The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

DNS over HTTPS отключен по умолчанию в порте Firefox для OpenBSD

12.09.2019 02:52

Мэинтейнеры порта Firefox для OpenBSD не поддержали решение по включению по-умолчанию DNS over HTTPS в новых версиях Firefox. После короткого обсуждения было решено оставить изначальное поведение неизменным. Для этого настройка network.trr.mode выставлена в значение '5', что приводит к безусловному отключению DoH.

В пользу подобного решения приводятся следующие аргументы:

  • Приложения должны придерживаться общесистемных настроек DNS, а не переопределять их;
  • Шифрование DNS, возможно, и неплохая идея, но отправка по умолчанию всего DNS-трафика в Cloudflare - точно плохая идея.

Настройки DoH по-прежнему могут быть переопределены в about:config при желании. Например, можно поднять свой собственный DoH сервер, прописать его адрес в настройках (опция "network.trr.uri") и переключить "network.trr.mode" в значение '3', после чего все DNS запросы будут обслуживаться вашим сервером по протоколу DoH. Для развёртывания своего DoH-сервера можно использовать, например, doh-proxy от Facebook, DNSCrypt Proxy или rust-doh.

  1. Главная ссылка к новости (https://undeadly.org/cgi?actio...)
  2. OpenNews: Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox
  3. OpenNews: Планы по усилению механизма защиты W^X в OpenBSD
  4. OpenNews: Для OpenBSD развивается новая git-совместимая система контроля версий Got
  5. OpenNews: Проект OpenBSD начинает публиковать обновления пакетов для стабильной ветки
  6. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Автор новости: Дон Ягон
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51471-doh
Ключевые слова: doh, dns-over-https, dns, firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Anonymoustus (ok), 07:46, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +42 +/
    Наконец-то голос разума среди всеобщего сумасшествия.
     
     
  • 2.70, Всем Анонимам Аноним (?), 00:57, 15/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оно не всеобщее, просто Firefox не может угнаться и поэтому играет с картой про privacy. И не важно, что кучу всего по дороге сломает, зато копеечку заработает себе
     

  • 1.3, Аноним (3), 08:09, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Шифровать то идея отличная и нужная, но реализация - конечно мда. Все аргументы из статьи в точку
     
  • 1.5, Lockywolf (ok), 08:19, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Откуда взялось упоминание CloudFlare?
     
     
  • 2.6, Аноним (6), 08:31, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >По умолчанию используется DNS-сервер CloudFlare

    из предыдущей новости https://www.opennet.me/opennews/art.shtml?num=51439

     
  • 2.7, Аноним (7), 08:38, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https://www.opennet.me/opennews/art.shtml?num=51439

    Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental" или "https://9.9.9.9/dns-query".

     
     
  • 3.43, Аноним (43), 18:54, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у гугла уже официальная поддержка появилась
    experimental  в конце не надо писать, а как у всех теперь dns-query, но домен вроде сокращенный - без .com в конце
    ну или просто восьмерки
    но это не точно
     
  • 2.8, Аноним (8), 08:38, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Откуда взялось упоминание CloudFlare?

    https://support.mozilla.org/en-US/kb/firefox-dns-over-https

    "In the US, Firefox by default directs DoH queries to DNS servers that are operated by CloudFlare, meaning that CloudFlare has the ability to see users' queries.  Mozilla has a strong Trusted Recursive Resolver (TRR) policy in place that forbids CloudFlare or any other DoH partner from collecting personal identifying information. To mitigate this risk, our partners are contractually bound to adhere to this policy. "

     
     
  • 3.12, Lockywolf (ok), 09:10, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Откуда взялось упоминание CloudFlare?
    > https://support.mozilla.org/en-US/kb/firefox-dns-over-https
    > "In the US, Firefox by default directs DoH queries to DNS servers
    > that are operated by CloudFlare, meaning that CloudFlare has the ability
    > to see users' queries.  Mozilla has a strong Trusted Recursive
    > Resolver (TRR) policy in place that forbids CloudFlare or any other
    > DoH partner from collecting personal identifying information. To mitigate this risk,
    > our partners are contractually bound to adhere to this policy. "

    В России не будет работать. В принципе, может, оно и к лучшему, но тогда нужно, чтобы хром и ИЕ перешли на DOH, а этого не видно.

     
     
  • 4.68, ilyafedin (ok), 04:53, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, будет, но надо включить вручную
    Во-вторых, https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
     
  • 2.10, Аноним (10), 08:47, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Открой about:config и посмотри "network.trr.uri".
     
     
  • 3.11, Lockywolf (ok), 09:07, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Открой about:config и посмотри "network.trr.uri".

    В репе старая версия.

     

  • 1.9, Ананнимас (?), 08:45, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я вот только не пойму. Вроде 0 отключал, а теперь еще и 5, но точно.
    Т.е. 0 при желании мог и включить?
     
     
  • 2.53, Аноним (53), 20:36, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для пользователей из США 0 включает, для остальных — _пока_ нет.
     

  • 1.13, Ilya Indigo (ok), 09:32, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Шифрование DNS, возможно, и неплохая идея, но отправка по умолчанию всего DNS-трафика в Cloudflare - точно плохая идея.

    А чем это качественно отличается от отправки всего DNS-трафика на Cloudflare, если DNS 1.1.1.1 или в Гугл, если DNS 8.8.8.8 или IBM если DNS 9.9.9.9, помимо того, что этот трафик не зашифрован и его перехватывает провайдер?

     
     
  • 2.14, Аноним (14), 09:41, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тем, что по умолчанию у тебя нет таких DNS. Если ты сам их прописал, то либо ты доверяешь CF/GG/IBM, либо тебе пофиг, но в любом случае, если уж всё равно в настройки полез, можешь настроить хоть DoH, хоть DoT, хоть ещё что.
     
     
  • 3.17, Ilya Indigo (ok), 09:47, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Тем, что по умолчанию у тебя нет таких DNS. Если ты сам
    > их прописал, то либо ты доверяешь CF/GG/IBM, либо тебе пофиг, но
    > в любом случае, если уж всё равно в настройки полез, можешь
    > настроить хоть DoH, хоть DoT, хоть ещё что.

    По умолчанию DNS провайдера, полученные по DHCP.

     
     
  • 4.69, annoynimous (?), 14:27, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > По умолчанию DNS провайдера, полученные по DHCP.

    Это же прекрасно! Родной т̶о̶в̶а̶р̶и̶щ̶ ̶м̶а̶й̶о̶р̶ истинно православный провайдер должен знать куда в интернете ходют его п̶р̶и̶х̶о̶ж̶а̶н̶е̶ пользователи. А вот всяческим басурманам из Cloudflare/Google/IBM ентого знать не положено.

     
  • 2.15, Ананнимас (?), 09:42, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает завести свой кеширующий днс? Зачем вообще нужен гуглоднс опенбздишнику?
     
     
  • 3.16, Ilya Indigo (ok), 09:46, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > А что мешает завести свой кеширующий днс? Зачем вообще нужен гуглоднс опенбздишнику?

    А откуда в нём кэш браться будет?
    От DNS провайдера, который всё равно к вышеописанным DNS обращается, только ещё может и сам вклинится и меня зароутить по своему желанию.

     
     
  • 4.18, Ананнимас (?), 09:53, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    От DNS провайдера, который всё равно
    Вообще-то нет. Провайдерский днс вообще не нужен. Будет полная цепочка запросов от корневых серверов до конечного домена. Причем тут гуглоднс и провайдерский днс (если его конечно насильно не завернут на себя)?

     
  • 4.19, xm (ok), 10:43, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > От DNS провайдера, который

    От рутовых DNS серверов, а затем от серверов обслуживающих TLD, а затем от, собственно, хостящих сам домен. Удивительно, как много людей не понимает как работает DNS.

     
     
  • 5.20, Ilya Indigo (ok), 10:51, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> От DNS провайдера, который
    > От рутовых DNS серверов, а затем от серверов обслуживающих TLD, а затем
    > от, собственно, хостящих сам домен. Удивительно, как много людей не понимает
    > как работает DNS.

    Подзабыл маленько.
    Но в итоге твой провайдер всё равно будет знать куда ты ходил, так как все эти запросы отправляются от тебя в открытом виде.

     
     
  • 6.21, xm (ok), 10:58, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, "знать" он будет только если специально фильтровать DNS трафик. За пределами высокодуховых государств это мало кому интересно. Во-вторых, что вам мешает форвардить запросы через DNS-over-TLS? Собственно, вместо практически насильственного внедрения DoH и нездорового ажиотажа вокруг этого, якобы, "лучшего решения с безопасностью в DNS", надо повсеместно внедрять DoT и DNSSEC. Но крупные игроки и интересанты в этом, действительно решающем проблемы с защитой DNS трафика, процессе, похоже, совершенно не заинтересованы.
    Почему - вопрос риторический.
     
     
  • 7.30, ы (?), 13:55, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    DoT и DoH технически сравнимы. DoT чуть легче блокируется, работают одинаково.

    и клиентов море, внедряй не хочу. помимо CloudFlare и Mozilla, есть ещё DoH-клиенты от Facebook, Google и менее крупных пассажиров.

     
     
  • 8.31, xm (ok), 14:56, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Работают не одинаково Во-первых, это инкапсуляция в HTTP, что сразу же отрезает... текст свёрнут, показать
     
     
  • 9.37, ы (?), 17:04, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кстати, да, DoH в современном виде -- это клиентская технология тупо потому, чт... текст свёрнут, показать
     
     
  • 10.55, xm (ok), 23:13, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    DoH сложнее, поскольку использует дополнительную прослойку в виде HTTP которая п... текст свёрнут, показать
     
     
  • 11.61, ы (?), 12:55, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в клиентский софт надо втянуть резолвер, в обоих случаях если написать на колен... текст свёрнут, показать
     
     
  • 12.62, xm (ok), 15:22, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо, потому что стандартные функции типа gethostbyname уже есть везде где ... текст свёрнут, показать
     
     
  • 13.63, ы (?), 17:10, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот как раз не предлагаю я предлагаю, чтобы системный gethostbyname уже знал ... текст свёрнут, показать
     
     
  • 14.65, xm (ok), 19:53, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу не согласиться Но большие дяди охочие до наших метаданных теперь и из D... текст свёрнут, показать
     
  • 13.64, ы (?), 17:22, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    и это, в системной gethostbyname или его современном варианте уже дофига лог... текст свёрнут, показать
     
     
  • 14.66, xm (ok), 19:58, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, хотя бы, фактом своего наличия, а также прослойки трансляции DNS wireformat ... текст свёрнут, показать
     
  • 5.24, iPahcae6 (?), 12:48, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот только на России процентов эдак 75 провайдеров перехватывают обращения по 53/udp и 53/tcp, заворачивают их к себе и отвечают сами. Так что без DoH/DoT/DNSCrypt никак не обойтись.
     
     
  • 6.27, Ананнимас (?), 13:25, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    подобные проблемы (заодно и блокировки) решаются покупкой самого дешевого впс за бугром.
    далее строим опенвпн тунель и пускаем весь или днс + остальной не зашифрованный трафик через него.

    но если именно днс, то уменя огромные сомнения что владельцы впс в России занимаются такой же ерундой. А у нас самый дешевый впс где-то 120-200 рупей.

     
     
  • 7.67, ilyafedin (ok), 04:45, 14/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > нос забился
    > такие проблемы решают заменой носоглотки
    > далее дышим исключительно через противогаз или марлевая повязка + пакет на голове
     
  • 4.42, Dapredator (ok), 18:47, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> А что мешает завести свой кеширующий днс? Зачем вообще нужен гуглоднс опенбздишнику?
    > А откуда в нём кэш браться будет?
    > От DNS провайдера, который всё равно к вышеописанным DNS обращается, только ещё
    > может и сам вклинится и меня зароутить по своему желанию.

    Ты хоть примерно представляешь себе, как работают DNS серверы и откуда там берётся кэш?

     
     
  • 5.44, тигар (ok), 19:10, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а ты?:)
    написаное анонимом вполне себе возможно. угадай в каком случае.
     

  • 1.22, Аноним (-), 12:43, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я понимаю, Firefox запрещает менять дефолты без смены брендинга.
     
     
  • 2.33, Ivan_83 (ok), 15:25, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот такое тоже припоминаю.

    У меня давно зреет мысль добавить во фрёвые порты опции чтобы можно было не ставить покет и прочие предустановленные плагины с дерьмовым функционалом, но вероятно из за этого могут не принять патч.
    В принципе можно было бы сделать "ребрендинг" через порт, типа ff-debloat но ломы, проще патч держать приватным или вечно в багтрекере.

     
  • 2.34, Дон Ягон (ok), 16:04, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут меняется только all-openbsd.js, это такой сорт pref.js. Не факт, что запрет накладывается на эту возможность кастомизации (тем более, это не первая специфичная для OpenBSD кастомизация подобным образом).
    Но я не настоящий сварщик.
     

  • 1.23, iPahcae6 (?), 12:46, 12/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    Само «обсуждение» в OpenBSD это уже смешно. Тео выгнали из команды NetBSD за полную неспособность к обсуждению любых вопросов, неспособность аргументировать свою точку зрения и истерики вида «ХАЧУ!ХАЧУ!».

    А что у Тео не очень хорошо с головой это и так всем известно, как и то, что никто все равно OpenBSD нигде не использует, а значит это изменение никого в мире не затронет. Так что пофигу.

     
     
  • 2.25, Аноним (-), 12:59, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Перейди по ссылке на обсуждение. Там Тео вовсе не присутствует.
     
     
  • 3.26, ssh (ok), 13:24, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Перейди по ссылке на обсуждение. Там Тео вовсе не присутствует.

    Ему это и не важно, он с Тео даже по мессейджам из рассылок не знаком. Но мнение имеет! (с)

     
  • 3.28, Аноним (28), 13:33, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Справедливости ради, Тел собрал вокруг себя такой же токсичный и малоадекватный контингент.
     
     
  • 4.29, ssh (ok), 13:38, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Справедливости ради, Тел собрал вокруг себя такой же токсичный и малоадекватный контингент.

    Ради неё же, упомянутый контингент сосредоточен на собственных вопросах, и не указывает другим как и что им делать. Свобода как она есть.

    Upd: собрались тут Теологи. ;)


     
  • 4.60, Аноним (60), 06:02, 13/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    *отравляет оппонента благодаря своей токсичности*
     
  • 2.32, Дон Ягон (ok), 15:03, 12/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Само «обсуждение» в OpenBSD это уже смешно.

    Да что ты говоришь? Открой тот же marc.info, openbsd-misc или openbsd-tech и убедись в обратном.

    > Тео выгнали из команды NetBSD за полную неспособность к обсуждению любых вопросов, неспособность аргументировать свою точку зрения и истерики вида «ХАЧУ!ХАЧУ!».

    Странно, а я почему-то регулярно читаю дискуссии, в т.ч. и с участием Тео.
    И однообразные, как под копирку, комментарии про Тео, типа вот этого твоего.

    Послали, когда написал фигню в рассылку, да?)
    Ну, Тео и компания никогда не скрывали, что предпочитают называть вещи своими именами и послылают прямым текстом, если к ним пришли с хренью. И правильно делают.
    Атмосфера нездоровой терпимости к чужому идиотизму губительна для технических сообществ.

     

  • 1.71, Аноним (71), 21:37, 23/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что писать в network.trr.uri что бы настроить через dnscrypt-proxy
    https://127.0.0.1/dns-query
    так не работает
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру