The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Запущен новый этап тестирования DNS поверх HTTPS в Firefox, opennews (ok), 28-Ноя-18, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


6. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (6), 28-Ноя-18, 11:14 
Как бы помягчьте сказать ... DNS юзает не только браузер.
Ответить | Правка | Наверх | Cообщить модератору

8. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (8), 28-Ноя-18, 11:19 
Да. Что сказать то хотели?
Ответить | Правка | Наверх | Cообщить модератору

9. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (-), 28-Ноя-18, 11:25 
1. Основная часть конфиденциальных днс-запросов это именно браузер. Резолвы клиента стима сильно хочется шифровать?
2. ОСям никто не мешает реализовывать нативную поддержку. Вон, последний андроид уже умеет. Но ждать люди будут 10 лет. Независимо от того, что будет делать мозилла.
3. Что тебе не нравится и что ты хочешь от мозиллы в этом плане?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от Аноним (11), 28-Ноя-18, 11:42 
Вот именно в случае браузера DoH добавляет мало конфиденциальности: имена видны в самих https запросах.
Ответить | Правка | Наверх | Cообщить модератору

13. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +4 +/
Сообщение от Аноним (-), 28-Ноя-18, 11:50 
Ты не пробовал подумать на 1 шаг вперёд? Или хотя бы логику включить?
Смотри, на данный момент (условно) мы имеем два слива: DNS и SNI. И ты тут такой говоришь, что какой смысл фиксить x, если остался y. Или какой смысл фиксить y, если остался x. Это смешно, лол. Внедрять надо оба, в любом порядке. И именно это делается. ESNI уже тоже есть и работает.
Более того, зырнуть в открытый днс попросту технически легче, чем в сертификат сервера (в TLS 1.2, в 1.3 он уже шифрован) или нешифрованный SNI. Так что даже если бы ESNI ещё не был готов к стандартизации, шифрование dns уже лучше чем ничего.
Ответить | Правка | Наверх | Cообщить модератору

21. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от нах (?), 28-Ноя-18, 12:41 
иксперды опеннета такие иксперды...

sni отправляет имя твоего порноресурса открытым текстом без всякой ненужной сложности, "посмотреть" на него может почти любой васян, освоивший вайршкварк (я бы сказал 'любой', но вот ты, как выясняется, не можешь, бредишь какими-то сертификатами сервера), но есть один ньюанс - он должен как-то уметь перехватить твой траффик.

(причем эта технология a) вредная b) ненужная c) стоило бы внимательно посмотреть, что за люди вообще ее пропихнули в стандарты, и, на всякий случай, проверить что они еще понапропихивали.)

но вместо этого мы будем городить dns-over-tls чтоб никто не догадался, кому именно принадлежат те dns-прокси и зачем их владельцы пошли на такие затраты.

наивные детишки вроде тебя будут счастливы слить помимо васяна еще и клаудфлейру все свои секретики. Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

Ответить | Правка | Наверх | Cообщить модератору

35. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от dimqua (ok), 28-Ноя-18, 14:14 
> Причем васян-то существует только в их фантазии, зато клаудфлейр существует вполне себе в материальном мире.

А по-твоему, других провайдеров кроме Cloudflare не существует?

Ответить | Правка | Наверх | Cообщить модератору

47. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от нах (?), 28-Ноя-18, 16:48 
для типового опеннетчика - нет, не существует. Для сильно продвинутого - ну да, еще же и гугль ;-)

Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища, а не случайному мимокрокодилу (которому меньше всего, пожалуй, интересны имена сайтов)?

У тех кого на самом деле волнуют такие вещи-то, давно, полагаю, настроен криптотуннель подальше от товарищмайоров, без всяких модных openрешет, встроенных в браузер. Но вот они-то могут теперь лохануться, забыв отключить стопиццотую "очень полезную фичу", ага.

Вот выпилить sni - задача куда посложнее, в современных браузерах она решения, imho, не имеет (поскольку они давно разучились модальным диалогам, и им просто негде будет переспрашивать подтверждения)

Ответить | Правка | Наверх | Cообщить модератору

61. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от dimqua (ok), 28-Ноя-18, 18:20 
> Мы ведь все еще о людях, которым зачем-то хочется сливать свою информацию целенаправленно в бездонные bigdataхренилища

А разве эти люди не сливают её сейчас все тем же Google и Cloudflare? Так хоть будут сливать исключительно им, если eSNI таки получит распространение.

Ответить | Правка | Наверх | Cообщить модератору

69. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от пох (?), 28-Ноя-18, 20:06 
> А разве эти люди не сливают её сейчас все тем же Google и Cloudflare?

ну, очевидно же, не в полном объеме - особенно cloudflare, которая на этом рынке догоняющая.

> Так хоть будут сливать исключительно им, если eSNI таки получит распространение.

на _их_ серверах - безусловно получит. другим не должно достаться нахаляву то, за что тут уполчено.

поинт-то в другом, если кто не заметил - sni технология ненужная и вредная в принципе, ни один уважающий себя сервис на нее не полагается, а наличие на другой стороне не того сертификата должно вызывать как минимум нежелание отдавать ей данные карты, поскольку даже если он честный - данные очевидно доступны третьим лицам.

esni, всунутый по самые гланды в принудительном порядке, лишит вас даже теоретической возможности это вовремя заметить.

Ответить | Правка | Наверх | Cообщить модератору

65. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от анон (?), 28-Ноя-18, 19:12 
Ростелеком, например, корпорация, а не мимикрокодил. П
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

70. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от пох (?), 28-Ноя-18, 20:06 
ростелекому твои котики даром не нужны.
Ответить | Правка | Наверх | Cообщить модератору

76. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (76), 28-Ноя-18, 20:44 
CleanBrowsing ещё)
https://cleanbrowsing.org/dnsoverhttps
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

36. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +3 +/
Сообщение от Колюня (?), 28-Ноя-18, 14:54 
Таки погугли ESNI
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

49. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от нах (?), 28-Ноя-18, 16:54 
твой esni - это точно такой же оверинжиниренный ненужно-мусор, как и doh.

sni ненужен. Ни e, ни обычный.
Нужно выводить предупреждение каждый раз, как в ответ вместо сертификата запрошенного сервера вылезло мурло клаудфлари.

но современные мартышки, др...щие на модные фишки, во-первых, на такие сложные изменения неспособны, во-вторых все равно не поймут.

Ответить | Правка | Наверх | Cообщить модератору

55. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от OldFart (?), 28-Ноя-18, 17:45 
Согласен со всеми вашими предыдущими мыслями, но не с этим: "sni ненужен. Ни e, ни обычный."
Без SNI  на каждый сайт надо будет иметь или выделенный IP или хостать его на другигих портах в случае исползования SSL, что не есть практично (и не экономично). С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL сертификат
Ответить | Правка | Наверх | Cообщить модератору

58. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (58), 28-Ноя-18, 18:06 
Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего оратора вполне может пожертвовать доступом к таким сайтам ради своей иллюзорной приватности в общественном туа^Wинтернете
Ответить | Правка | Наверх | Cообщить модератору

105. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 29-Ноя-18, 14:52 
> Никто не сомневается, что sni полезен хостерам, но параноик вроде предыдущего оратора вполне
> может пожертвовать доступом к таким сайтам

а я не хожу по "таким" сайтам. А на сайте, где ssl - ради удовлетворения гуглошантажистов - нажму ok, понимая, что никакой безопасностью тут и не пахнет.
Сайт рашкованского "интернет-магазина" накормлю именем иван петров и мобилой специально для таких - все равно они кредитные карты ниасилили (если и асилили - через платежную прокладку, у которой все в порядке, и на ее серверах никого левого нет,данные карт тырят только честные люди, ее сотрудники), и будут "перезванивать", по другому работать не умеют. А вот продать твой номер или проиметь его спаммерам - умеют.

Ответить | Правка | Наверх | Cообщить модератору

72. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от пох (?), 28-Ноя-18, 20:12 
> Без SNI  на каждый сайт надо будет иметь или выделенный IP

да. На каждый сайт, где шифрование - по делу, а не в попытках удовлетворить гугля.
Потому что иначе, повторяю, твой ssl превращается в тыкву.

ну то есть можно и не иметь - в предположении что у тебя есть браузер доисторической эпохи, умеющий внятно, на человеческом языке вывести предупреждение. И дальше ты уже глазами смотришь - кто там живет, и думаешь. зачем он вместо того за кем ты пришел.

> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
> сертификат

только смысла в этом не будет никакого.

ну кроме прямого обмана пользователя - в свойствах "эта страница защищена шифрованием, сертификат принадлежит уважаемая-компания", а на практике - он слит клаудфлейру, и все твое шифрование кончается на их проксилке. Что, подчеркиваю, не факт что плохо. но хотелось бы об этом знать заранее.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

77. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Анонимус2 (?), 28-Ноя-18, 20:59 
В итоге без SNI адрес сайта к которому твой браузер обращается определяется тривиально - нужно просто установить соединение и посмотреть какой сертификат отправил сервер. А блокировать сайты без sni вообще отлично.
Ответить | Правка | Наверх | Cообщить модератору

119. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 19:14 
> В итоге без SNI адрес сайта к которому твой браузер обращается определяется
> тривиально - нужно просто установить соединение и посмотреть какой сертификат отправил
> сервер.

так cloudflare же ж! ;-)

сессия останется зашифрованной. просто пользователь будет в курсе, что его не видит товарищ майор, зато видят те, кто вполне могут продать товарищ-майору.

что ж в этом неправильного-то?

А там где security is the issue - так там в любом случае не может быть никакого sni. sni не средство обхода блокировок, это средство улпрощения слежки.

Ответить | Правка | Наверх | Cообщить модератору

79. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Гентушник (ok), 28-Ноя-18, 21:09 
>  а на практике - он слит клаудфлейру

Но ведь SNI использует не только cloudflare.
Есть огромная куча дешёвых shared-хостингов, где можно прикрутить TLS и не раскошеливаться на отдельные IP.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

94. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 29-Ноя-18, 07:04 
> Но ведь SNI использует не только cloudflare.

естественно
> Есть огромная куча дешёвых shared-хостингов, где можно прикрутить TLS и
> не раскошеливаться на отдельные IP.

именно - и превратить твою секьюрить в тыкву может уже не только cloudflare, которая все же данные крединых карт воровать вряд ли станет, у них другие цели и, скорее всего, они не намерены делиться со своими индусскими сотрудниками, а и грошовый админ урюпинского шаредхостера, и соседний по шареду васян, ломанувший тот хостинг.

или даже не ломанувший, а просто данные кредиток лежат в файлике creditcards.txt с пермишнами 777 (они где-то прочитали что это самые надежные, точно все будет работать), или пароль от базы с ними где-то в таком же config.php, и дамп ее рядышком лежит.

а если там вся секьюрить только ради шантаж гугля удовлетворить - то и пофиг тебе, что сертификат вылезет шаредхостера - при условии что ты умеешь это прочитать и понять, а не пустая страница-полная-неведомой-фигни, как это сейчас принято, без кнопки "продолжить".

то есть работа браузеров без этой ненужно-фичи намеренно и очень основательно сломана лет семь назад, ты не можешь ее отключить никакими силами.

Ответить | Правка | Наверх | Cообщить модератору

92. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 29-Ноя-18, 01:27 
>> Без SNI  на каждый сайт надо будет иметь или выделенный IP
> да. На каждый сайт, где шифрование - по делу, а не в
> попытках удовлетворить гугля.
> Потому что иначе, повторяю, твой ssl превращается в тыкву.

SSL шифрование в тыкву не превращется (если конечно сисадин не подсадил в браузер свой доверенный рут сертификат и декодирует все на файрволе).
Гугл под видом того что он волнуется за приватность и так давно удовлетворен без SNI, любой выданный сертификат на (суб)домен находится у них в certificate transparency database доступный кстати кому попало. Кстати привязка SSL только к однлму ИП идентифицирует значительно лучше, чем если на одном ИП навешенно куча SSL хостов


>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>> сертификат
> только смысла в этом не будет никакого.

Как это не будет ? Выделенный ИПшник стоит не так уж и дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках и ВПС-ах где можно за 3 бакса отмазаться разово, но при этом свято доверять что в клаудном серваке никто не лазит со стороны хостера), а для любого нормального домена надо как миниум 3 сертификата, на сайт, на емэил сервак, на веб мэил сидящем в субдомене

SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров не избежать...

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

120. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 19:32 
>>> С SNI на одном ипишнике можно навешать кучу веб сайтов и у каждого будет свой собственный SSL
>>> сертификат
>> только смысла в этом не будет никакого.
> Как это не будет ? Выделенный ИПшник стоит не так уж и

банально - раз на одном ip живет куча сайтов с разными сертификатами вместо wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно, shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.

> дешево, от $3-15/month (если конечно не брать обезличиные /32 на дедиках

у меня <$1, что я делаю не так? Необезличенный с отметкой в райпе еще дешевле, но там, понятно, от /28, не надо мне столько на один ящик, дохлые они у меня, а распределять их нельзя.

> и ВПС-ах где можно за 3 бакса отмазаться разово, но при
> этом свято доверять что в клаудном серваке никто не лазит со
> стороны хостера), а для любого нормального домена надо как миниум 3

я вот побыл тут надысь тем хостером - понадобилось при смене работы забрать все нажитое непосильным трудом. И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.

Ну можно, конечно, бэкап-софтом воспользоваться, через специфический api утащить образы дисков - но тебе понадобится овердофига места (потому что чтобы порыться, образ таки надо иметь в развернутом виде) и овердофига времени и пропускной способности, если ты не за конкретным клиентом приходил, а пытаешься шпионить за всеми (и обломаться об encfs). И да, у этого хостера на дешевом тарифе бэкапы ни разу не предусмотрены, и san тоже - по-моему, я могу спать совершенно спокойно, пока не торгую наркотиками крупным оптом и ядерным оружием с доставкой баллистической ракетой.

> сертификата, на сайт, на емэил сервак, на веб мэил сидящем в
> субдомене

вообще-то для этого достаточно одного, а email-серваку вообще не нужен (к счастию великому, гугль еще не контролирует весь почтовый софт).

> SNI в открытом виде конечно не впечетляет, поэтому и придумали ESNI чтоб

с опозданием на десять лет, ага. Причем надо было, вместо этого, придумать пересогласование протокола с новым сертификатом, апи для этого по сути уже был - вместо этого его как раз срочно выпилили под кудахтанье "это небезопасТно, вдруг там сервер настраивали враги" (кого при этом еще волнует безопасность соединения с таким?), и вместо мелкого исправления впилили громадную, уродливую, неверифицируемую хрень.

> упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров
> не избежать...

выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю, которые заявили что скачивать всякие черные списки и телеметрию отправлять - это ничего, а вот crl это долго, медленно, не приносит гуглю данных о посещаемом сервере, и его надо срочно выпилить.

Ответить | Правка | Наверх | Cообщить модератору

121. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от OldFart (?), 30-Ноя-18, 20:27 
>банально - раз на одном ip живет куча сайтов с разными сертификатами вместо
> wildcard/altnames - либо оно там где-то дешифруется на прокси, либо... правильно,
> shared hosting, и число могущих стырить твои данные уже после дешифровки становится неограничено.

Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на всех клиентах, и каждому сервису не shared сертификат, очень однако большая разница....

> у меня <$1,

Завидую белой завистью...

> И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.

Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки, легально а не хаки со стороны работников и пршмонать конкретную виртуалку не такая уж и проблема, тем более что не надо никуда и нечего перекачивать, а локальненько...

> ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL

Класс, т.е. боремся за приватность, но вот трафик между серваками пусть смотрят, так что ли?

>> упрятать хост внутри шифрования, но опять же, OSCP со стороны браузеров
>> не избежать...
>выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю

Да, блин, я не говорю о себе и тех кто может это сделать, а в глобальном плане...

Ответить | Правка | Наверх | Cообщить модератору

123. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от пох (?), 30-Ноя-18, 22:19 
> Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на

что неправильного в сертификате *.mycompany.com и тем более www.mycompany.com /alt:mycompany.com server.mycompany.com etc (а для very-secure-server.mycompany.com - отдельный на отдельном ip)?

> всех клиентах, и каждому сервису не shared сертификат, очень однако большая

лолшта? widcard и alt работает в этой вот мазиле 3.6 - которая понятия не имеет ни о каком sni. Ну, правда, да, а где теперь взять wildcard, если ты не очень большой банк? Да и altnames недешевы и продаются поштучно. Постарался гугель, на славу, все кто мешал тырить траффик, уничтожены.

>> у меня <$1,
> Завидую белой завистью...

aruba за 2евро/мес тебе с адресом еще и vm завернет. Только thinprint читай внимательно, а то будут сюрпризы. ssd штука такая...

>> И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным
>> лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.
> Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки,

блин. я сам себе хостер, машину отбирают, клиент уезжает, официальное право есть, времени мало. И вот чо делать? Доступ непосредственно внутрь vmdk в вмвари ни разу не предусмотрен.
Скопировать можно - по сети, мээээдлэээнно - команда mount чтобы просто подключить внешний диск или хранилку - тоже ни разу не предусмотрена.
Можно подключить внешнее устройство через usb непосредственно к гостевой системе - это, по факту, оказался самый быстрый способ, но он требует перехвата контроля над гостевой системой - беспалевно этого не сделать.
(надо заметить, что у таких хостеров никакие пароли никуда не вводятся и перехватывать их бестолку - только открытые ключи ssh)

> легально а не хаки со стороны работников и пршмонать конкретную виртуалку
> не такая уж и проблема, тем более что не надо никуда
> и нечего перекачивать, а локальненько...

ну вот есть у тебя доступ, положим, к консоли виртуалки - и чо делать будииим? Пароля-то нет. Ребут? Вызовет вопросы у клиента, кто йта меня перезагружал - с проверкой целостности и т д. А что, если там что-то ценное, на ней нет шифрования хотя бы тем же encfs?

То есть сделать это массово - не получится, можно индивидуально для специальных клиентов, за которых очень попросят - но искать иголку в стоге сена тоже непросто и небыстро, поэтому, повторюсь, пока ты не торгуешь совсем крупными партиями хмурого и не распространяешь запрещенные вооружения - хрен тебя кто вообще подрядится искать.

>> ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL
> Класс, т.е. боремся за приватность, но вот трафик между серваками пусть смотрят,
> так что ли?

траффик между серверами - пусть смотрят, там нет шибкоумных админчиков с манией величия и васянов, ломанувших свитч на чердаке. Накрайняк зашифруй самоподписанным, все равно никто его проверять не будет. Почта шифруется в клиенте, испокон веку - хошь pgp, именно для почты изначально и изобретенный, хошь s/mime, встроен в аутглюк, если она представляет собой хоть какую-то ценность, так что узнать в любом случае могут только from/to конверта.

>>выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю
> Да, блин, я не говорю о себе и тех кто может это
> сделать, а в глобальном плане...

а в глобальном плане жопа, о том, собственно, и вся эта новость :-(
под видом приобщения к шифрованию - подсунули глобальную слежку. В очередной раз. А ты за траффик между серверами паришься - да кому он вообще теперь будет нужен...

Ответить | Правка | Наверх | Cообщить модератору

38. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +3 +/
Сообщение от Аноним (38), 28-Ноя-18, 15:22 
Васян-то может, и для него разницы нет, вайршарк открыть или что-то другое. А вот в масштабе провайдера просмотр SNI это уже deep packet inspection. И это не так просто для больших провайдеров (особенно), как может показаться, накладная и дорогая штука. Нельзя просто взять, и весь поток трафика через него пустить, они очень стараются экономить. Посмотри презентации Фила Кулина и других, сейчас шли и ещё будут пиринговые форумы и HighLoad++.
А днс трафик всяко проще смотрится и рулится. И когда есть/был выбор, он очевидно падает на днс, а не SNI.
> (я бы сказал 'любой', но вот ты, как выясняется, не можешь, бредишь какими-то сертификатами сервера)

О, иксперд спалился. Ты не в курсах, что в tls 1.2 и ранее серверный сертфикат в serverhello тоже открыто передаётся, как и SNI в clienthello? И соответственно мог использоваться для детекта наравне со SNI тем же DPI (а в период до введения обязательного SNI основными браузерами мог быть даже основным). Ну молодец, мы запомним уровень твоих знаний, хорошо что ты залогинен.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

62. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от dimqua (ok), 28-Ноя-18, 18:23 
> deep packet inspection. И это не так просто для больших провайдеров

А у них что есть выбор?

Ответить | Правка | Наверх | Cообщить модератору

66. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (66), 28-Ноя-18, 19:50 
Нарушители Конституции должны страдать.
Ответить | Правка | Наверх | Cообщить модератору

39. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (11), 28-Ноя-18, 15:48 
> И ты тут такой

Ты читаешь что-то между строк и споришь с голосами в голове.
Я написал только, что написал.
Возможно, стоило добавить слово "Сейчас".
Сейчас, на рандомом сайте нет esni.
Насколько, с учётом этого, конфиденциальнее становится сёрфинг c doh-ом?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

23. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Annoynymous (ok), 28-Ноя-18, 12:56 
Доменные имена в https запросах видны? Ты что куришь?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

25. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от Аноним (25), 28-Ноя-18, 13:12 
SNI
Ответить | Правка | Наверх | Cообщить модератору

37. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –2 +/
Сообщение от Колюня (?), 28-Ноя-18, 14:55 
ESNI. С разморозкой
Ответить | Правка | Наверх | Cообщить модератору

40. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +2 +/
Сообщение от Аноним (11), 28-Ноя-18, 15:50 
Колюня, кинь статистику внедрения esni, ознакомимся.
Ответить | Правка | Наверх | Cообщить модератору

27. "Новый этап тестирования DNS поверх HTTPS в Firefox"  –1 +/
Сообщение от Аноним (27), 28-Ноя-18, 13:39 
Да, имя домена до SNI не шифровалось в HTTPS и шло в хендшейке SSL.

Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
но нет гарантий, что она включена и работает.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

48. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от commiethebeastie (ok), 28-Ноя-18, 16:51 
> Да, имя домена до SNI не шифровалось в HTTPS и шло в
> хендшейке SSL.
> Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,
> но нет гарантий, что она включена и работает.

Да, опасно по tumblr лазить.

Ответить | Правка | Наверх | Cообщить модератору

53. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от 0x0 (?), 28-Ноя-18, 17:19 
> нет гарантий, что она включена и работает

Есть возможность проверить: https://www.cloudflare.com/ssl/encrypted-sni/

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +1 +/
Сообщение от OldFart (?), 28-Ноя-18, 17:53 
"Увы, SNI сейчас расширение и это скорее новинка и прикольная штука,"
Really???
Да не один шэринг хостинг без SNI не работает уже лет эдак 10...
Без SNI для SSL нужен отдельный ИП на каждый сертификат, а с SNI хоть сколь хошь на одном ИП и сразными сертификатами
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

85. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 28-Ноя-18, 22:54 
> SNI сейчас расширение и это скорее новинка и прикольная штук

Как там в 2005 году? SNI в IE с 2006, в Firefox с 2006, в Chrome с 2009(то есть с его бет).
Вылезай из криокамеры. SNI — стандарт, без него ты бы так и жил с 1 httpsным сайтом на 1 IPшнике.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

96. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Аноним (115), 29-Ноя-18, 10:03 
Он просто путает термины. Замени в его посте SNI на ESNI и всё будет верно.
Ответить | Правка | Наверх | Cообщить модератору

98. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 29-Ноя-18, 10:38 
> Он просто путает термины. Замени в его посте SNI на ESNI и
> всё будет верно.

Ну да. Мальчик-девочка, какая в дупу разница. Подумаешь SNI и ESNI, пофигу что SNI старше, чем он.

Ответить | Правка | Наверх | Cообщить модератору

90. "Новый этап тестирования DNS поверх HTTPS в Firefox"  +/
Сообщение от Ключевский (?), 28-Ноя-18, 23:00 
https://github.com/jedisct1/dnscrypt-proxy
Тебя спасет!
А он уже умеет и DoH, и DNSCrypt, и черта лысого верхом на метле.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру