The OpenNET Project: Включение DNS-over-HTTPS в Chrome

Включение DNS-over-HTTPS в Chrome	[исправить]
В феврале в кодовую базу Chromium без лишней огласки была добавлена недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. Для использования DoH-сервера компании Cloudflare следует запустить Chrome с опциями: chrome --enable-features="dns-over-https<DoHTrial" \ --force-fieldtrials="DoHTrial/Group1" \ --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST В Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно включаться по умолчанию. Для включения DoH не дожидаясь активации по умолчанию, в about:config следует изменить значение переменной network.trr.mode: * 0 полностью отключает DoH; * 1 - используется DNS или DoH, в зависимости от того, что быстрее; * 2 - используется DoH по умолчанию, а DNS как запасной вариант; * 3 - используется только DoH; * 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/dns-query" ("https://9.9.9.9/dns-query") "https://dns.quad9.net/dns-query" "https://doh.opendns.com/dns-query" "https://cloudflare-dns.com/dns-query" ("https://1.1.1.1/dns-query") "https://doh.cleanbrowsing.org/doh/family-filter/" "https://doh.dns.sb/dns-query"


09.09.2019 , Источник: https://bugs.chromium.org/p/chromiu... Ключи: chrome, firefox, dns, doh, https, crypt, privacy / Лицензия: CC-BY
Раздел: Корень / Пользователю / Работа с Web и Ftp

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Вячеслав (??), 09:23, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
И насколько медленнее выполняются запросы через https?

2.4, Kuromi (ok), 15:54, 11/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> И насколько медленнее выполняются запросы через https? На глаз никакой разницы.

1.2, macfaq (?), 15:50, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Откуда такая неочевидная аббревиатура "trr"?

2.3, Kuromi (ok), 15:53, 11/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Потому что https://wiki.mozilla.org/Trusted_Recursive_Resolver

1.5, makrony (?), 17:35, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN и чудесной панацеи против блокировок. Вроде всё заработало (судя по https://1.1.1.1/help), но залоченные ресурсы без VPN как не работали, так и не работают.

2.7, Аноним (7), 02:14, 12/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Потому что провайдеры режут TCP коннекты.

У некоторых элементарно обходится iptables/nftables rules, у других никак.

В любом случае, в наше время DNS запросы лучше шифровать, ибо это огромная лазейка за вашим поведением и желаниями.

// b.

2.10, Аноним (10), 19:57, 14/09/2019 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Повёлся на новостные заголовки насчёт DNS-over-HTTPS как альтернативы VPN

Журналист из CNews родил какоу-то дичь про связь DNS c работой DPI и выборочными блокировками хостов, висящих на одном IP, и эти домыслы растиражировали куча непрофильных СМИ.

DPI выборочно блокируют хосты в основном массе по ESNI в HTTPS, который в открытом виде передаётся, или по Host в незашифрованном HTTP. DNS здесь не нужен. Только по DNS может кто и блокирует, но крайне редко и, скорее, как исключение из правил. Теоретически можно сделать DPI, который будет перехватывать DNS-запросы клиентов, смотреть запрещённые хосты, связывать с пользователями и затем блокировать только для них запросы IP. Но это сильно усложняет работу DPI и так пока не внедрено шифрвоание ESNI так никто не заморачиваетя. Да и куча нюансов возникает, таких как необходимость учитывать TTL и смену динамических IP для учета кэширования DNS-ответов на стороне клиента.

3.11, AFCR (?), 00:06, 15/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
SNI - открыт, ESNI - Encrypted SNI

3.17, playnet (ok), 16:13, 16/10/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
"теоретически можно смотреть в днс запрос" практически - ростелеком например так и делает. И вместо timeout приходит левый айпи (подмена), где делается редирект на warning.rt.ru Подмена - потому что днс вшит 8.8.8.8, он такого не ответит. Никакой (E)SNI не поможет.

2.12, Коньвпальто (?), 08:20, 16/09/2019 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Не все так тривиально, но к примеру довольно не сложный к пониманию стек - dnscrypt + privoxy + tor. Бонусом пойдет возможность подрезать рекламу и прочая контентная фильтрация. Естественно все это поднимается в сторонке, что конечно накладывает некоторые неприятности, но зато появляется отличная возможность разрулить проблему на всех устройствах дома, и насладиться, к примеру, более-менее нормальными контентными фильтрами на андроидном планшете и домашнем компе с одинаковым результатом.

3.15, cr33p (ok), 13:59, 25/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
как ты в привокси порежешь ssl рекламу?

4.16, Коньвпальто (?), 20:15, 25/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
По хост-паттерну, ессно это не панацея, но для меня это побочная плюшка, не особо пользуюсь, лень следить за правилами, что-то отрезается с наруленными изначально. Главное что надо, куда надо и когда надо - завернуть.

4.27, DNSoverHTTPS (?), 11:27, 23/11/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Есть костыль https://github.com/wheever/ProxHTTPSProxyMII

1.6, makrony (?), 17:49, 11/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Да, кстати, Флибуста (зеркало) грузится чересчур медленно в первый раз. После первого обращения/кэширования, всё в порядке.

1.8, Репликант (?), 17:29, 13/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Огнелис на андроиде: поставил я значит ваш трр на троечку и лиса перестала вообще что либо открывать, на двоечке норм. Как лечить?

2.13, flowerpower (?), 14:43, 18/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set) https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode

1.9, Аноним (9), 10:05, 14/09/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
https://www.opennet.ru/opennews/art.shtml?num=51471 Здесь значение "5" для firefox - это что? Чем отличается от "0"?

2.14, Дон Ягон (ok), 19:03, 19/09/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Здесь значение "5" для firefox - это что?
> Чем отличается от "0"?

Баян же.

"
    0 - Off (default). use standard native resolving only (don't use TRR at all)
    1 - Reserved (used to be Race mode)
    2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback.
    3 - Only. Only use TRR. Never use the native (This mode also requires the bootstrapAddress pref to be set)
    4 - Reserved (used to be Shadow mode)
    5 - Off by choice. This is the same as 0 but marks it as done by choice and not done by default.
"

Ну т.е. если дефолт (0) вдруг станет DoH вместо системного резолвера, то в случае 5 DoH будет отключён всегда, вне зависимости от дефолтов. Ну, если мозилла ещё что-то не отчебучит.

( https://wiki.mozilla.org/Trusted_Recursive_Resolver#network.trr.mode )

1.18, kuksha12 (ok), 00:34, 27/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
НЕ РАБОТАЕТ. Google Chrome Версия 77.0.3865.120 (Официальная сборка), (32 бит) на Windows 7 32 бит В ярлык после пробела вставил указанную строку, получив в итоге: "C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST Зашёл на https://1.1.1.1/help и вижу это: Connected to 1.1.1.1 No Using DNS over HTTPS (DoH) No

2.19, kuksha12 (ok), 21:31, 28/10/2019 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Мой Хром наконец обновился до 78 версии. Толку никакого: Connected to 1.1.1.1 Yes Using DNS over HTTPS (DoH) No Но, о 78-ой официально сказано, что dns-over-https пока не включена. Посему не понимаю как здешние комментаторы умудрились наблюдать работу dns-over-https...

3.20, Аноним (20), 11:56, 29/10/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Прочли заметку?

4.21, kuksha2012 (?), 14:56, 29/10/2019 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Вы, эта... пальцем ткните, а вопросы вопрошайте.

2.22, Аноним (-), 01:03, 01/11/2019 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Ungoogled-Chromium-78.0.3904.70-Win32 - не работает DoH (хотя даже опция в chrome://flags есть)

1.23, Админбек (?), 18:43, 09/11/2019 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Приветствую а как это включить на андройдном хроме? В флагах включаю а нифига.

1.24, Сергей Олейников (?), 09:04, 10/11/2019 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Обновление: из-за технической проблемы, возникшей в последнюю минуту, мы перенесли этот эксперимент на Chrome 79.

1.25, Сергей (??), 15:37, 10/11/2019 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Здравия, я дико извиняюсь, очень хочется включить эту функцию на своем браузере, но образования не хватает это сделать по представленной информации. Очень прошу - подробно пошагово для чайника на мвло напишите. Заранее благодарю.

1.28, Петров (?), 09:21, 29/11/2019 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
В chrome 80 тоже не работает через флаги Прочитал что будет работать только если поставить в DNS 1.1.1.1 или другой поддерживающий DoH резолвер. Руками указать резолвер не дают получается, гениально бесполезное решение для 80% пользователей.

1.29, Александр (??), 13:19, 02/12/2019 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
вкдючить

+/–

это полная засада!

теперь опять школьный чебурнет отвалится, а он в школе необходим...
прокуратура не спит, а проверяет есть ли в школе "система контенной фильтрации" - придут и будут искать какую-нибудь порнуху опять...

:)))

игнорирование участников | лог модерирования

Добавить комментарий

Имя:
E-Mail:
Заголовок:
Текст: