Следом за Mozilla компания Google сообщила о намерении провести эксперимент для проверки развиваемой для браузера Chrome реализации "DNS поверх HTTPS" (DoH, DNS over HTTPS). В выпуске Chrome 78, намеченном на 22 октября, некоторые категории пользователей будут по умолчанию переведены на использование DoH. В эксперименте по включению DoH примут участие только пользователи, в текущих системных настойках которых указаны определённые DNS-провайдеры, признанные совместимыми с DoH...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51488
Потихоньку догоняют мозиллу, молодцы
мозилла стала лучше за последнее время, мне нравится.
вот бы они на андроид сделали более удобную версию и я бы соскочил с хрома совсем.
>вот бы они на андроид сделали более удобную версию и я бы соскочил с хрома совсем.Без шансов. Разве что с нуля все переделывать.
Есть же Firefox preview. Там пока много чего нет, но уже шустрее.
Да, по сравнению с основной мозиллой сильно шустрее, почти как десктопный стал по скорости. Но вот дополнения! Где они, Билли?
Спасибо,посмеялся ;)
> Потихоньку догоняют мозиллу, молодцыФрагментируют потоки данных. За такое NSA по головке не погладит. Впрочем, вряд ли они всерьез будут ссориться со старым партнером.
В роутере указал DNS от Cloudflare поскольку он самый быстрый для меня из всех доступных, даже быстрее чем dns серверы от гугл, я уж молчу о серверах провайдера (что странно, обычно днс серверы провайдеры быстро отзываются)
Всё хорошо на протяжении трёх лет такой работы, единственное что, так это в настройках андроид устройства при подключении к моей вай-фай сети вручную так же указал DNS от Cloudflare поскольку по умолчанию мой Android 9 упорно пытается использовать днс от гугла.
> В роутере указал DNS от Cloudflare
> Всё хорошо на протяжении трёх лет такой работыКак там в 2021 году? CF dns запущен только в апреле 2018.
Не совсем так. Это анонс тогда был, а реально запустили немного раньше.
Виноват. CF dns я начал использовать с прошлого года, до этого использовал dns от гугла. каюсь
Спалился путешественник во времени, теперь давай выкладывай чего там видел.
I've seen the future, baby
it is murder…
Мне вот интересно, они пишут про защиту от MITM "For example, when connected on a public WiFi, DoH would prevent other WiFi users from seeing which websites you visit, as well as prevent potential spoofing or pharming attacks".Но в настройках держат "https://dns.google.com/dns-query" и резолвят dns.google.com через обычный DNS. Кто мешает при желании совершить MITM подменить сам dns.google.com или создать условия для fallback-а на обычный DNS?
У DoH есть bootstrap IP который тот самый DNS. Да и расскажи каким образом ты подменишь _сертификат_ dns.google.com?
Факторизует n
А типа тот же айпи проспуфить никак?
> А типа тот же айпи проспуфить никак?а затем после этого ещё понадобится "подделать" TLS-сертификат
> а затем после этого ещё понадобится "подделать" TLS-сертификаткоментом выше "Факторизует n"
индусы из империи "добра" косвенно спалились, что занимаются fingerprinting'ом так же и по настроенным у пользователя DNS-серверам. Ну никогда же небыло, и вот опять! Ай-яй-яй.
> по настроенным у пользователя DNS-серверамИ что не могут нормально фингерпринтить Linux, кстати.
Где почитать о этих "косвенно спалились"?
просто лень нам ради ваших 2.6% и еще в каждом васян-дистре по своему.
А есть DoH серверы, не привязанные к гуглу, клаудфларе и прочим компаниям, которые оперируют с передаваемыми данными и могут видеть кому что идёт («облака», хостеры, и т.п.)?
https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-av...
Ну у меня, например, свой работает.
Можете устроить себе в точности такой же.
https://kostikov.co/%D1%81%D0%B2%D0...
Зачем шифровать DNS запросы, если у тебя собственный сервер стоит в локальной сети?
Это другой сервер расположенный за пределами границ высокодуховных стран. Используется при работе за пределами локальной сети поскольку ставить на каждое устройство свой кэширующий DNS с поддержкой DoT чтоб носить его с собой это как-то чересчур, да и не всегда возможно.
Человек спросил про конкретные DoH серверы, а ты ему посоветовал поднять свой. Собственно, мой вопрос к этому относился.
Говорю чисто конкретно. Если и использовать DoH, то только на своём сервере.
Выбери что круче!Клаудфлэйр или Роскомнадзор?
https://www.opennet.ru/opennews/art.shtml?num=46944
Зато РКН не может, а вот клаудфлэир сможет, и еще как...во имя всеобщего блага конечно, но все же
Кто-то должен ради всеобщего блага и в Гуантанамо отправиться. И без помощи CF этих добровольцев не найти.
> в Гуантанамо отправиться.Не, уж лучше на родные Соловки, конечно.
Пускай уж лучше товарищ майор позаботится, чем эти проклятые буржуины.
И кстати, Богатов уехал:
https://tjournal.ru/news/116382-uznik-tor-matematik-bogatov-...
Видимо, работодателю всё же надоела удалёнка, и он оплатил релокацию.
Эскобар.
Не пойму, нафига и в DNS тащить HTTP? Почему не DNS over (D)TLS?
Сам об этом в первую очередь задумался. Хипстеры какие-то
Нет бы поставить чтобы включали этот режим, а они тупо всем подрубают, по логике - дураков больше.пс: мораль одна, не пользуйтесь всякой дичью "популярной"
Вероятно единообразие трафика, блокировать тяжелее. К тому же через http прокси будет работать.
А что такое прокси? Для любого протокола существует понятия прокси и МИТМа
Предлагаете сделать в браузере поддержку нового прокси, в настройках добавить параметры настройки для этого прокси, а конечным потребителям ещё и найти правильный прокси-сервер (не говоря уж о том, чтоб научиться всё это настраивать)? Только для резолва доменов? Это при том, что в конторах бывает выход наружу только через http(s)-прокси?Может всё же лучше, чтоб везде само работало через уже настроенный прокси?
> Предлагаете сделать в браузере поддержку нового прокси, в настройках добавить параметры
> настройки для этого прокси, а конечным потребителям ещё и найти правильный
> прокси-сервер (не говоря уж о том, чтоб научиться всё это настраивать)?нет не предлагаю, "К тому же через http прокси будет работать." автор этого комента предлагал.
> Может всё же лучше, чтоб везде само работало через уже настроенный прокси?
конечно лучше, когда все работает из коробки.
Он про то, что в обычном случае можно юзать только либо системный DNS, либо DNS от SOCKS-прокси, в случае же, когда в браузер встроен DoH-ресолвер, есть потенциальная возможность и этот трафик направить через HTTP-прокси (которые ничего кроме HTTP(S) и, вроде, FTP, проксировать не умеют).
> Он про то, что в обычном случае можно юзать только либо системный
> DNS, либо DNS от SOCKS-прокси, в случае же, когда в браузер
> встроен DoH-ресолвер, есть потенциальная возможность и этот трафик направить через HTTP-прокси
> (которые ничего кроме HTTP(S) и, вроде, FTP, проксировать не умеют).а я имею ввиду, что любой такой протокол можно проксировать и МИТМить
DoT/DoH митмить вряд ли выйдет
> Не пойму, нафига и в DNS тащить HTTP? Почему не DNS over (D)TLS?а чего ты так разволновался?
оверхед только при запросе первого DNS-адреса.
а дальше я-надеюсь-хватит-ума-инженерам HTTPS-сессия будет держаться открытой и следущие DNS-запросы (DoH-запросы) будут уже без лишних рукопожатий
Сессия должна быть далеко не одна. Современные сайты подтягивают кучу всяких трекеров типа google-analyics и facebook-button. Скорее всего, при подключении к разным сайтам sidecar-сессии не будут шариться, придётся их каждый раз заново открывать.
> а чего ты так разволновался?"Чебурашко" же опасносте.
> а дальше я-надеюсь-хватит-ума-инженерам HTTPS-сессия будет держаться открытой и следущие
> DNS-запросы (DoH-запросы) будут уже без лишних рукопожатийНу так HTTP/2 же. Но оверхед там в разы в сравнении с обычным DNS трафиком.
> Не пойму, нафига и в DNS тащить HTTP? Почему не DNS over (D)TLS?Потому что DoT с бОльшей вероятностью будет поддержан "обычными" DNS-провайдерами. Преподнося DoH под соусом чего-то секьюрного и приватного они обманом пререманивают пользователей на свои сервисы. Ну а что делать с инфой о твоих DNS-запросах гугл знает! Можно использовать для формирования твоей персональной поисковой выдачи и рекламы, можно продавать, вместе с другими данными спецслужбам - что угодно.
Ей богу, лучше уж провайдеру эту инфу сливать (лучше, конечно, никому). Провайдер никак не повлияет на персонализацию выдачи поисковиков и на рекламу. Передавать майору может, но только майору твоей родной страны, и это будут только данные DNS запросов, которые без прочей инфы, доступной, например, гуглу имеют очень мало смысла. Всё хоть сколько-то стрёмное с точки зрения конфликта с властями всё равно живёт в даркнетах, чтобы порезолвить скрытые ресурсы DNS не нужен.
Эксперты опеннета задрали со своими конспирологическими теориями, какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнее, уже вон даже Adguard Home поддерживает функцию DoH-сервера, т.е. поднять свой DoH-сервер может любой домохозяин через удобный интерфейс, не говоря уже о провайдерах...При этом, получаем плюс в виде неотличимости DNS-трафика от трафика обычных сайтов, DPI в пролёте.
> \какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнееРазница существенная. В случае с DoH надо будет "учить" весь клиентский софт, во-первых, собственно, самому DoH (не завязанные на веб приложения типа мессенджеров и т.п. прямо мечтают втянуть HTTP в свой код, ага), в, во-вторых, использовать сервер провайдера.
В случае с DoT достаточно чтобы локальный ресолвер его умел.
> В случае с DoT достаточно чтобы локальный ресолвер его умел.А в случае DoH почему не достаточно? Вон dnscrypt 2 поддерживает DoH (а DoT кстати не поддерживает и автор говорит, что протокол хуже и не имеет смысла добавлять). Ставишь в систему и весь днс трафик всего софта зашифрован с помощью DoH.
Разницы нет. Старые операционные системы не умеют оба, новые могут реализовать оба, отдельные локальные резолверы могут уметь оба. Но зато у DoH есть оптимизирующие плюшки http/2 (и потенциально будущих протоколов) и идентичность https трафику. А у DoT есть только перспективы будущих tls, отдельный порт, который можно заблокировать, и отличие от массового https трафика.
Потому что DoH это не про DNS, а про HTTP, и ему не место в DNS ресолвере, а место где-то в районе middleware веб-сервера.
Единственное (на самом деле мнимое) преимущество DoH это его маскировка под HTTPS. А дальше сплошные минусы, как то фактический отказ от децентрализации DNS (на стороне клиента) и привязка его к одному источнику данных, оверхед как с точки зрения инкапсуляции в текстовый протокол с кратным ростом трафика, так и, собственно, накладные расходы на сопутствующие конверсии, и, самое главное, это то, что таки требуется HTTP как транспорт. По поводу "оптимизирующих плюшек", если вы ознакомитесь со спецификацией DoT, то увидите что там, например, есть тот же TLS session reuse, а прочие вещи из HTTP/2 типа сжатия данных для пакетов DNS вообще не нужны - они в бинарном формате и весьма компактны, в том числе, и за счёт компрессии имён хоста.
dnscrypt считаю классическим примером оверинжениринга который теперь уже, и слава богу, окончательно пора закопать. Да и живым он, собственно, никогда и не был.
> как то фактический отказ от децентрализации DNS (на стороне клиента) и привязка его к одному источнику данныхА при чем тут протокол? Это к реализации относится. Я могу системный DoT направить к гуглу (что в новом андроиде и есть), чем не централизация? Разве что провайдеру или владельцу вайфая легче заблокировать и вынудить юзать его днс без шифрования (хотя по дефолту и популярные публичные DoH-сервера не трудно забанить, на похожести с https выигрывают личные сервера).
А DoH в софте мог бы по дефолту иметь специальный домен, перед CFшным, а на первый резолв обычным днс провайдер отдавал бы свой ип, дальше софт стучится по http, там отвечают редиректом на домен с шифрованием уже, с которым и пойдет DoH трафик. Выйдет примерно та же безопасность и секьюрность, что с DoT. Но это никому не нужно, ведь проще DoH сделать с проверкой специального домена use-application-dns.net в начале, чтобы провайдер мог отключить DoH для дефолтных клиентов firefox. А в гугле еще проще решили, просто апгрейдить протокол к публичным днс, который выбрал юзер. Стояли восьмерки, получил шифрование до гугла. Если у юзера провайдерский днс, то останется на открытом днс.> Потому что DoH это не про DNS, а про HTTP, и ему не место в DNS ресолвере, а место где-то в районе middleware веб-сервера.
Модель osi мертва. От искусственного разделения уровней отказались, ни у кого нет места и неместа, где всунули, там работает. Придет http/3 и окончательно сломает этот культ расовой^W уровневой чистоты. https://blog.apnic.net/2017/12/12/internet-protocols-changing/
>> \какая разница, поднимать провайдеру DoT или DoH? DoH поднять будет не сложнее
> Разница существенная. В случае с DoH надо будет "учить" весь клиентский софт,
> во-первых, собственно, самому DoH (не завязанные на веб приложения типа мессенджеров
> и т.п. прямо мечтают втянуть HTTP в свой код, ага), в,
> во-вторых, использовать сервер провайдера.
> В случае с DoT достаточно чтобы локальный ресолвер его умел.Мы говорим про провайдеров или кого? Провайдеру должно быть, пофиг, что там у людей на клиентской стороне - хоть огнелис, хоть dnscrypt-proxy.
Не знаю, зачем ты хочешь кого-то чему-то учить, когда уже есть общесистемные DoH-ресолверы, осталось только DHCP модернизировать для раздачи адресов DoT/DoH-серверов
> При этом, получаем плюс в виде неотличимости DNS-трафика от трафика обычных сайтов, DPI в пролёте.В текущей ситуации или в будущем? Просто на днях эксперименты ставил с одной железкой. Не совсем умной, но всё же. Мозилка просто отказалась все сайты открывать. Потому что DOH был порезан установкой на железке. Конечно надо обновляемые списки сайтов иметь, но тут даже DPI не очень нужен.
РКН вроде уже блокирует:
http://isitblockedinrussia.ru/?host=mozilla.cloudflare-dns.com
Эти умники его по одному ип блокируют что-ли? Решение от 13 года. Дичь какая-то.
Попробуй порезать DoH гугла без бана самого гугла
> Эксперты опеннета задрали со своимиОставь его. Ему повсюду мерещится, что мозилла всё сливает то клаудфлеру, то гуглу. Этот толи пхп-шник, толи девопс в упор не хочет читать про десятки других бесплатных dns. Видимо у него так бомбит от того, что роисся-ливер-органы уже очень скоро начнут тyнца лизать, что аж кушать не может. :-)))
Вы тут про скумбриевых ванхуете с 14 года, а оно всё никак не настает. Только у вас згада-пегемога непрерывная.
Те, кто умеют читать про "десятки других бесплатных DNS" и так выберут что-то отличное от гугла/cf. Речь исключительно про то, что дефолты более не нейтральны (в FF, в хромом пока нейтральны).Придумать причину, по которой власти любой страны не смогут перебанить запросы в 443 порт этих "других бесплатных DNS" (на самом деле, DoH провайдеров) я не могу.
И что ты выберешь, когда за тебя поставят нужный не спрашивая. Потом напишут что автоматика не в ту сторону сработала
По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях. Если пипл массово схавает DoH через сервера принадлежащим этим дядям (а Google, как я вижу, других вариантов, в отличие от Mozilla, пока не предлагает), то задача будет решена.
В любом случае, массово внедрять надо DoT в связке с DNSSEC/DANE.
> По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях.Мне вот интересно, что должно быть в голове у человека, который УЖЕ использует ГУГЛ браузер, вводит в него все свои урлы, логины, пароли и прочую мнформацию, но не желает использовать гугловый dns, потому, что Гугл может узнать, что же он такого резолвит в Гугл браузере...
Вам в Кащенко, господа :-)))
>> По сути данные из DNS до сих пор были не вполне окучены большими дядями в качестве источника информации от пользователях.
> Мне вот интересно, что должно быть в голове у человека, который УЖЕ использует ГУГЛ браузер, вводит в него все свои урлы, логины, пароли и прочую мнформацию, но не желает использовать гугловый dns, потому, что Гугл может узнать, что же он такого резолвит в Гугл браузере...Мозги?
Chromium - опенсорсный продукт и внедрять в него очевидные закладки глупо и уничтожительно для репутации. Очевидные закладки не очень умно добавлять и в Chrome - за ним следят достаточно пристально и стоит лишь раз облажаться - будут смеяться и показывать пальцем. Примерно как в этой истории - https://habr.com/ru/post/416219/ (не про гугл).
Поэтому, для слива данных используется всякий safe browsing и аналогичное. Но люди поумнее выключают это - неуспех. А DoH - это то, что озабоченые приватностью, но не очень грамотные хомячки побегут включать САМИ.Очень, кстати, симптоматично, что ты пишешь гугл с заглавной буквы.
Короче, если есть мозги - используйте DoT, а не DoH.
>[оверквотинг удален]
> Chromium - опенсорсный продукт и внедрять в него очевидные закладки глупо и
> уничтожительно для репутации. Очевидные закладки не очень умно добавлять и в
> Chrome - за ним следят достаточно пристально и стоит лишь раз
> облажаться - будут смеяться и показывать пальцем. Примерно как в этой
> истории - https://habr.com/ru/post/416219/ (не про гугл).
> Поэтому, для слива данных используется всякий safe browsing и аналогичное. Но люди
> поумнее выключают это - неуспех. А DoH - это то, что
> озабоченые приватностью, но не очень грамотные хомячки побегут включать САМИ.
> Очень, кстати, симптоматично, что ты пишешь гугл с заглавной буквы.
> Короче, если есть мозги - используйте DoT, а не DoH.Здрасти-приехали
https://spyware.neocities.org/articles/chrome.htmlХоть бы загуглил перед тем, как включать Шерлока (неудачно)
> Здрасти-приехали
> https://spyware.neocities.org/articles/chrome.html
> Хоть бы загуглил перед тем, как включать Шерлока (неудачно)Удачно.
Срывы покровов, в духе "если вы печатаете в search bar, то все нажатия попадают в гугл" или "если вы пользуетесь хромом и залогинены в гугле, то ай-ай-ай". Всё это выключается, как пресловутый safe browsing.
Я сейчас ещё страшную тайну открою: если вы используете поисковик от гугла, то они знают ваши поисковые запросы! Да-да - вы не поверите!Ну да, проще использовать chromium/iridium/firefox (во всех трёх случаях таже надо будет отключать всякие службы, активно стучащие на тебя или потенциально могущие это делать). А DoH - это то, что будут включать добровольно. В то время, как ума отключать "suggestions" и не логиниться в гугл у тех, кто беспокоится о приватности ума обычно хватает.
>[оверквотинг удален]
> Срывы покровов, в духе "если вы печатаете в search bar, то все
> нажатия попадают в гугл" или "если вы пользуетесь хромом и залогинены
> в гугле, то ай-ай-ай". Всё это выключается, как пресловутый safe browsing.
> Я сейчас ещё страшную тайну открою: если вы используете поисковик от гугла,
> то они знают ваши поисковые запросы! Да-да - вы не поверите!
> Ну да, проще использовать chromium/iridium/firefox (во всех трёх случаях таже надо будет
> отключать всякие службы, активно стучащие на тебя или потенциально могущие это
> делать). А DoH - это то, что будут включать добровольно. В
> то время, как ума отключать "suggestions" и не логиниться в гугл
> у тех, кто беспокоится о приватности ума обычно хватает.Если бы это было так, но это не так, например:
> Google Chrome records your voice
> It's unverified wether or not Google uploads information it listens too to its servers outside of this feature.И не говоря уже об этой неотключаемой функции:
> Google Chrome profiles users in other various ways
> According to the privacy policy[1], Google Chrome profiles what kinds of web forms you fill out, as well as what kind of language the content you consume is primiarily in. Google Chrome also creates a unique identifier for each install you do. This unqiue identifier is sent to Google whenever you start the browser, so that Google can create a consistent user identity for you, unermining anonymity. Google also stores all of your settings on it's offical servers when using the "Google Accounts" feature.В конце концов: если бы это все было отключаемо, смысл создавать форк ungoogled-chromium?
> В конце концов: если бы это все было отключаемо, смысл создавать форк ungoogled-chromium?Я не говорю, что chrome совсем не занимается слежкой, я говорю, что там нет очевидных закладок. Типа как в примере по ссылке (советую погуглить на счёт того события - познавательно).
Там именно пример функционала, который втайне от пользователя сливал данные о посещённых сайтах.Слив всех доменов в DNS гугла - аналогичное по смыслу мероприятие. Голос оно не запишет, да. И не пытается даже. А вот проблему отключённого safe brosing'а (условного) решит и будет сливать посещаемые сайты в гугл.
> Я не говорю, что chrome совсем не занимается слежкой, я говорю, что
> там нет очевидных закладок.Действительно, мой парсер не так интерпретировал.
>> Я не говорю, что chrome совсем не занимается слежкой, я говорю, что там нет очевидных закладок.
> Действительно, мой парсер не так интерпретировал.Ну, я тоже не определил достаточно хорошо, что такое "очевидная закладка", справедливости ради.
С мыслью, "если ты беспокоишься о приватности - не надо использовать chrome" я всецело согласен. Но это не повод к имеющимся там функциям по сливу твоих персональных данных добавлять ещё одну.
> а Google, как я вижу, других вариантов, в отличие от Mozilla, пока не предлагаетМм, вроде же Mozilla предлагает cloudflare по умолчанию, а гугл играет в свободу выбора?
С прочим всецело согласен. Особенно с:
> В любом случае, массово внедрять надо DoT в связке с DNSSEC/DANE.
> вроде же Mozilla предлагает cloudflare по умолчанию, а гугл играет в свободу выбора?Mozilla предлагает возможность заменить его на любой другой, а Google, насколько я понимаю, реализовать это столь же простым способом, не предоставляет.
> а Google, насколько я понимаю, реализовать это столь же простым способом, не предоставляет.Понял о чём ты. Странно кстати. Но, судя по тексту новости, ты прав. Не знаток хрома, проверять слегка лень.
> Не знаток хрома, проверять слегка леньТам, вроде, через какие-то недокументированные ключи можно что-то настроить, но мне тоже впадлу его ковырять. Firefox устраивает более чем, а на мобильниках у нас DoT насроен на свой DNS (там же и личный DoH живёт, кстати, чтоб два раза не вставать).
Именно. Плюс в винде и в том же ГНУ-системдос есть свои кеширующие днс сервера. И как правило запрос к днс будет осуществляться лишь раз в период указанный для данной зоны. Что нередко бывает от 12ч до суток. Что ты там наанализируешь с такой частотой запросов?А если еще и коробочка с кеширующим днс в качестве домашнего сервера, то количество запросов от остальных устройств стремительно сократиться. Это еще не дошли до hosts и прочих rejik и банерорезалок. А как там будет работать это хипстерское поделие - большой вопрос. Будет ли оно вообще резольвить hosts, как быть с локальными доменами? Сейчас настройка есть, но как только добрый гугл подумает за сирых и убогих и решит все делать автоматом тут-то и начнется интересное.
> Ей богу, лучше уж провайдеру эту инфу сливать (лучше, конечно, никому). Провайдер никак не повлияет на персонализацию выдачи поисковиков и на рекламу.Смотря где и какой провайдер.
В США не исключено, что кликстрим сливается и у провайдера.
> Провайдер никак не повлияет на персонализацию выдачи поисковиков и на рекламу.вообще-то - пытались. Забыл уже как называется та херня. Идея ж блестящая (кстати, https с прекрасным sni от нее не защищает) - раз у нас все равно есть для товарищмайора врезка в твой канал с де-анонимизацией и детальным сливом твоего траффика - чего бы тот же спан не использовать и еще с одной интересной целью - посмотреть роботом сразу же за тобой тот же урл (сайт, если достался только sni) - вдруг там чего интересное для товарищмайора, ну или для продажи рекламодателям, мы не жадные, можем и два раза продать. dns, как ты сам понимаешь, тут был излишен.
Но с такими провайдерами разговор короткий - увидел следом за собой заход с demdex'овых серверов - досвидос, за те же деньги еще три в очереди стоят с кабелем наперевес.
А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и не будет.
> посмотреть роботом сразу же за тобой тот же урл (сайт, если достался только sni) - вдруг там чего интересное для товарищмайора, ну или для продажи рекламодателям, мы не жадные, можем и два раза продать. dns, как ты сам понимаешь, тут был излишенКстати да, спасибо. Я и забыл про такое.
> досвидос, за те же деньги еще три в очереди стоят с кабелем наперевес.
Ну да.
> А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и не будет.
Хотелось бы, чтобы ты ошибался. Но, в целом, я тут тоже скорее пессимист.
>[оверквотинг удален]
> же спан не использовать и еще с одной интересной целью -
> посмотреть роботом сразу же за тобой тот же урл (сайт, если
> достался только sni) - вдруг там чего интересное для товарищмайора, ну
> или для продажи рекламодателям, мы не жадные, можем и два раза
> продать. dns, как ты сам понимаешь, тут был излишен.
> Но с такими провайдерами разговор короткий - увидел следом за собой заход
> с demdex'овых серверов - досвидос, за те же деньги еще три
> в очереди стоят с кабелем наперевес.
> А вот другого, не принадлежащего гуглофлари интернета - к сожалению, нет и
> не будет.imarker?
Майор твоей родной страны может прийти к тебе в гости со своими сослуживцами - поэтому пусть лучше будет майор другой страны.
> Майор твоей родной страны может прийти к тебе в гости со своими сослуживцами - поэтому пусть лучше будет майор другой страны.Прийти может. Только слив провайдером одних лишь DNS-запросов очень с малой вероятностью может послужить причиной этого. А что там кому готовы продавать google/cloudflare, у которых знаний о тебе несколько больше - проверять, как мне кажется, не очень интересно.
Проще говоря, если "майор" - это не пустая паранойя, а чем-то обоснованные опасения, доверять можно только себе. И то, через раз. Но точно не коммерческим компаниям.
У меня в тестах dot работал раз в 10 медленнее doh.
Для такого результата что-то должно было быть сделано исключительно неправильно.
> Если в настойках DNS у пользователя будет указан один из вышеупомянутых DNS-серверов...А как эта херь узнает, чтó у меня в настройках DNS?
> Эксперимент по включению DoH будет проведён на всех поддерживаемых в Chrome платформах, за исключением Linux и iOS из-за нетривиальности разбора настроек резолвера и ограничения доступа к системным настройкам DNS.Никак. Особенно если стоит локальный кэширующий резолвер типа resolved или undound.
> Никак. Особенно если стоит локальный кэширующий резолвер типа resolved или undound.При их наличии, особенно если запросы дальше уходят через DoT, этот велосипед (DoH) и не нужен. Делайте правильный выбор.
Не хочу расстраивать, но
busctl get-property org.freedesktop.resolve1 /org/freedesktop/resolve1 org.freedesktop.resolve1.Manager DNS
На виндах и маках через системный API, на линуксах не осилили, как видно из новости.
> OpenDNS (08.67.222.222,правильно: 208.67.222.222
> Следом за Mozilla компания Google сообщила о намерении провести эксперимент для проверки...
> Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51488Cпиcок, пpaвильныx рecoлвepoв пpилaгaeтcя , peгиcтpируйте домены - только на пpaвльныx cepвepах !
Прелестно. Теперь IE будет основным в корпорацих, которые сами хотят решать какой трафик позволять внутри организации.
Там будет тот же хромой, только под личиной нового еджа. Что в этом такого?
Ну и пусть страдают.
Ахаха. Надо только посмотреть насколько новый едж реактивен и приятен, за исключением нескольких багов. Страдать начинают пользователи других браузеров. Даром что на хромом сделан, но шустрее намного.
> Ну и пусть страдают.Страдает кто? Это мамкины админы локалхостов, у которых только свой комп, не понимают что такое локальные или сетевые политики безопасности. А когда надо следить за десятками пользователей, каждый из которых любит понаставить себе непонятных расширений или лазать по непонятным сайтам, тогда понимаешь как важна возможность запрещать что-либо пользователям.
Для России скоро все эти DNS-over-HTTPS будут не актуальны
Минкомсвязи при поддержке ФСБ поставило операторам, производителям и разработчикам IT-систем задачу по составлению проекта использования закона о «суверенном интернете».
Пруфы давай, да?