  Ну там приводится оценка +/-, но нет категоричных выводов.

Если вчитаться в них (и поверить что это исчерпывающая правда), то там получаются выводы, что DoTLS хрень (опасно (сложно ненакосячить), необходимо много оверинжинерить и переизобретать http/2 ради приоритетов, реордеринга и параллелизма, палевно и легко блокируется из-за отдельного порта, очень сложно, но всё равно недодуманно и вообще ужасно), а DoH вполне себе хорош.
> Так какие же сертификаты будут использоваться при шифровании?

X.509.
> Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?

Тебе незачем. Но у других людей выбор стоит между установкой левой проги и смены настроек ос на неё, и включением в лисе. Второе проще.
А ты можешь в своём же днскрипте (если v2) использовать этот самый DoH и DoH-сервера, а не только днскрипт-протокол.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

112. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 29-Ноя-18, 20:26 
>[оверквотинг удален]
> блокируется из-за отдельного порта, очень сложно, но всё равно недодуманно и
> вообще ужасно), а DoH вполне себе хорош.
>> Так какие же сертификаты будут использоваться при шифровании?
> X.509.
>> Ну и главное - dnscrypt шифрует весь трафик DNS, и зачем мне метсечковый в ФФ?
> Тебе незачем. Но у других людей выбор стоит между установкой левой проги
> и смены настроек ос на неё, и включением в лисе. Второе
> проще.
> А ты можешь в своём же днскрипте (если v2) использовать этот самый
> DoH и DoH-сервера, а не только днскрипт-протокол.

Да так и есть. У меня в конфиге разные сервера, в т.ч. и DoH
Левая не левая, а ФФ тот еще гарант чистоты ))

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

110. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (110), 29-Ноя-18, 16:05 
Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

113. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 29-Ноя-18, 20:27 
> Мой провайдер когда деньги заканчиваются на счете через DNS перенаправляет на страницу
> "пара заплатить". Теперь как я понимаю это работать перестанет? Мне то
> ничего, я понимаю что происходит. А вот у обычных пользователей отвалиться?

А обычный пользователь шарахнется от этого функционала, причем большинство из ЭТИХ на Хроме

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

114. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 29-Ноя-18, 20:51 
Captive portals  были предусмотрены ещё задолго до.

Обычные же пользователи об этой настройке даже не подозревают, а по-умолчанию она выключена...

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру