The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах

21.03.2018 11:44

Разработчики Mozilla намерены провести в ночных сборках Firefox тестирование нового резолвера TRR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS). Тестирование планируют провести в режиме opt-out (по умолчанию включено, но пользователь может выключить).

DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками по подмене DNS-трафика, противостояния блокировкам на уровне DNS или для оганизации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Проблема состоит в том, что для определённой категории пользователей Firefox Nightly при тестировании нового протокола все DNS-запросы по умолчанию планируется перенаправлять на сторонний DoH-сервер, который принадлежит компании Cloudflare. Запросы будут перенаправляться в режиме зеркалирования для сверки с работой штатного резолвера. Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании. Так как тестирование будет активировано без явного согласия пользователей и потребует изменения настроек для отключения, подобный шаг может негативно сказаться на репутации Mozilla в области сохранения приватности.

В свете скандала с утечкой данных пользователей Facebook многие разработчики Mozilla выступили против проведения тестирования в изначально запланированном виде. Вместо активации без ведома пользователя предлагается выводить запрос с предложением принять участие в тестировании с обозначением всех возможных угроз, связанных с передачей данных посторонней компании, и активировать тест только если пользователь явно согласился с предложением (простого информирования недостаточно).

Сторонники проведения тестирования в исходном виде утверждают, что приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам. Оппоненты парируют, что соглашение не защитит от утечек в результате ошибок (например, могут быть случайно оставлены логи) или злого умысла отдельных сотрудников.

В финальных выпусках Firefox начальная поддержка DoH ожидается в версии 60, но по умолчанию будет отключена и потребует явного изменения настроек в about:config. Настройка network.trr.mode=0 полностью отключат TRR; 1 - используется DNS или TRR, в зависимости от того, что быстрее; 2 - используется TRR по умолчанию, а DNS как запасной вариант; 3 - используется только TRR; 4 - режим зеркалирования при котором TRR и DNS задействованы параллельно. DoH-сервер определяется в настройке network.trr.uri. В настоящее время доступно два экспериментальных публичных сервера "https://dns.cloudflare.com/.well-known/dns" и "https://dns.google.com/experimental". Для развёртывания своего DoH-сервера можно использовать doh-proxy от Facebook, DNSCrypt Proxy или rust-doh.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах
  4. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: firefox, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (164) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:14, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Ха. Годно. Провы, мухлющие с подменой DNS, аки бакланы, пролетают мимо...
     
     
  • 2.4, Аноним (-), 12:28, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь мало того надо убедиться что юзается dns за vpn / dnscrypt, еще надо будет как-то убедиться, что браузер не шлет их непойми куда...
     
     
  • 3.9, Аноним (-), 12:49, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, и пользователи, юзающий dnscrypt | vpn -- также пролетают мимо, теперь
    > мало того надо убедиться что юзается dns за vpn / dnscrypt,
    > еще надо будет как-то убедиться, что браузер не шлет их непойми
    > куда...

    Ну да, тут, конечно, не все гладко. Но пусть лучше будет такая возможность, чтобы применять ее там, где нет возможности заюзать vpn.
    Иметь фичу и не иметь фичу - это вместе две фичи, а две фичи лучше, чем одна.

     
     
  • 4.21, Аноним (-), 13:24, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не туда смотрите. На гаджетах сейчас установить dnscrypt можно только через рутирование. Если FF будет идти сразу с этой фичей, то это большое подспорье
     
     
  • 5.58, dimqua (ok), 15:00, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот только DNS-запросы отправляет не только браузер, а значит, нужность DNSCrypt эта фича не отменяет.
     
     
  • 6.66, Аноним (-), 15:29, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чо это? Об чем речь то?
    Никто об этом и не заявляет!
    Вот только DNSCrypt поставить на гаджет сможет 1 из 100,
    кто рутировал. А кто не хочет рутировать, вообще не имеет
    НА СЕГОДНЯ шансов. FF даст им этот шанс.
    Однако не все потеряно и в маркете появилось куча предложений DNS over VPN
    вот там не надо рута
     
     
  • 7.92, Аноним (-), 17:32, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чо это? Об чем речь то?
    > Никто об этом и не заявляет!
    > Вот только DNSCrypt поставить на гаджет сможет 1 из 100,
    > кто рутировал. А кто не хочет рутировать, вообще не имеет
    > НА СЕГОДНЯ шансов. FF даст им этот шанс.
    > Однако не все потеряно и в маркете появилось куча предложений DNS over
    > VPN
    > вот там не надо рута

    Наверное root там нужен для того, что бы трафик фильтровать?

     
     
  • 8.104, Аноним (-), 19:24, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там загрузить сам сабж не сможешь, просто потому что ФС в r o ну так далее Там... текст свёрнут, показать
     
  • 5.77, Oleg (??), 16:27, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не поверишь, но даже под ненавистный iOS есть
    https://itunes.apple.com/us/app/dnscloak-dnscrypt-doh-client/id1330471557?mt=8
     
     
  • 6.81, Аноним (-), 16:45, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не поверишь! )) Я общался с разрабом.
    И даже пробовал и для 32 и для 64
    Это DNS over VPN )) Иначе джейлбрейк!
     
  • 3.18, Аноним (-), 13:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что за крик а драги нет? С VPN все просто, с dnscrypt - отрубить в FF эту фичу.
     

  • 1.2, Аноним (-), 12:20, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Хорошее начало, но про то, что Cloudflare это общий проект АНБ с Китайцами, в... текст свёрнут, показать
     
     
  • 2.23, Аноним (-), 13:25, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нам АНБ не почем. Это вам там за бугром угроза ))
     
     
  • 3.35, Аноним (-), 13:43, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У нас своих желающий регулировать, перлюстрировать, логировать (на полгода) хоть отбавляй.
     
     
  • 4.39, Аноним (-), 13:49, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так вот и первая задача от этих г..регуляторов скрыть свои запросы )) А кто там дальше.. АНБ или АБВГД уже без разницы
     
  • 3.38, Аноним (-), 13:49, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Cloudflare - они ребята щедрые, - достанется и тебе. https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflar - данные тысяч сайтов внезапно полетели открытым текстом в html-фыхлоп их кешей и летели пока гугловцы, слегка офигели от масштаба протечек, не подняли тревогу. Про групповые иски от жертв утечек что-то ничего не слышно. И это только публичные сведения (и опубликовали ихтолько потому что гугловцы удосужились).

    А кого тебе больше нравится боятся, — ЦРУ или ФСБ, — не важно: продадут твои данные и бандитам, и рекламщикам, и тов. майору (если у него денег хватит).

     
     
  • 4.41, Аноним (-), 13:53, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ураденные данные - это украденные/протекшие. В оперативных целях использоватьт можно - в суде.. ну ты сам знаешь )) или не знаешь? %-)
     
     
  • 5.74, тов. майор (?), 16:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в суде тоже можем. Здесь вам не гейропа и не толерантостан.
    Но ты и так во всем уже чистосердечно признаешься и в двух местах распишешься, данные судья даже смотреть не будет.
     
     
  • 6.80, Аноним (-), 16:44, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну дык если все так,
    так к чему этот фарс с ДНС? ))
    Сдадут не сдадут, утекут не утекут..
    Дзержинский жив на Лубянке? ))
     
     
  • 7.115, тов. майор (?), 20:46, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну дык если все так,
    > так к чему этот фарс с ДНС? ))

    так у нас принято. Традиция с 30го года, что поделать. Заметьте - все осужденные и тогда тоже признали свою вину, и каялись перед партией.

    > Дзержинский жив на Лубянке? ))

    он стоял к ней _спиной_.

     
  • 5.96, Аноним (-), 18:03, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > в суде.. ну ты сам знаешь )) или не знаешь? %-)

    А налоговая в этих самых европах не знала и у работников свисс-банков данные покупала, чтобы потом самых злостных и мерзких преступников (налогоукрывателей) к ногтю прижимать.
    Видать, не те кина и серии смотрели.


     
     
  • 6.135, Аноним (-), 22:56, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> в суде.. ну ты сам знаешь )) или не знаешь? %-)
    > А налоговая в этих самых европах не знала и у работников свисс-банков
    > данные покупала, чтобы потом самых злостных и мерзких преступников (налогоукрывателей)
    > к ногтю прижимать.
    > Видать, не те кина и серии смотрели.

    Все те.. Не надо вырывать события из контекста и извращать смысл событий. Тогда все будет на своих местах. А то привыкли ситуации использовать в выгодном для себя свете. Либо судебная система есть и она работает как надо, либо ее пользуют как хотят в своих целях. Вы сейчас о какой модели?????

     
  • 2.126, Аноним (-), 22:10, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Про китайцев непонятно. Причём тут китайцы? Основатель компании - европеоид, и американец по национальности.
     
     
  • 3.155, Аноним (-), 05:59, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Главная страница Cloudflare, список спонсоров ("Backed by")
     

  • 1.3, Аноним (-), 12:27, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пора сделать протокол EoH - everything over http. А кому-то семиуровневая модель казалась большой....
     
     
  • 2.7, Аноним (-), 12:39, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/BOSH_(protocol)
     

  • 1.5, Аноним (-), 12:31, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно ждал подобной фичи, вот только тут масса подводных камней в реализации.
     
     
  • 2.49, Аноним (-), 14:12, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Надо было не ждать, а польтзваться. Давно куча решений существует
     
  • 2.59, dimqua (ok), 15:03, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Каких именно?
     
  • 2.111, 0x0 (?), 20:21, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чёт, до сих пор никак не разберусь, почему, начиная с ядра 4.15 при использовании dnsmasq, systemd-resolved, bind, unbound и т.п. после нескольких минут использования или достижения определённого уровня запросов весь интерфейс начинает тупо фризить, а с 4.14 ничего подобного не наблюдается :))
     
     
  • 3.114, 0x0 (?), 20:31, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ^ Там вместо слова 'весь' лучше было использовать 'сетевой'...))
     

  • 1.6, Pahanivo (ok), 12:36, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к этому HTTP, но сначала надо зарезолвить его адрес ...
     
     
  • 2.14, тютю (?), 13:07, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    но это же нужно будет сделать только раз, в отличие от
     
  • 2.24, Аноним (-), 13:27, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    HTTPS а не HTTP. Чего там надо то сделать?
     
  • 2.45, Аноним (-), 14:02, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Для вашего удобства адрес будет неизменным - 8.8.8.8
     
     
  • 3.76, гугль (?), 16:24, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Для вашего удобства адрес будет неизменным - 8.8.8.8

    это нетолерантно, у пользователя должен быть выбор.
    Поэтому вы сможете ввести и любые другие цифры, они автоматически превратятся в 8.8.4.4

     
     
  • 4.142, Аноним (-), 23:15, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, да. Легко. Провайдер может заворачивать на себя (или на любой другой адрес) днс трафик (53/UDP) идущий на любые destination.
     
     
  • 5.150, ГН (?), 02:20, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, да. Легко. Провайдер может заворачивать на себя (или на любой другой адрес) днс трафик (53/UDP) идущий на любые destination.

    Ему ещё как минимум потребуется завладеть ключом владельца сертификата. Если мы о сабже.

     
     
  • 6.160, Аноним (-), 12:48, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы используете уникальные сертификаты в стандартных браузерах?
     
  • 3.98, Аноним (-), 18:10, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше 1.4.8.8
     
     
  • 4.161, Аноним (-), 12:50, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Еще лучше 1664 ))
     
  • 2.97, Аноним (-), 18:10, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ээээ для того чтобы сделать DNS over HTTP надо сначала подключится к
    > этому HTTP, но сначала надо зарезолвить его адрес ...

    HTTP работает без DNS.

     
     
  • 3.156, alex (??), 06:09, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    тогда можно совсем убрать резолвер из браузера :)
    а то вон сколько проблем из-за него
     
     
  • 4.159, Аноним (-), 12:00, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, если помнишь все ip адреса сайтов.
     

  • 1.8, 0x0 (?), 12:46, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Здесь как не крути, но у кого-то всегда будет возможность контролировать информацию о хостах, которые открывают пользователи :)
     
     
  • 2.10, 0x0 (?), 12:50, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "всегда" ‒ это в смысле, что пользователь никак не может резолвить в одиночку :)
     
  • 2.11, Аноним (-), 12:52, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда пусть "кто-то" принимает соответствующий закон, и отгребает потом, когда архив со список твоих HTTP-запросов выложат в сеть. Когда глобальную слежку аутсорсят в сторонние шараги, это уже полный беспредел.
     
     
  • 3.31, Аноним (-), 13:39, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда пусть "кто-то" принимает соответствующий закон, и отгребает потом, когда архив со
    > список твоих HTTP-запросов выложат в сеть. Когда глобальную слежку аутсорсят в
    > сторонние шараги, это уже полный беспредел.

    Да плевать!!! Лишь бы не ваша контора это делала! Да товаристч майор!? ))

     
  • 2.26, Аноним (-), 13:28, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда кто то кого то контролирует! Вы о чем?
     

  • 1.12, Аноним (-), 12:52, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ага, надо понимать, что через 8.8.8.8 ничто и никому не утекает и никто ничего не контролирует, лол.
     
     
  • 2.13, Аноним (-), 12:54, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есали провайдер резолвит его на себя - может и не утекать
     
     
  • 3.57, 0x0 (?), 14:57, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А провайдер ‒ это, как правило, "сосед", который может больше, чем нужно тобою интересоваться и делиться инфо с другими интересующимися :)
     
     
  • 4.65, Аноним (-), 15:25, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А еще он просверлил к тебе в туалет  дырку и подсматривает 24/7
     
     
  • 5.72, 0x0 (?), 16:02, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не, ну, дырку он по-любому просверлил :))
     
  • 2.29, Аноним (-), 13:34, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а это тут причем?
     
     
  • 3.46, Аноним (-), 14:05, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании.

    При том, что Cloudflare узнает\поменяет хосты это ужас-ужас, а с гуглом все норм, корпорация добра же!

     
     
  • 4.48, Аноним (-), 14:10, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Таким образом, Cloudflare сможет полностью контролировать информацию о хостах, которые открывают пользователи, принимающие участие в тестировании.
    > При том, что Cloudflare узнает\поменяет хосты это ужас-ужас, а с гуглом все
    > норм, корпорация добра же!

    Ну так тестирование ЖЕ!!! Пишите в багрепорт

     

  • 1.15, Аноним (-), 13:16, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам.

    Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данным пользователей со времён смены CEO на лицо нетрадиционной ориентации.

    ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.

     
     
  • 2.17, Володька (??), 13:21, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Tor
    > NSA
    > Приватность

    Ну ты понел.

     
     
  • 3.19, Аноним (-), 13:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >Рептилоиды
     
  • 3.27, Аноним (-), 13:32, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не понял. И чо?
     
  • 2.22, Аноним (-), 13:25, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.

    А как это сделать?
    Есть готовая ссылка?

     
     
  • 3.33, Аноним (-), 13:41, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью, зато приватно.
    > А как это сделать?
    > Есть готовая ссылка?

    ЛОВИ - Torproject.org

     
  • 3.36, Аноним (-), 13:45, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое простое - ставь Proxifier и создавай правило как душе угодно. Там же есть DNS through Proxy
     
  • 3.50, Аноним (-), 14:12, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как это сделать?

    В файле конфигурации демона tor есть директива «DNSPort».

     
     
  • 4.68, Аноним (-), 15:39, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да и называется torrc
    Чел спросил просто так. Вряд ли он будет настраивать
    dns over tor
     
  • 2.32, Аноним (-), 13:40, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> приватность пользователей не пострадает, так как Mozilla заключила соглашение с Cloudflare в котором запрещено сохранение полученных от пользователей данных и их передача третьим лицам.
    > Мне кажется, в этой фразе отражена квинтессенция отношения Mozilla к личным данным
    > пользователей со времён смены CEO на лицо нетрадиционной ориентации.
    > ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью,
    > зато приватно.

    Т.е. вы в новости ничего не поняли?

     
  • 2.99, Аноним (-), 18:13, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ЗЫ: использую в качестве DNS-резолвера Tor. Решение не отличается быстродействием и стабильностью,
    > зато приватно.

    Что ты хотел от изкоробочных бриждей на которых сидят многие пользователи тора?

     
     
  • 3.122, Аноним (-), 21:29, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не видят, условие выполняется.
     
     
  • 4.127, Аноним (-), 22:14, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не
    > видят, условие выполняется.

    Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободные. Хомячки поставили тор и сидят на одной ноде. Ясен красен будет всё тупить по жести.

     
     
  • 5.145, Аноним (-), 23:22, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Отсутствия возможности вести лог DNS-запросов с моего IP-адреса. Т.к. IP-адрес они не
    >> видят, условие выполняется.
    > Можно ускорить тор до скорости твоего интернета, если изменить бриджи на свободные.
    > Хомячки поставили тор и сидят на одной ноде. Ясен красен будет
    > всё тупить по жести.

    )))))) Да ну??? Они могут это сделать?
    Бриджи на свободные? Б...ь, ну это еще что за чудо то такое???
    Вы чо там про Tor вообще ничего не знаете???

     
  • 3.143, Аноним (-), 23:16, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот оно чо.. а ничего что бриджи используются при выборе
    obfs? Или это от незнания?
     

  • 1.16, xdroid (?), 13:18, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    1. Покупаем VPN с поддержкой DNS-серверов.

    2. Идем на ipleak.net...

    3. Profit!

     
     
  • 2.30, Аноним (-), 13:37, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    С поддержкой чего? Если  я на VPS подниму openvpn и пропишу dns 8.8.8.8 работать не будет? ))) Нужно вот обязательно с поддержкой "DNS-серверов"? Или вы васе таки о своем резолвере? )))
     
     
  • 3.34, Namka (?), 13:42, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С поддержкой собственных DNS, видимо. Или DNS большого брата тебе больше нравится?
     
     
  • 4.37, Аноним (-), 13:46, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кому что, а я могу и dnscrypt поставить.
     
  • 3.93, Crazy Alex (ok), 17:36, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?
     
     
  • 4.151, ГН (?), 02:28, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > На vps не проблема и честный ресолвер поднять, нахрена там 8.8.8.8?

    Посоветуйте IP честного ресолвера

     
     
  • 5.158, PnDx (ok), 11:22, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ip='dig +short unbound.net'
     
  • 3.109, Ordu (ok), 20:06, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > пропишу dns 8.8.8.8 работать не будет?

    Будет, но какой в этом толк? Это чтобы рассказать гуглу по каким сайтам ты ходишь со своей вепеески?

     
     
  • 4.152, ГН (?), 02:31, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> пропишу dns 8.8.8.8 работать не будет?
    > Будет, но какой в этом толк? Это чтобы рассказать гуглу по каким
    > сайтам ты ходишь со своей вепеески?

    Ну можно же ещё принять на себя груз ответственности перед Гуглом за посещение этих сайтов другими людьми. Ну, типа, героем сдохнуть, а не просто педофилом.

     

  • 1.20, Zenitur (ok), 13:24, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1). Скачиваем Tor Browser >= 7.5
    2). Открываем about:support
    3). Смотрим "Операционная система"
    4). Анонимность!

    На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так не было

     
     
  • 2.25, Володька (??), 13:28, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И ты конечно не открыл его?
     
  • 2.28, Аноним (-), 13:33, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Срочно!!!! Пиши! Смотришь в книгу - видишь фигу!
     
  • 2.94, Аноним (-), 17:56, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 1). Скачиваем Tor Browser >= 7.5
    > 2). Открываем about:support
    > 3). Смотрим "Операционная система"
    > 4). Анонимность!
    > На самом деле, надо открывать баг-репорт, потому что в Firefox 45 так
    > не было

    Видимо лучше показывать то что у большинства. Так же и с User Agent только там еще и версия Firefox имеется. Лучше взять среднюю температуру по больнице и всем ее показывать.

     

  • 1.40, An (??), 13:53, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эт как в том мультике ... "...Если говорят, что народ не пострадает - это значит спасайся кто может..."  
     
     
  • 2.43, Аноним (-), 13:58, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это всего лишь тестирование. В работе это пользовать нельзя. Просто кто то гонет здесь волну.. хочет развести здесь флуд и заодно пурги нагнать, что отечественный контролер лучше и роднее, т.к. он заботится о ваших персональных данных. Буржуйские, они злые и могут как то навредить )) Непонятно правда как )) Импортозамещение однако полным ходо и во всем )
     

  • 1.42, Аноним (-), 13:56, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    теперь я понял зачем они с гулоидами натягивают всем хттс. кто не понял - чтобы сливать безпалевно данные пользователей :)

    надеюсь в будущем когда эта х-нь станет майнстримом (т.е. неотключаемой (а это будет 100%)) выложат список адресов через которые делается этот самый ресолвинг чтобы заблочить их в брандмауере. ибо реально че хотят, то и творят.

     
     
  • 2.44, Аноним (-), 13:59, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Точно!! И они то знают как применить эти персональные данные на полную катушку!! ДА!?
     
     
  • 3.102, rshadow (ok), 19:15, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Любая рекламная сеть знает как применять твои персональные данные, и историю твоего браузера.
     
     
  • 4.110, Аноним (-), 20:14, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот оно как.. а если нет истории браузера то чо?
     
     
  • 5.116, гуглезила (?), 20:51, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот оно как.. а если нет истории браузера то чо?

    история - она всегда есть, если ты им вообще пользуешься.
    То что ее нет на _твоем_ диске - это нам с товарищем майором, в общем, совершенно все равно.


     
     
  • 6.136, Аноним (-), 22:59, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот вы любите мусировать разную пургу про фингерпринтинг ))
    Если бы все так просто было, то не было бы провонарушений в
    инете)) И вас с майором послали бы улицы мести, а не лить в уши
    неокрепшим пОдросткам
     

  • 1.47, Аноним (-), 14:07, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Существующая система изжила себя. Все эти накостыляния создают больше проблем, чем решают. Давно надо было внедрить NameCoin или Ethereum Domain Naming System.
     
     
  • 2.52, username (??), 14:19, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О чем вы говорите, мы тут в 2018 (!транспорт!) не можем на tls перевести потому что бабло и закостенелость системы.
    Безопасность сверху нагородим хоть какой то прогресс и польза.
     

  • 1.51, username (??), 14:16, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Похоже комментирующие просто не в теме как обстоят дела с безопасным днс. Если кратко - никак.
    Мы проиграли, безопасной реализации в массах не будет потому как все куплено, никто не хочет отдавать этот инструмент контроля.
    DoH этот по сути отчаянная попытка хоть как то сдвинуть с мертвой точки ситуацию. Причем рабочий, причем уже сейчас рабочий.  Сейчас три публичных сервера есть для DoH клиентов, один от лицокниги, другой от гугла третий от сабжа. Хотите свой - прекрасно. На гитхабе есть пару реализаций сервера.
    Нужно что то решать уже сейчас. Никакой dnscrypt dnss+ не будет внедрен массово, это все шумиха для отвода глаз и затягивания процесса.
     
     
  • 2.61, Аноним (-), 15:20, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот пришел мастер и объяснил сирым, что все плохо!
    Ю бест мастэ ))
    Остальные лохи шифруют запросы и делают это безграмотно, ибо
    они априори не могут быть щифрованы, ротму что так сказал великий Мастер
     
     
  • 3.64, username (??), 15:25, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Могут конечно. Могут.
    Но стараниями некоторых товарищей в массы это не пойдет.  
     
     
  • 4.67, Аноним (-), 15:34, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы недооцениваете массы ))
    Dnscrypt досточно распространен на ПК
    В гаджетах зоопарк предложений, но на 1-ю строку ныне вырывается
    DNS over VPN. Таких предложений в аппсторе несколько, а в гуглмаркете куча
    Dnscrypt в смартах врядли может быть массовым в силу нежелания/страха
    джейлбрейка/рутирования
     
     
  • 5.73, username (??), 16:22, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В массы это я про глобальный переход. Понятно что все можно если сильно захотеть.  Вопрос в том что как раз глобальный переход на DNSCrypt мешает всем кроме клиента.  Поэтому старый протокол у нас похоже задержится. А DoH при условии внедрения всеми бразерами хоть и костыль по сути но задачу решит в короткие сроки.
     
     
  • 6.83, Аноним (-), 16:55, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Глобальный переход никому не нужен, как не нужна глобальная
    безопасность!
    90% Васянов вообще не задумывается, зачем им шифровать что то.
    Была б их воля, они бы и HTTPS зарыли за ненадобностью.
    То что делает FF, это пассивная безопасность, когда пользователь не думает,
    что кто то беспокоится о нем ))
     
  • 6.85, Аноним (-), 17:01, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Старый проток чего? DNSCrypt? А чем проток то не устраивает?
    Версия 2 шагает по инету. Резолверы потихоньку начинают поддерживать.
    В перспективе сабж будет поддерживать DoH
    Вы почитайте перспективы развития DNSCrypt. Мейнтейнер собственно не
    скрывает своих планов ))
     
  • 2.78, Аноним (-), 16:40, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Что за пессимизм Вы как то замешали все в одну кашу Ес... текст свёрнут, показать
     

  • 1.53, Аноним (-), 14:27, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    днс крипт для гиков, а толпа будет сидеть на том, что ей дают - этого то и достаточно для сильных мира сего
     
     
  • 2.54, Аноним (-), 14:37, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, этого достаточно, чтобы (гоогле, пейсбук, и прочим дефолтным DoH сервисам) не делиться траффиком и данными ни с кем, кроме себя.
     
     
  • 3.55, username (??), 14:41, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ставьте себе сервер, делитесь только с собой.
     
     
  • 4.60, dimqua (ok), 15:11, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но тогда отпадает весь смысл массового внедрения этой фичи.
     
     
  • 5.63, Аноним (-), 15:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чего там отпадает? Вы о чем?
    Фича фичей, а свой резолвер это +/- безопасность
     
     
  • 6.69, dimqua (ok), 15:44, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А я про приватность. Не круто, если все, используемые по-умолчанию, DoH-серверы будут принадлежат Google, Facebook, Cloudflare и т.п.
     
     
  • 7.75, username (??), 16:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А я про приватность. Не круто, если все, используемые по-умолчанию, DoH-серверы будут
    > принадлежат Google, Facebook, Cloudflare и т.п.

    Свой держи) ну как маленький. Или тебе надо чтобы кто то за тебя держал на сервере неуловимого джо?

     
  • 7.79, Аноним (-), 16:41, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Короче, склифасовский, посмотри список днс-резолверов, которые поддерживают
    dnscrypt, и поймешь что их немало! И еще раз, ты можешь сделать свой.
    Никто не запрещает.
     
     
  • 8.84, dimqua (ok), 16:59, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно, что DNSCrypt, но не DoH ... текст свёрнут, показать
     
     
  • 9.105, Аноним (-), 19:25, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Короче бегом читать про dnscrypt А то у нас разговор как между глухим и немым... текст свёрнут, показать
     
     
  • 10.119, dimqua (ok), 21:18, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Давно использую dnscrypt-proxy, поэтому знаю, что серверов, поддерживающих DNSCr... текст свёрнут, показать
     
     
  • 11.132, Аноним (-), 22:47, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    дружище, давай ты самостоятельно почитаешь - https github com jedisct1 dnscry... текст свёрнут, показать
     
  • 4.87, 0x0 (?), 17:04, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А "свой" резолвиться сам по себе будет? :)
     
  • 4.88, 0x0 (?), 17:09, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе, оно, конечно, понятно, что теоретически TTL можно на вечность установить :))
     
     
  • 5.90, 0x0 (?), 17:17, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Короче, будем ждать появления методички "Настраиваем DNS через Wi-Fi соседей" :))
     
  • 2.62, Аноним (-), 15:22, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кончай демагогию! Давай днскрипт в массы!
    Не болтайте чушь. Идите в гугл. Там вагон и маленькая тележка
    манов по установке и настройке сабжа
     

  • 1.56, Нанобот (ok), 14:49, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >соглашение не защитит от ... злого умысла отдельных сотрудников

    да кому сдались эти ихние днс-запросы?

     
     
  • 2.71, Аноним (-), 15:58, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Парадоксально, но я больше доверяю сотрудникам CloudFlare, чем своему провайдеру. Сотрудники мне ничего плохого ещё не делали, а вот провайдер совершенно точно блокирует некоторые сайты, вдобавок ещё и без возражений выдаст информацию кому надо о том, что это я запостил смешной мемас, который какой-то там мухосранский судья, заходящий во вконтактик через яндекс, признал экстремистским материалом.
     
     
  • 3.82, Аноним (-), 16:51, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Доверие доверием, но анонимность то лучше Если Вас невозможно вычленить из обыч... текст свёрнут, показать
     

  • 1.86, qwas (??), 17:03, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чем DNS-over-HTTPS лучше DNS-over-TLS?
    Разработчик DNSCrypt уже сам не пользуется им.
    Есть, конечно DNSCrypt2, но чем он лучше DNS-over-TLS?
     
     
  • 2.95, Аноним (-), 17:56, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.
     
     
  • 3.107, Аноним (-), 19:44, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Читать новость и понимать что написано!
     
  • 3.121, dimqua (ok), 21:23, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем, что может быть запихнуто в браузер и навязано пользователям с указанием определённых серверов.

    DNSCrypt тоже можно, есть в Яндекс.Браузере, например.

     
     
  • 4.137, Аноним (-), 23:01, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    О докатились это этого.. все можно тему накрест забивать
    гвоздями
     
  • 2.106, Аноним (-), 19:43, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так не языком тренпать надо,
    а идти изучать матчасть!
    А то у него разработчик что то бросил!
     
     
  • 3.124, qwas (??), 21:54, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если не знаешь ответа на вопрос, помолчал бы.
    https://twitter.com/jedisct1/status/928942292202860544
     
     
  • 4.139, Аноним (-), 23:07, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну откуда вы такие беретесь? ААа??
    Что ж вы в бутылку лезете без знаний?
    Оставить бы тебя в твоем каматозе..
    СМОТРИ СЮДА - https://github.com/jedisct1/dnscrypt-proxy
    Научись работать с инетом!
     
     
  • 5.164, qwas (??), 17:14, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По количеству выпитых бутылок анонимов мне никак уж не догнать. ))
     
     
  • 6.166, Аноним (-), 18:12, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо бухать, нужно просто следить за темой, если это интереснео!
     
  • 2.128, dimqua (ok), 22:15, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем DNS-over-HTTPS лучше DNS-over-TLS?

    Это у Google надо спросить.

    https://www.xda-developers.com/android-dns-over-tls-website-privacy/

    https://developers.google.com/speed/public-dns/docs/dns-over-https

     
     
  • 3.129, qwas (??), 22:32, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за гуглинг. ) В общем, пришел к выводу, что не лучше. И никто не доказал иное.
    В предыдущей ссылке моей видно, что рекомендует разработчик оригинального DNSCrypt.
     
     
  • 4.134, Аноним (-), 22:51, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что у тебя там все лучше хуже?
    Читай документацию по dnscrypt v2
    а не гадай на кофейной гуще из гугла
     
     
  • 5.157, dimqua (ok), 10:51, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот как раз небольшое сравнение тут есть: https://dnscrypt.info/faq/
     
  • 4.146, Аноним (-), 00:18, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разработчик "оригинального" = тот же самый человек, что теперь пилит "DNSCrypt 2". Твит, который ты приводил выше, был отправлен до того, как он начал разрабатывать вторую версию. И DNSCrypt 2, кстати, поддерживает DNS over HTTPS.
     
     
  • 5.163, qwas (??), 17:11, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://bugs.archlinux.org/task/57027
    Это баг. ) И все запуталось. )
     
     
  • 6.165, Аноним (-), 18:10, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    какой баг? Причем здесь Арч?
    Куратор сложил полномочия и предложил кому нибудь взять тему.
    В начале года все рухнуло. Сайт стал недоступен, как и гитхаб.
    Потом слезно попросили его вернуться. У него с лета 2017 уже во всю шла
    работа над v2
    C середины января 2018 полетели первые беты, потом альфы и т.д.
    Сейчас уже финал 2.0.7
     
     
  • 7.167, qwas (??), 18:59, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поздравляю. Но мне он уже не нужен. Есть другие решения. Пользуйся, так и быть. )
     
     
  • 8.168, Аноним (-), 19:19, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Себя поздравь с выходом из комы ... текст свёрнут, показать
     

  • 1.89, Аноним (-), 17:09, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

    И о чём думали авторы DNSSEC?

     
     
  • 2.91, Аноним (-), 17:19, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
    > И о чём думали авторы DNSSEC?

    Неправильно назвали, надо было DNSTRUST!

     
  • 2.108, Аноним (-), 19:54, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.
    > И о чём думали авторы DNSSEC?

    О том, что вам с предыдущем ораторам нужно матчасть поизучать!

     

  • 1.101, qwas (??), 18:53, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все это только для маскировки утечки данных. )

    This is thanks to something in https called Server Name Indication (SNI).

    When you make a connection to an https enabled website there is a process called a handshake.
    This is the exchange of information before the encryption starts.

    During this unencrypted handshake (ClientHello) one of the things that is sent by you is a remote host name.
    This allows the server on the other end to choose appropriate certificate based on the requested host name.
    This happens when multiple virtual hosts reside on the same server, and this a very common setup.
    Unfortunately, your ISP can see this, slurp it up, and log this to your account/profile.

     
     
  • 2.103, Аноним (-), 19:15, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, да! Для маскировки.
    Ты опять разоблачил заговор! ))
     
     
  • 3.113, Аноним (-), 20:29, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, да! Для маскировки.
    > Ты опять разоблачил заговор! ))

    Зачем сразу предполагать глобальный заговор рептилоидов, если все объясняется банальным сговором с целью наживы?

     
  • 2.120, KonstantinB (ok), 21:18, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И чо?

    Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это работать не будет.
    Если на сервере на одном IP-адресе только один виртуальный хост, то и без SNI понятно все.

     
     
  • 3.125, qwas (??), 22:03, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Про "понятно все" можно подробнее? )
     
     
  • 4.153, KonstantinB (ok), 04:33, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, что в заголовке Host домен, на которые выдан единственный настроенный для этого IP-адреса сертификат (тот, что в CommonName, ну либо то, что там в subjectAltName, а там в 99.99% субдомены и алиасы).
     
  • 3.149, пох (?), 00:57, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если на сервере на одном IP-адресе много виртуальных хостов, без SNI это
    > работать не будет.

    опеннетовские пиoнеры они такие пиoнеры.
    Без sni все прекрасно работает - протокол http, даже завернутый в ssl, знаете ли, не на sni полагается, а на заголовок host внутри.
    Единственный минус - визг новых-модных браузеров, что тут все несекьюрно, давайте лучше я вам котиков покажу. К счастью, пока еще с кнопкой "продолжить".

     
     
  • 4.154, KonstantinB (ok), 04:35, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/

    > Единственный минус - визг новых-модных браузеров, что тут все несекьюрно, давайте лучше
    > я вам котиков покажу. К счастью, пока еще с кнопкой "продолжить".

    И какой же это старомодный браузер не выдаст предупреждение при несовпадении CommonName? И чего в этом хорошего?

     
     
  • 5.170, пох (?), 00:05, 24/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    они там, понимаете ли, именно что предупреждение выдавали. А не страницу бессмысленных воплей, очень похожих на угрозы. И честно писали прямо в тексте этого диалога (и да, это было принято делать - модальным диалогом, как и положено делать важные предупреждения в нормальных программах, а не через жопу, как ныне. Попутно оно работало для элементов страниц, а не только самих страниц) что ты шел на одессу, а вышел вот нахрен. Но - немодно, немолодежно, юзер не умеет читать, давайте о нем позаботимся - вместо запрошенного сайта выведем большуюкраснуюстраницуневедомойбредятины...

    (впрочем, это вряд ли даже такая "забота" - скорее диалог надо еще нарисовать, а вот нагуаноскриптить на html+css было куда проще)

     
  • 2.162, Аноним (-), 13:35, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    SNI палит домен провайдерам. А здесь решили взять в долю cloudflare
     

  • 1.112, Василий Незнайкин (?), 20:23, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Объясните нубу про шифрование DNS, и надо ли оно мне, если мой VPN и так предоставляет собственные DNS-сервера (заместо гугловских 8.8.8.8). Читаю уже который раз про dnscrypt, но не могу найти простую статью для новичка - надо ли это мне, с чего начать, как установить на комп с линуксом. Будет ли полезен dnscrypt там где нет VPN и т.д., вот это все хотелось бы понять.
     
     
  • 2.117, Аноним (-), 20:52, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если весь трафик идет через тунель, то не нужно.
    Файерволом прибить максимально возможно все запросы мимо VPN
     
     
  • 3.123, я (?), 21:48, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вдруг он про впн провайдера имел введу? Тогда днс прокси ему нужен!
     
     
  • 4.130, Аноним (-), 22:33, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ВПН провайдера оприори не имеется ввиду, ну если только чел совсем не в теме
     
  • 2.118, нах (?), 20:56, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Объясните нубу про шифрование DNS, и надо ли оно мне, если мой

    в общем и целом - нет. твой впн и так знает о тебе если не все, то достаточно многое, если ты подозреваешь что он работает на товарища майора - шифрованный dns тебя ни разу не спасет.

    а если ему это знание неинтересно - ты просто потеряешься среди сотен тыщ хомячков, качающих прон.

     
     
  • 3.131, Аноним (-), 22:36, 21/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ВПН выбрасываем за ненадобностью?
    Вариантов по середине, исходя из написаного тобой, нет?
    Или майор контролирует, или мойору скучно и он не контролирует?
    Оригинально...
     
     
  • 4.148, пох (?), 00:53, 22/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть ВПН выбрасываем за ненадобностью?

    из какого слова сделан такой вывод?
    На деле - зависит от уровня паранойи. Я вот склонен предполагать, что vpn'ы, советуемые torrentfreaks, вполне себе vPn'ы и никакой майор их не контролирует.
    Полные параноики могут засунуть в этот vpn еще один vpn, приземляя его на сервер где-нибудь подальше - уже личный (исчезает использование этого сервера в качестве маячка, а у админов коммерческого vpn - возможность проявлять любопытство).

    но мне пока и так неплохо дышится.

     

  • 1.169, rvs2016 (ok), 17:21, 23/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в случае DoH запрос на определение IP-адреса хоста
    > инкапсулируется в трафик HTTPS и отправляется
    > на HTTP-сервер, на котором резолвер обрабатывает
    > запросы через Web API

    Какой ещё Web API?

    Вот наваяю я на HTTP-сервере CGI-скрипт, отечающий на любые запросы браузеров только страницей с фразой "привет, мир", а какой-то браузер вместо запроса страницы пришлёт запрос на резолвинг доменного имени, к которому прицеплен мой CGI-скрипт. Что мой скрипт ответит на такой запрос? Правильно, ответит "привет, мир". А браузер-дурак, надеялся на то, что мой CGI (а не dns!) скрипт раррезолвит ему доменное имя. Да не тут-то было! И ведь мой CGI-скрипт-то будет абсолютно прав, ибо DNS-запросы отправлять-то положено на серверы DNS, а не на серверы HTTP.

     
  • 1.171, Fedd (?), 15:38, 24/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно network.trr.mode=3 не грузится ничего. При 2 обходит блокировку на dns но только по https
     
  • 1.172, Аноним (172), 03:34, 29/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прокси от Facebook? Нет им веры после их бесплатного vpn, спасибо, что тщательно сохраняете и анализируете наши данные.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру