The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В следующем выпуске Android появится поддержка "DNS over TLS"

14.04.2018 12:39

Компания Google сообщила о добавлении в тестовые сборки Android P Developer Preview, используемые для тестирования функциональности следующего значительного релиза мобильной платформы Android, поддержки технологии "DNS over TLS", позволяющей защитить канал связи с DNS-сервером. Таким образом, платформа Android станет первой популярной ОС в которой будет доступна из коробки функция шифрования трафика DNS, что может существенно подтолкнуть продвижение технологии "DNS over TLS" и в других системах.

"DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS с проверкой валидности хоста через TLS/SSL-сертификаты, заверенные удостоверяющим центром (в "DNS over HTTPS" резолвер обрабатывает запросы через Web API). Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

"DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, защищают от MITM-атак по подмене DNS-трафика и помогают противостоять блокировкам на уровне DNS. Для тестирования предлагается подборка поддерживаемых сообществом серверов "DNS over TLS", в том числе данный протокол теперь поддерживают серверы 9.9.9.9 (Quad9) и 1.1.1.1 (Cloudflare). Из DNS-серверов с поддержкой "DNS over HTTPS" можно отметить Unbound и Knot (только в резолвере), в NSD и BIND можно настроить через stunnel, nginx или HAProxy.

В настройках Android (Private DNS в секции Network & internet ) предоставлена возможность автоматического включения "DNS over TLS" для текущего DNS-сервера, если он поддерживает данный протокол, а также опция для указания сервера вручную. Для разработчиков приложений в API добавлена новая функция LinkProperties.isPrivateDnsActive(), позволяющая проверить применяется ли в текущем окружении защищённый канал связи для DNS. Сборки Android P Developer Preview с поддержкой "DNS over TLS" можно получить в рамках программы бета-тестирования, доступной для пользователей устройств Pixel, Pixel XL, Pixel 2 и Pixel 2 XL.

  1. Главная ссылка к новости (https://android-developers.goo...)
  2. OpenNews: Предварительный выпуск платформы Android 9
  3. OpenNews: Релиз DNS-сервера BIND 9.12
  4. OpenNews: Релиз DNS-сервера Unbound 1.7.0
  5. OpenNews: Выпуск DNS-сервера KnotDNS 2.6.6
  6. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: dns, tls, android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (98) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:05, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >доступной для пользователей устройств Pixel, Pixel XL Pixel 2 и Pixel 2 XL.

    Владельцы Ляофонов и вообще всех старых (то есть старше года) моделей пролетают, как фанера над Парижем.

     
     
  • 2.3, Crazy Alex (ok), 13:16, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то и на компе на предустановленной винде сидит, и что?
     
     
  • 3.4, Аноним (-), 13:23, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не вижу связи.
     
  • 3.5, use (ok), 13:39, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я могу обновить винду, а андроид - нет.
     
     
  • 4.8, Аноним (-), 13:46, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.
     
     
  • 5.33, macfaq (?), 18:40, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И кто тебе виноват? Покупай китайфаоны с официальным lineageOS.

    Их не так много, к сожалению. Ещё хуже, если нужна, например, съёмная батарея.

     
  • 5.38, свободнеечемдругие (?), 19:34, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Покупай китайфаоны с официальным lineageOS.

    Где такой купить? Крупные магазины в Москве такими не торгуют.

     
     
  • 6.59, поледанныхотсутств (?), 09:11, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Торгуют. вот к примеру mvideo, ozon продают oneplus 3(t)/5(t), xiaomi mi5s(plus).
     
     
  • 7.101, свободнеечемдругие (?), 00:18, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Лжёте либо вы, либо продавцы Мвидео. В тех. описаниях этих телефонов чётко указано, что это Андроид и его версия.


     
     
  • 8.106, лемакс2 (?), 08:08, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    что вам мешает зайти на сайт линейки и за 10 минут накатить новый андроид у мен... текст свёрнут, показать
     
  • 5.40, YetAnotherOnanym (ok), 21:13, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А кто может дать гарантию, что там правильный линьяж, а не подпиленный Ва Сяном, который напихал туда овердофига закладок для последующего слива всего, что там найдётся интересного? И к тому же залочивший загрузчик так, что туда вообще ничего залить нельзя?
     
     
  • 6.46, Crazy Alex (ok), 01:04, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    xpda кто-то отменил?
     
  • 6.61, Аноним (-), 10:56, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А кто может дать гарантию, что там правильный линьяж

    Какую ещё тебе гарантию? Правильных прошивок ни один производитель не шьёт. Покупаешь тело, разблокируешь и ставишь правильный с оф. сайта.

     
     
  • 7.75, YetAnotherOnanym (ok), 17:33, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > правильный с оф. сайта

    Всё понятно.

     
     
  • 8.81, Аноним (-), 08:37, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А тебе откуда надо Ну скачай васяносборку с 4пда если повезёт, она может оказа... текст свёрнут, показать
     
     
  • 9.86, YetAnotherOnanym (ok), 12:02, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Перепиливальщики андроеда с оф сайта линейки, равно как их медноголовые или репл... текст свёрнут, показать
     
     
  • 10.91, Аноним (-), 21:46, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя выход один - не пользуйся смартфонами... текст свёрнут, показать
     
     
  • 11.107, лемакс2 (?), 08:10, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    еще надеть шапочку из фольги 100 защита... текст свёрнут, показать
     
  • 4.23, AnonPlus (?), 16:34, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если дрова есть - можешь. А если производитель забил на дрова для новой винды - опаньки...

    Та же история и с китайфонами. Для моего есть LineageOS с OTA-обновлениями. Плюс телефон поддерживает Treble, так что не проблема поставить на него AOSP и получить Android 8, а потом и 9.

     
     
  • 5.41, Онаним (?), 21:53, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И как это чудо называется? Я думал если хочешь нормально обновляться и без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а это очень дорого даже БУ.
     
     
  • 6.50, Аноним (-), 03:02, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дешевле, чем инвестировать своё время в портирование LineageOS. Если устройство не поддерживается - даже с опытом добавить поддержку и отладить баги займёт несколько дней.
     
     
  • 7.57, Аноним (-), 08:35, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если Вы за несколько дней зарабатываете на Пиксель - рад за Вас. Большинству людей проще пару дней на отладку потратить.
     
  • 6.62, Аноним (-), 11:00, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И как это чудо называется? Я думал если хочешь нормально обновляться и
    > без проблем ставить всякие Линьяжи - нужно Nexus/Pixel без вариантов, а
    > это очень дорого даже БУ.

    А пойти на вики и посмотреть список поддерживаемых устройств не пробовал? Даже ссылку могу дать, чтоб не заблудился: https://wiki.lineageos.org/devices/

     
  • 4.54, Аноним (-), 08:03, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть все ошибки но остаться на той же системе? Новые версии windows мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы ушли критические ошибки.
     
     
  • 5.58, Аноним (-), 08:36, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как мне обновить ядро в Windows XP и системные библиотеки чтобы закрыть
    > все ошибки но остаться на той же системе? Новые версии windows
    > мне не нужны, нужно лишь обновить рабочие системы под виртуалкой чтобы
    > ушли критические ошибки.

    РеактОС не подойдет?

     
     
  • 6.70, Аноним (-), 15:26, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > РеактОС не подойдет?

    еще сыроват

     
     
  • 7.84, Аноним (-), 08:40, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> РеактОС не подойдет?
    > еще сыроват
    > еще

    Оптимист.

     
  • 5.78, use (ok), 22:21, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, одно дело говорить о телефонах, поддержка систем у которых кончается за 2-3 года, а другое дело WinXP, которая, на минутку, выпущена 17 лет назад.
    Венда 7 вот поддерживается и обновляется, вышла она ещё до любого Андроида.
    Я не защищаю венду, я говорю о том, что вы тут все сравниваете тёплое с мягким.
     
     
  • 6.80, Аноним (-), 01:02, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы не пробовали ставить семёрку на новые ноуты? Начиная с 2017 года выпуска многие компании забили на поддержку дров для семёрки, и дрова на них есть только для 8-10.
     
     
  • 7.108, iPony (?), 14:37, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут это? Речь про актуальный софт на старом железе.
     
  • 4.63, dmm11 (?), 11:53, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    зачем его обновлять? г-но не обновляют, а сливают в канализацию.
     
     
  • 5.65, Аноним (-), 13:22, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На негoвно денег дашь?
     
     
  • 6.85, Аноним (-), 08:41, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сам заработать не пробовал?
     
  • 4.79, Аноним (-), 22:47, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не можешь. Процесс обновления должен иметь какой-то смысл (быстрее, выше, сильнее). Процесс без смысла, ради процесса, бессмыслен. Не существует обновлений винды, которые могли что-либо в ней улучшить. И это проблема для тех, кто не заблуждается в красивых фантиках.
     
  • 2.90, Аноним (-), 21:44, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Рутируй и ставь dnscrypt
     

  • 1.6, Аноним (-), 13:40, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Таким образом, платформа Android станет первой популярной ОС в которой будет доступа из коробки функция шифрования трафика DNS

    Как здорово, что в редакции опеннета есть люди с телепатическими возможностями.

     
     
  • 2.83, Аноним (-), 08:39, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заминусовали то.
     

  • 1.7, D (?), 13:40, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    И что? Ну не прочтут запросы к днс, так разберут, куда летит запрос на страницу.
     
     
  • 2.9, Anonymous Coward (?), 13:59, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты не понял, малтшик. Вкупе с https это сделает блокировку сайтов еще более проблемным делом.
     
     
  • 3.16, anomymous (?), 14:51, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем. SNI как ходил открытым текстом, так и ходит...
     
     
  • 4.18, Аноним (-), 15:06, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Когда залатают?
     
     
  • 5.19, anonymous (??), 15:25, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насколько я помню в TLS 1.3.
     
     
  • 6.24, AnonPlus (?), 16:35, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Насколько я помню в TLS 1.3.

    Нет, TLS 1.3 уже приняли, но шифрование SNI туда не вошло.

     
     
  • 7.43, й (?), 23:26, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    sni -- это tls protocol extension, на практике все его умеют в 2018
     
  • 5.27, тов. майор (?), 16:57, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    примерно никогда. Так мы с кураторами гугля решили.

     
  • 3.20, Аноним (-), 15:58, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне проблема.
     
     
  • 4.28, тов. майор (?), 16:58, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > просто блокировать ip адрес со всеми сайтами находящимися на сервере. Тоже мне
    > проблема.

    ващета проблема. Но мы - боремся.

     
     
  • 5.36, Аноним (-), 19:31, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И многие у вас в службе пишут безграмотно?
     
  • 4.45, Аноним (-), 00:02, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то проблема. Посмотри, ютуб и фейсбук заблокированы в РФ? Там есть запрещённый контент.
     
     
  • 5.48, тов. майор (?), 01:31, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но ни разу не та о которой ты думаешь слушай, ну зачем нам блокировать наших лу... текст свёрнут, показать
     
     
  • 6.51, Аноним (-), 05:56, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > они прекрасно его выпиливают по первой же жалобе роспозора. А _неправильный_ контент - и до жалобы.

    НеДимон до сих пор лежит. Уже скоро год будет после того суда.

     

  • 1.10, Хряк (?), 14:02, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > "DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи

    И тут же

    > "DNS over TLS" и "DNS over HTTPS" позволяют исключить утечки сведений

    Чот-то совсем не понятно, "DNS over TLS" более безопасный чем "DNS over HTTPS". Или нет разницы?

     
     
  • 2.11, Ан (??), 14:08, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В обоих случаях используется TLS. Только в случае Https это не класический DNS протокол. А вот в случае DNS over TLS это будет просто тот самый DNS но внутри TLS шифрования.
     
  • 2.92, Аноним (-), 21:49, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Глобально меньше
     

  • 1.12, xm (ok), 14:17, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С развёртыванием поддержки DNS-over-TLS первопроходец Dnscrypt отправляется на свалку истории.
     
     
  • 2.13, Аноним (-), 14:32, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот только какой из этих вариантов таки сесурнее? Емнип dnscrypt тоже поддерживается всякими гуглоднс и прочими
     
     
  • 3.15, xm (ok), 14:45, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    DNScrypt секурнее (решена проблема "первой ночи"), но сложен в применении и реализации. Такой гибрид DNSSEC с TLS. Да ещё и нестандартизирован.
     
     
  • 4.47, Аноним (-), 01:28, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В каком месте DNSCrypt сложен? Скачать пакет / собрать из сырцов, прописать строку на автозапуск и правило iptables (в общем случае) - это сложно? Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки. Другое дело, что оригинальный разраб проект дропнул и "форком" теперь занимаются сомнительные личности с неясной мотивацией.
     
     
  • 5.52, Аноним (-), 06:02, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В каком месте DNSCrypt сложен?

    В реализации, анон. Никто не говорит про сложность установки мокрописьки для конечного юзера. В самой своей сути днскрипт сложен и ужасен. Потому автор и дропнул первую версию.
    Читай: https://github.com/jedisct1/dnscrypt-proxy/wiki/Differences-to-v1
    > Code quality Big ugly mess

     
     
  • 6.64, . (?), 12:35, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Code quality     Big ugly mess

    у пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.

    собственно и вся эта таблица - fud и bullshit.

    видите-ли, несекьюрно включать в исходник патченные (потому что штатные не работают) версии системных библиотек. Вот включать все библиотеки, переписанные (и переписываемые каждый день заново) стаей диких go-обезьян, которые вообще никто и никогда не изучает на предмет безопасности, потому что бесполезно, каждый день новая - это нормально, потому что они так думают.

    в общем, уносите. dnscrypt мертв. Зверушка и изначально была калекой, а теперь и вовсе дни ее сочтены.

     
     
  • 7.69, Аноним (-), 14:56, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > у пейсателей на игого - так характеризуется все, что написано на нормальных языках, и они ниасилили прочитать.

    Но это вики репозитория автора оригинального DNSCrypt, лол. Ниасилятор сперва написал big ugly mess на нормальном языке, все с радостью пользовались, потом он дропнул и назвал тем самым, начав писать вторую версию на го. Самому не смешно? Зачем тогда вам оригинальный проект от такого человека и о чём вы печалитесь?

     
  • 6.77, Аноним (-), 20:35, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не было там никакой сложности и ужаса, пока go-обезьяны не занесли Причина дроп... текст свёрнут, показать
     
  • 6.94, Аноним (-), 21:53, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А посмотреть более свежее описание религия не позволяет?
     
  • 5.66, Аноним (-), 13:37, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > теперь занимаются сомнительные личности с неясной мотивацией.

    лол, да какая разница кто автор первой, а кто второй версии. как раз таки мотивация автора второй версии понятна - удобный конфиг, блэклисты, скорость работы, авто форвардинг и куча фич, поддержка DoH, выбор метода шифрования DoH. и вообще код доступен и первой, и второй версии. вы вообще не туда смотрите. смотреть надо не на авторов кода, а на серверы! точнее на держателей этих серверов. вот в чем вопрос! кто стоит, например, за сетью секурных серверов оупенднс? кто сертифицирует сервера в канаде? кто занимается аудитом сервером тумабокс? вот куда копать надо! клиенты это дело десятое!

     
     
  • 6.95, Аноним (-), 21:56, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Разницы НИКАКОЙ! Один и тот же )))
    Есть варианты альтернативы?
    Смотреть нужно еще ближе -mitm своего провайдера!
     
  • 5.74, xm (ok), 16:18, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В каком месте DNSCrypt сложен?

    Во всех. Посмотрите принципы, реализацию и поддержание сервера. Плюс для клиента, как правило, нужна ещё и прослойка-прокси.

     
     
  • 6.96, Аноним (-), 21:56, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чего там нужно для клиента?
     
     
  • 7.102, xm (ok), 00:58, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Прокси DNScrypt, мон петит ами. Unbound (да, вероятно, все остальные) "внезапно" его не умеет как клиент напрямую.
     
     
  • 8.104, Аноним (-), 11:15, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Обалденно А как запросы будут шифроваться Прямотоком ... текст свёрнут, показать
     
     
  • 9.105, xm (ok), 13:09, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё более внезапно DNS-over-TLS этой прокси-прокладки не требует Равно как и ... текст свёрнут, показать
     
  • 5.76, xm (ok), 17:38, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Для serverside ЕМНИП вообще доп. софт необязателен, потому как тот же unbound поддерживает искаропки.

    Ошибаетесь. Он поддерживает обслуживание запросов, но не работу с ключами. А там подобие DNSSEC/DANE с использованием своего софта.

     
  • 2.93, Аноним (-), 21:50, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чего глупости несем???
     

  • 1.21, Аноним (-), 16:09, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Блет не пойму, днскрипт это лучше или хуже?
     
     
  • 2.25, AnonPlus (?), 16:38, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Блет не пойму, днскрипт это лучше или хуже?

    Хуже тем, что не является стандартом. Стандартизированные решения имеют больше шансов получить в операционных системах реализацию "из коробки", что и произошло.

     
  • 2.30, пох (?), 17:02, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Блет не пойму, днскрипт это лучше или хуже?

    лучше хотя бы тем, что его не навязывает гугль. Но по этой же причине и не взлетит.
    (внутри - такой же в общем треш и п-ц, унесите)

     
  • 2.97, Аноним (-), 21:57, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пока лучше всех вариантов
     

  • 1.22, YetAnotherOnanym (ok), 16:13, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером. Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.
     
     
  • 2.26, AnonPlus (?), 16:40, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Провайдерам нельзя иметь своих абонентов, направляя их трафик на IP-адреса, выбранные провайдером.
    > Только Гуглу и его доверенным организациям можно распоряжаться трафиком андроидовладельцев.

    Видимо, вы невнимательно читали новость. Если текущий сервер, который вы и так уже используете, поддерживает DNS over TLS, то можно включить.

    Никто не заставляет вас прописывать DNS-сервер гугла в настройках.

     
     
  • 3.29, гугль (?), 17:00, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто не заставляет вас прописывать DNS-сервер гугла в настройках.

    да, мы уже давно работаем над тем, чтоб в настройках можно было написать хоть "йа креведко".

    P.S. и нет, вам никто не обещал что в _этом_ месте мы тоже "для большей безопастности" отключим pkp.

     
  • 2.32, vitalif (ok), 18:39, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну это лучше, чем родному ФСБ
     
  • 2.37, Аноним (-), 19:32, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >андроидовладельцев

    Прочитал как "неандертальцев". Проиграл.


     
  • 2.82, Аноним (-), 08:38, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл не поддерживает DNS-over-TLS.
     

  • 1.35, Аноним (-), 19:00, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Следующим шагом надо запретить днс открытым текстом и днс с неодобренными гуглем сертами. Ведь это же для нашей безопасности!
     
     
  • 2.39, Аноним (-), 19:34, 14/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а можно сразу в требованиях к ведровендорам прописать захардкоженные 8.8.8.8 и 4.4.4.4 .
     
     
  • 3.49, Аноним (-), 02:21, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если не можешь запомнить второй днс, то и нефиг писать его, умножая безграмотность.

    8.8.4.4 блин - запомнил?

     
     
  • 4.60, Аноним (-), 09:36, 15/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запомнил.
     

  • 1.42, Аноним (-), 23:21, 14/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пусть хоть 20 шифровальщиков навесят. Попробуй потом снифером трафик словить чтоб отдебажить. Я уже ничем не могу ловить https. О разработчиках не думают. Андроид что-ли пересобирать придется?
     
     
  • 2.89, Аноним (-), 17:16, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    подскажи, что ты разрабатываешь? (что случайно не вляпаться)
     

  • 1.55, Аноним (-), 08:07, 15/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру или гуглу - хорошо когда есть выбор. Но в любом случае все основано на доверии, а доверять нельзя никому т.к. что 8.8.8.8, что 1.1.1.1 - это лишь конторки, которые бесплатно не работают и созданы вовсе не для свободы Интернета. У них свои цели и своя монетизация. Но в целом - хорошо когда есть выбор.
     
     
  • 2.98, Аноним (-), 22:00, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если перед тобой стоит вопрос доверия к провайдеру (!)
    то тебе ничего не поможет ))
     
  • 2.103, xm (ok), 01:03, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы всегда сталкиваемся с проблемами отношений доверия. Кому доверять своему провайдеру
    > или гуглу - хорошо когда есть выбор.

    После внедрения DNS-over-TLS вопрос доверия можно легко решить запустив минуты за 2 в общей сложности на копеечном VPS свой DNS сервер (Unbound + Let's Encrypt) и не парится ни о доверии "корпорациям добра", ни о слушающем вас "товарище майоре".

     

  • 1.72, Аноним (-), 16:09, 15/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Подскажите пожалуйста,что такое TLS,и почему при соединении с любым сайтом моя лиса пишет"рукопожатие с ---.com?Зачем это,если и так все мои сообщения читаются,мои файлы просматриваются.Как это TLS отключить?
     
     
  • 2.88, YetAnotherOnanym (ok), 15:11, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там у лисы на обратной стороне тумблер должен быть.
     

  • 1.87, Аноним (-), 13:59, 16/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А на какой домен генерить сертификат в связве bind и nginx? И что если там на одном айпи много доменов?
     
     
  • 2.99, Аноним (-), 22:03, 16/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что ты там собрался генерить?
    У тебя свой днс-сервер?
     
     
  • 3.110, Аноним (-), 18:43, 19/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, я на все свои сайты свой днс сервер поднимаю.
     

  • 1.109, gaga (ok), 18:03, 18/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы выпилили SNI из коробки, было бы полезнее.
     
  • 1.111, Аноним (-), 13:22, 20/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зашибись. Ещё encrypted sni добавить и пипец. Что провайдерам останется, что б удовлетворять ркн? Блокировка по ip только. Вот радости будет для всех...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру