Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.

Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании. Теоретически, такое может произойти и в России.

Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки, которые «предотвращают лёгкий доступ к изображениям жестокого обращения с детьми, пиратским и террористическим материалам, а также воздействует на системы родительского контроля».

Издание The Guardian получило доступ к письму, направленному Никки Морган (Nicky Morgan) секретарю по культуре Великобритании. В нём вице-президент Mozilla по глобальной политике, доверию и безопасности Алан Дэвидсон (Alan Davidson) пишет, что некоммерческая организация «не планирует включать нашу функцию DoH по умолчанию в Великобритании и не будет делать этого без дальнейшего взаимодействия с государственными и частными заинтересованными сторонами».

Дэвидсон объясняет преимущества шифрования трафика: «Мы твёрдо верим, что DoH предложит реальные преимущества в области безопасности для граждан Великобритании. DNS является одной из старейших частей архитектуры интернета и остается в значительной степени нетронутой усилиями по повышению безопасности интернета. Поскольку текущие запросы DNS не зашифрованы, то путь между гражданином и сайтом по-прежнему открыт и используется плохими участниками, которые хотят нарушить конфиденциальность пользователей, атаковать коммуникации и шпионить за деятельностью в интернете. Самую личную информацию людей, такую как их данные, связанные со здоровьем, можно отслеживать, собирать, передавать и использовать против интересов людей. Ваши граждане заслуживают защиты от этой угрозы».

Таким образом, Mozilla пытается убедить правительственные службы и объяснить им премущества DoH. Но все понимают, что одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами.

Фонд Internet Watch Foundation, который предоставляет интернет-провайдерам список заблокированных веб-сайтов для фильтрации, выразил свою озабоченность по поводу этой технологии: «Мы считаем, что способ, которым предлагается реализовать DNS-over-HTTPS, может показать миллионам людей по всему миру самые ужасные изображения детей, подвергающихся сексуальному насилию, и может означать, что жертвы такого насилия станут открыты для просмотра бесчисленному количеству зрителей», — сказал представитель технического сайта The Register.

Недавно по этой причине Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета». Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».

«Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».

«Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.

Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Более того, любой по пути к этим серверам тоже видит ваши запросы. Существует несколько способов, как подобная система подвергает риску данные пользователей. Два основных — трекинг (отслеживание) и спуфинг (подмена).

По полной или частичной информации об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. Они могут составить список всех сайтов, которые вы просмотрели.

И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц».

Из статьи Лин Кларк

Впрочем, после широкого общественного резонанса через месяц ISPA-UK отозвала эту «награду» и полностью отменила номинацию с комментарием, что она «явно посылает неверное сообщение».

Google также объявила о планах тестировать DoH в своем браузере Chrome, начиная с октября. Компания не будет включать DoH для каждого пользователя, но говорит, что по умолчанию DoH будет работать для тех технически продвинутых пользователей, которые решили переключить своего поставщика DNS на такие компании, как Google, Cloudflare и OpenDNS.

Для сохранения цензуры представитель правительства Великобритании ссылается на необходимость защиты детей: «Сексуальная эксплуатация детей является отвратительным преступлением, с которым правительство стремится бороться, — сказал он. Хотя мы стремимся поддерживать безопасность и конфиденциальность в интернете, крайне важно, чтобы все сектора цифровой индустрии учитывали безопасность детей при разработке своих систем и услуг. Мы работаем с индустрией над решениями любых потенциальных проблем в рамках нашей текущей работы, чтобы сделать Великобританию самым безопасным местом в мире, чтобы выходить в интернет».

Почему возникли такие разногласия именно вокруг блокировки по DNS? Отраслевые эксперты считают, что проблема может быть в корпоративных договорённостях. Именно из-за них все так восстали против Mozilla:

«На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН».

Протокол DoH значительно усложняет властям возможности блокировки, но теоретически власти всё равно могут отслеживать трафик. Если смотреть на проблему блокировок более глобально, то в такой ситуации снова и снова возникает вопрос. Формулировка сторонников государственной фильтрации предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Такая логика противопоставляет приватность и безопасность.

Личную приватность действительно можно противопоставить общественной безопасности. Сейчас идут дискуссии, что важнее и в какую сторону сместить акценты. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах. Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России.

Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека. Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».

Отказываясь от шифрования, человек фактически отказывается от собственной защиты. Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.




СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.

Комментарии (127)


  1. Gorthauer87
    07.10.2019 10:39
    -1

    У DoH есть другой неприятный момент. Пока он более менее есть у компаний типа cloudflare и google. То есть включить сейчас это просто потокать централизации в этом вопросе.
    Нужно больше альтернативных реализаций.


    1. creker
      07.10.2019 11:22
      +1

      Каких альтернативных? У овердохрена людей и так в днс прописан 8.8.8.8 или 1.1.1.1. Днс никогда не был и не является децентрализованной технологией по-определению.


      1. Scondo
        07.10.2019 12:27
        +1

        DNS был и является децентрализованной технологией по определению.

        Если говорить о полноценном DNS, а не о кеширующем.

        Кэширующий DNS — технология действительно централизованная. Но при этом с возможностью выбора точки централизации.


      1. Gorthauer87
        07.10.2019 12:57

        Ну вот то что всего два таких адреса на слуху и не очень хорошо, получается их то владельцы будут собирать всю статистику всех посещений.


      1. dimaaan
        07.10.2019 12:58
        +1

        Днс никогда не был и не является децентрализованной технологией по-определению

        Читаем определение на Википедии:
        The Domain Name System (DNS) is a hierarchical and decentralized naming system for computers


        1. de1m
          07.10.2019 13:52

          Если бы он был децентрализованный, то тогда зачем нужны dns root сервера?
          Вы конечно, можете крутить свой сервер и потом друзьям/коллегам/итд. говорить обращайтесь на мой днс, чтобы видеть мою страничку. Но если я тоже хочу посмотреть вашу страничку, то я уже обращаюсь (или мой днс сервер) к рут серверам.


          1. Victor_koly
            07.10.2019 14:01

            И будем в организации слать неугодные URL на 169.254.x.y (которые точно нигде в сети не понадобятся).


          1. mxms
            07.10.2019 14:23

            Затем, чтобы получить точку входа откуда развёртывать уже весь путь к конкретному домену. И рутовые серверы это никак не централизация. Их свыше 1000 и они управляются независимо.
            Вообще, любая децентрализованная сеть не сможет работать без такой точки входа потому что ей, как минимум на первом этапе, требуется механизм discovery.


            1. Tangeman
              07.10.2019 18:54
              -2

              Их свыше 1000 и они управляются независимо.

              Тут вы ошибаетесь — управляются и контролируются они (вместе с корневой зоной) ICANN в тесной связке с US DOC. Если США захотят, то почти весь интернет превратится в тыкву за очень короткое время.

              По настоящему децентразилованная система должна иметь действительно независимые точки входа, а не контролируемые одной организацией, которая, к тому же, подконтрольна одной стране.

              Посмотрите на санкционные проблемы — уже сейчас граждан многих стран отрезали от регистраций доменных имен (не говоря уже о сервисах), просто потому что США так захотелось. Завтра они могут решить что Иран (к примеру) недостоин быть видим из интернета — и так станет, просто .ir исчезнет из корневой зоны, и никто из операторов корневых серверов ничего с этим не сделает.


              1. mxms
                07.10.2019 19:11
                +3

                Не стоит на техническом ресурсе тиражировать страшилки из арсенала борцов за "высокую духовность и нравственность" сиречь сторонников цензуры, тем более если всё, на самом деле, работает не так.


                Посмотрите на санкционные проблемы

                Да, санкционные проблемы есть. Только для подавляющего большинства граждан они сконцентрированы не там где вам мерещится, а в т.н. "антисанкциях" которые Россия ввела против своих граждан.


                1. Tangeman
                  07.10.2019 20:13

                  Я не вижу где вы увидели страшилки, контроль корневых серверов и содержимого корневой зоны одной организацией под юрисдикцией США — это очевидный (причём технический) факт, который уже не один год много кому не нравится (далеко не только в РФ).

                  И дело совсем не в том что речь про США — любая страна, которая держит глобальный ресурс под контролем, уже создаёт опасность децентрализации.

                  Как констатация сего факта может быть из арсенала сторонников цензуры я вообще не понимаю — упомянул я его исключительно для того чтобы подчеркнуть что (к сожалению) DNS в его текущей реализации недостаточно децентрализован.

                  Насчёт санкций — речь шла не только (и не столько) о РФ, к тому же не только о гражданах, об организациях тоже, у последних проблемы именно там где мне «мерещится» (если смотреть со стороны ЕС).


                  1. mxms
                    07.10.2019 21:53

                    Значит я неправильно понял ваш посыл.
                    То, что ICANN зарегистрировна в США не означает что правительство США ею управляет и, тем более, имеет возможность по техническому ограничению доступности тех или иных доменных зон через корневые DNS.
                    Критерии "недостаточности децентрализации" не прояснены.
                    По санкциям в интернет, я не припоминаю ничего подобного упомянутого вами "отключения Ирана" гипотетически имеющими такую возможность США, зато могу привести три вагона примеров ограничений доступа в глобальную сеть по тому или иному поводу внутри стран с авторитарными режимами которые, и стремятся строить свои "суверенные интернеты".


                    1. Tangeman
                      07.10.2019 22:46
                      +1

                      К сожалению, означает — они обязаны соблюдать законы США, и следовать всем санкционным ограничениям США. Корневая зона генерируется и распостраняется Verisign, которые тоже находятся в юрисдискции США.

                      Всё это конечно регулируется договорами, соглашениями и прочей бюрократией — но в рамках того что позволено законами США и не противоречит им. Все необходимые документы вы можетей найти на сайте ICANN.

                      «недостаточность децентрализации» заключается как раз в том что если вдруг ICANN или Verisign (по ошибке, требованию правительства, диверсии изнутри или любой другой причине) решит изменить корневую зону — у них это получится, потому что все корневые сервера под их управлением (несмотря на то что их операторы находся в куче других стран).

                      Я не говорил что США уже «вынимали» Иран, Кубу или другие санкционные страны, но если США решит это сделать (как уже ограничили регистрацию имён и хостинг для ряда стран) — то ICANN ничего с этим не сможет поделать, они будут вынуждены подчиниться.

                      Подробнее проблема рассматривалась например тут — хоть документ слегка старый, проблемы остались и даже усугубились (так как гайки только закручивают), можете погуглить «icann ofac» для более свежей информации.


                      1. dimm_ddr
                        08.10.2019 12:00
                        +1

                        К сожалению, означает — они обязаны соблюдать законы США, и следовать всем санкционным ограничениям США.
                        США ввели санкции для достаточно большого количества стран. Есть ли примеры ограничений для стран которые ввели ICANN? Я о таких не слышал, но я специально не искал, мог и пропустить. Было бы интересно почитать если есть. Если же нет, то ваше высказывание несколько противоречит наблюдениям.


                        1. mxms
                          08.10.2019 12:52

                          Совершенно верно. Правовой нигилизм настолько глубоко засел в сознании соотечественников, что они априори полагают что государство можно сделать с субъектом в его юрисдикции всё, что захочет, не взирая ни на что, включая законы.
                          Я специально не исследовал правовой статус ICANN, однако, насколько я могу судить, никаких описываемых вам потенциальных проблем с их стороны никогда создано не было.
                          Возвращаясь к DNS и резюмируя. Рутовые серверы не контролируются США, а DNS является распределённой децентрализованной сетью.


                          1. Tangeman
                            08.10.2019 13:29
                            -1

                            Если бы вы исследовали правовой статус ICANN, вы бы обратили внимание на это (4 пункт):

                            Applicant acknowledges that ICANN must comply with all U.S. laws, rules, and regulations. One such set of regulations is the economic and trade sanctions program administered by the Office of Foreign Assets Control («OFAC») of the U.S. Department of the Treasury. These sanctions have been imposed on certain countries, as well as individuals and entities that appear on OFAC's List of Specially Designated Nationals and Blocked Persons (the «SDN List»).


                            Так что увы, в данном конкретном случае гос-во действительно вправе делать всё что хочет — если что-то оно не может в данный конкретный момент, то может принять соответствующий закон.

                            В этом документе вы сможете найти явное упоминание регистрации доменных имён и услуг хостинга в (b)(4) (может быть интересно для вас, dimm_ddr).

                            Может быть, в следующий раз вы всё же изучите правовой статус, прежде чем говорить о правовом нигилизме?


                            1. mxms
                              08.10.2019 13:38

                              Если бы вы исследовали устройство корневых DNS серверов, вы бы увидели что ICANN управляет лишь одним из 13 пулов и имеет те же права, что и все прочие организации, и не пытались бы натягивать сову на глобус вопросы регулирования регистрации доменов на систему DNS.
                              Может быть, следующий раз вы перестанете путать тёплое с мягким?


                              1. Tangeman
                                08.10.2019 13:58
                                -1

                                Не путайте «управление сервером» и «содержимое корневой зоны». Первое — чисто инфраструктура, второе — в «руках» Verisign.

                                Откуда, по вашему, корневые сервера берут своё содержимое? Сами собирают с миру по нитке, а потом ещё договариваются чтобы у всех был одинаковый контент?

                                Да, пока, на данный момент, всё хорошо, но это не меняет того факта что одна организация способна (технически) резко изменить картину мира и внести хаос, пусть и на ограниченное время.


                                1. mxms
                                  08.10.2019 14:18

                                  То, что событие гипотетически возможно, не означает что оно наступит. И даже если оно наступит, то благодаря архитектуре DNS, проблема может быть нейтрализована благодаря наличию независимых акторов.
                                  Ничто не мешает собирать данные NS от координаторов конктретных доменных зон другой организации, а не Verisign. Но, покуда она это делает и делает хорошо, какой в этом смысл? Антиамериканскую паранойю разве что почесать.


                                  1. Tangeman
                                    08.10.2019 16:37

                                    Я говорил исключительно о наличии правовых и технических возможностей.

                                    Вы можете считать их гипотетическими, но всего 20 лет назад возможность регулирования Интернет и регистрации доменов по паспортам тоже была всего лишь гипотетической — теперь же это вполне реальность, по крайней мере в некоторых странах.

                                    Ничто не мешает собирать данные NS от координаторов конктретных доменных зон другой организации, а не Verisign.


                                    Да, гипотетически — ничто не мешает. Практически же на данный момент есть одна организация которая у руля, о чём я и говорил.

                                    Ничего антиамериканского в моих высказываниях нет — я просто констатирую факт — и ICANN, и Verisign находятся в юрисдикции США. Будь это Россия, Индия, Китай или даже Монте-Карло — я бы сказал ровно то же самое.


                            1. dimm_ddr
                              08.10.2019 14:37

                              Так а примеры то где? Если США могут сделать все что захотят, то почему не делают? Где санкции на Иран, на Северную Корею?


                              1. Tangeman
                                08.10.2019 20:25

                                В смысле — не делают? Вы хотите сказать что санкций не существует, и всё это плод воображения?

                                Ну так посмотрите на список всех санкций и Иранских в частности.

                                Я уже приводил эту статью в качестве примера когда были реально затронуты интересы регистраторов доменов, в ней есть дополнительные ссылки на соответствующие документы.

                                Также выше я приводил цитату из аккредитационной аппликации ICANN — из коей явно следует что находящиеся в санкционном списке не смогут её получить (если не получат специальную лицензию).

                                Какие ещё нужны примеры?


                                1. Nulliusinverba
                                  08.10.2019 21:01

                                  1. Tangeman
                                    09.10.2019 01:02

                                    В частном случае с национальными доменами верхнего уровня — здравый смысл победил. Это, впрочем, нисколько не помогает в остальных случаях — регистрация доменов второго уровня, невозможность аккредитации и прочим подобным «мелочам» — проблемы есть и никуда не денутся.

                                    К тому же, это решение нисколько не опровергает изложенные мной выше факты, не исключает того что не будет больше попыток и не гарантирует что «всё будет хорошо» всегда, более того, оно косвенно потдтверждает что существует техническая возможность это сделать — о чём, собственно, я и говорил изначально.


                                1. dimm_ddr
                                  09.10.2019 11:12
                                  +1

                                  Какие ещё нужны примеры?
                                  Я вроде бы совершенно однозначно написал какие примеры нужны: примеры того как ICANN учитывают американские санкции. Примеры как исполняет санкции кто-то другой — не интересны, они не имеют отношения к теме. Рассуждения в воздух — не интересны, они не являются примерами. Вроде бы простая просьба, разве нет?


                                  1. Tangeman
                                    09.10.2019 13:38
                                    -2

                                    Я вроде бы не менее однозначно привёл текст из официального документа ICANN, где они сами чёрным по белому говорят о том что они их обязаны выполнять.

                                    Вроде бы просто его прочитать, разве нет?


                                    1. dimm_ddr
                                      09.10.2019 14:00
                                      +2

                                      Что именно в словосочетании «примеры санкций» вам непонятно? Примеры. Санкций. Не размышления, не что-то еще. Я. Просил. Примеры. У вас их нет. Из чего можно сделать вывод что их нет вообще. А значит наблюдаемая реальность расходится с вашими заявлениями. Значит либо ICANN не соблюдает свой же документ, либо вы не понимаете что там написано.


                                      1. Tangeman
                                        09.10.2019 14:56

                                        Простите, как я могу привести примеры того что кому-то
                                        было отказано в аккредитации на основании санкций? Попросить их написать на хабр в качестве подтверждения? Я лично знаю парочку таких компаний, которые пытались — увы, безуспешно, поэтому вынуждены были перенести бизнес в ЕС для этой цели.

                                        Если даже я приведу в пример список аккредитованных регистраторов, среди которых нет ни одного из санкционных стран, вы ведь скажете «просто никто этого и не пытался», не так ли?


                                        1. dimm_ddr
                                          09.10.2019 16:08

                                          Но при этом в вашем списке есть регистратор из России на которую тоже наложены санкции США.
                                          edit: А вот и еще информация:

                                          In 2010, ICANN approved IRNIC's proposal for the ?????. IDN ccTLD (representing the Perso-Arabic spelling of Iran)

                                          Уже про Иран конкретно. Я специально проверил — в 2010 году санкции от США на Иране были и их было много. Ядерная сделка по которой санкции были смягчены произошла в 2016 году. На 6 лет позже того как ICANN одобрил предложение по ccTLD Ирана.
                                          Вы правы что в данном случае только по приведенному списку вам сложно было бы показать наличие санкций. Но в таком случае достаточно от меня примера, который показывает наличие взаимодействия ICANN с Ираном чтобы опровергнуть ваши заявления.


                                          1. Tangeman
                                            09.10.2019 16:14

                                            Для разных стран разные «уровни» санкций — просто наличие в списке не говорит о том что всё будет запрещено.

                                            В отношении Ирана, Кубы и ещё нескольких стран ограничения распостраняются на услуги хостинга и регистрации доменных имен, в то время как в отношении России (и других) — нет.

                                            Выше я уже приводил ссылки на соответствующие официальные документы, но, видимо, вы их даже не открывали — там всё чётко прописано.


                                            1. dimm_ddr
                                              10.10.2019 10:32

                                              Удобная позиция. Как только вам говорят что вот же — работает компания с санкционными правительствами, так сразу у вас «санкции неправильные». Может быть вы тогда приведете ссылку на документ по которому получается что часть своих функций ICANN может выполнять? Потому что ииначе невозможно что-то привести для доказательства уже мне — вы всегда сможете сказать что конкретно это под санкции не попадает.
                                              Ну а документы — у меня нет никакой уверенности в том, что вы эти документы сами понимаете правильно. Но у меня есть уверенность в том, что ваши заявления противоречат наблюдаемой реальности. Это может быть либо потому что у меня нет необходимых наблюдений, либо потому что ваши заявления неверны. Доказать отсутствие, как вы и сами заметили, возможности особо нет, поэтому пока мне не докажут наличие таких наблюдений я могу с полным основанием считать что неверны именно ваши трактовки документов. И мне даже нет необходимости разбираться где именно они неверны и почему.


                                          1. Tangeman
                                            09.10.2019 18:07

                                            который показывает наличие взаимодействия ICANN с Ираном чтобы опровергнуть ваши заявления

                                            Я утверждал что ICANN и Verisign находятся в юрисдикции США и обязаны следовать их законодательству, что продемонстрировал ссылками на соответствующие документы. Я также утверждал что и первые и вторые имеют технические возможности изменить содержимое корневой зоны, единолично.

                                            Какое из этих моих утверждений не соответствует действительности или опровергнуто? Как я уже сказал раньше, решение суда по частному случаю — не показатель, равно как а амнистия отдельных преступников не делает остальных невиновными, и не освобождает никого другого от ответственности в будущем за то же самое деяние.

                                            Я не утверждал что ICANN с кем-то не взаимодействует, равно как я не утверждал что иранский домен был изъят из корневой зоны — речь шла о возможности, не более.

                                            Утверждение из серии «ICANN не соблюдает санкции» (в конкретном случае) — это совсем не то же самое что «ICANN не обязан соблюдать санкции» (ваш посыл). Точно также как если вас не наказали за проезд на красный, или вы проехали на красный по сигналу регулировщика вовсе не означает что теперь на красный ездить можно во всех случаях. Позже может быть другой суд и другое решение — но в любом случае это не изменит того факта что ICANN может изменить корневую зону.

                                            Для опровержения моего заявления должен быть документ в котором сказано что ICANN находится вне какой-либо юрисдикции и не может применять какие-либо санкции к кому-либо — в то время как имеется документ говорящий совершенно противоположное, и в качестве косвенного подтверждения (поскольку прямое невозможно) — отсутствие в списке регистраторов санкционных стран.

                                            Что примечательно, несмотря на всю косвенность, в этом списке нет как раз только тех стран для которых санкции включают услуги хостинга и регистрации доменов (на что вы обратили внимание) — но это всего лишь совпадение, не правда ли?


              1. A1054
                07.10.2019 21:35
                -1

                Тут вы ошибаетесь — управляются и контролируются они (вместе с корневой зоной) ICANN в тесной связке с US DOC. Если США захотят, то почти весь интернет превратится в тыкву за очень короткое время.

                Вся эта королевская рать даже мой домашний днс-сервер не контролирует. Вопрос только в полноте данных.

                Посмотрите на санкционные проблемы — уже сейчас граждан многих стран отрезали от регистраций доменных имен (не говоря уже о сервисах), просто потому что США так захотелось.

                не могли бы вы примеры привести, а то непонятно.


                1. Tangeman
                  07.10.2019 21:50
                  +1

                  Вся эта королевская рать даже мой домашний днс-сервер не контролирует.

                  И кто узнает о вашем домашнем сервере без корневых серверов?

                  не могли бы вы примеры привести, а то непонятно.

                  Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе. Или попробуйте стать регистратором имён, будучи компанией в Иране или Кубе.


                  1. McUrgd
                    08.10.2019 11:03

                    > Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе.

                    Какой адрес у владельца parsian-bank.com (принадлежит иранскому банку)?


                  1. A1054
                    08.10.2019 14:56
                    +1

                    И кто узнает о вашем домашнем сервере без корневых серверов?

                    Все, кому я дам его IP-адрес. Или те, кто получит его по DHCP. Корневые сервера в рекламе моего днс-сервера не участвуют. Извините, но в этом вопросе у вас каша в голове.

                    Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе. Или попробуйте стать регистратором имён, будучи компанией в Иране или Кубе.

                    Лень пробовать, но судя по тому, что иранские организации с com адресом есть, это возможно. Вам пример привели.
                    Регистраторы имен в Иране есть. Да вот, например, в вики-статье про зону ir на них ссылка ru.wikipedia.org/wiki/.ir

                    А можно вопрос. Зачем вы в споре используете заведомо ложные аргументы. Ну, допустим, вы плохо представляете, как работает DNS (хотя и в этом случае лучше трезво оценить, что вы знаете, а что нет, и не писать). Но про регистраторов в Иране инфа гуглится за 30 секунд.
                    Вам так важно выиграть спор, даже если это будет с помощью фейков?


                    1. Tangeman
                      08.10.2019 16:01

                      Все, кому я дам его IP-адрес. Или те, кто получит его по DHCP. Корневые сервера в рекламе моего днс-сервера не участвуют.


                      Безусловно, в работе самого сервера — нет, речь шла не про это, читайте внимательней. Вы не сможете рассказать всему миру IP своего сервера, чтобы они знали как резолвить bla.bla.ru — для этого и нужны корневые и не только сервера.

                      Но про регистраторов в Иране инфа гуглится за 30 секунд.

                      Я привел выдержки из официальных документов вовлеченных организаций, в которых упомянуты и санкции, и правовые основания — как это может быть фейком?

                      Пару лет назад многие регистраторы имён из Ирана прекратили свою деятельность именно из-за санкций, и куча доменов перекочевала к другим регистраторам (не в Иране) — эта инфа тоже легко гуглится.

                      Наличие доменных имен с адресами в Иране объясняется просто — большинство из них было зарегистрировано давно, а санкционные ограничения применяются в основном к новым регистрациям, но до старых тоже иногда добираются.

                      Что же касается «как работает DNS» — я уже выше описал о чём именно я говорю и что имею в виду, если вы читаете через строчку — увы, не могу вам помочь.


                      1. Victor_koly
                        08.10.2019 16:20

                        Вы не сможете рассказать всему миру IP своего сервера, чтобы они знали как резолвить bla.bla.ru — для этого и нужны корневые и не только сервера.

                        И совсем сложно будет сказать миру, чтобы они обслуживали зону .rrr и отправляли все запросы резолва этой зоны на Ваш сервер.


              1. Sheti
                08.10.2019 12:52
                +1

                Текущая ситуация с ICANN не нравится исключительно тем, кто стремится сам выключать неугодных из Интернета. США ни разу не вмешивались в работу корневых DNS. Да и в принципе это не возможно. Нету никакого единого DNS где можно, что то поправить. Корневые DNS расположены по всему миру и попытка в одностороннем порядке отключить какую то корневую зону выльется в бурное обсуждение и не факт, что остальные поддержат. А без всеобщей поддержки это будет фикция.


                1. mxms
                  08.10.2019 12:56
                  +1

                  Верно. Более того, при первой же попытке одного из акторов сделать нечто подобное остальные быстро начнут действовать независимо, а большая часть интернет выкинет такие корневые серверы из своих списков и на этом всё закончится. Сеть как работала, так и будет работать.
                  О какой-то централизации DNS можно говорить только в части DNSSEC где, действительно, имеется единый keys signing key на всю сеть.


                  1. Tangeman
                    09.10.2019 01:07

                    О централизации можно говорить когда есть один источник данных, и одна сущность которая можеть менять его содержание — а в случае корневой зоны это в данный момент именно так.

                    Все имеющиеся на данные момент корневые сервера получают данные от одного источника — в этом проблема. Конечно, они могут изменить источник или сделать систему действительно распределенной и независимой от одного источника, но это не так просто и не мгновенно.


                    1. Scondo
                      10.10.2019 11:03
                      +1

                      Не совсем это так — учите матчасть. Там вполне распределённая система.

                      ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B_DNS


      1. Victor_koly
        07.10.2019 13:48

        Предположим, что корпоративный клиент берет у провайдера адреса DNS-серверов, скажем прописывает их в виндовый DNS-сервер как «Conditional forwarder». А вот куда потом шлют запросы DNS-сервера провайдера — другой вопрос.


    1. Dukat
      07.10.2019 11:25

      1. Tufed
        08.10.2019 11:38

        Верно! Поднимаем сервис на своем сервере в нейтральной зоне и прописываем его адрес

        здесь


    1. Revertis
      07.10.2019 12:31

      Пользуйтесь AdGuard DNS :)


    1. whyme
      07.10.2019 12:45

      Едиственное отличие от обычных DNS в том, что корневые пока не поддерживают DOH, в остальном все то же самое. Не хватает публичных — можете поднять свой DOH.


      1. mxms
        07.10.2019 14:25

        что корневые пока не поддерживают DOH

        И никогда не будут потому что HTTPS для DNS это чисто браузерный костыль. А вот DoT — вполне вероятно.


        1. polar11beer
          07.10.2019 15:49

          Технически, DoT блокируется по номеру порта (853), а DoH неотличим от https-трафика, поэтому с ним такое не сработает.


          1. mxms
            07.10.2019 15:52

            Технически ничто не мешает вам использовать DoT по 443 порту что, кстати говоря, многие публичные DNS и делают.


            1. xdimquax
              07.10.2019 16:31

              Но, если я правильно понимаю, то это не делает его неотличимым от HTTPS-трафика. Так-то и DNSCrypt использует 443 порт.


              1. mxms
                07.10.2019 17:07

                Опять же, технически, если вы можете разбирать содержимое TLS сессии то вам всё равно, что там будет внутри — будет видно всё. А так только статистически пытаться анализировать. Так что "неотличимость" эта, скорее всего, мнимая.


                1. polar11beer
                  09.10.2019 13:41

                  Это верно. Принципиальное различие между DoH и DoT мне видится так:

                  • При DoH можно на одном хосте и порту держать сразу и веб-сервер, и DNS, и уже после терменирования TLS определять, что отдать в ответе — HTML или DNS-сообщение. Если к примеру такое сделает сервис масштаба Гугла — то соответственно и заблокировать DNS можно будет только вместе с Гуглом.
                  • DoT сервер же блокируется по IP и номеру порта.


              1. blind_oracle
                08.10.2019 11:03

                Снаружи все TLS сессии выглядят одинаково, потому что это тоннель. Тут нужно сделать скидку на всякие TLS расширения вроде ALPN, но их нетрудно подставить и в DoT чтобы мимикрировать под HTTPS.


                1. A1054
                  08.10.2019 15:00

                  Возможно (я не знаю), они отличаются по паттерну трафика


            1. polar11beer
              07.10.2019 17:35

              Технически ничто не мешает вам использовать DoT по 443 порту что, кстати говоря, многие публичные DNS и делают.

              Не встречал такого, и в RFC тоже. Поделитесь примером?


              1. mxms
                07.10.2019 17:46

                RFС вам не запрещает использовать любой порт, в точности как и для любого другого протокола. Рекомендован и стандартизирован 853.
                Ну вот, например, один из списков
                https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Servers#DNSPrivacyTestServers-DoTservers


    1. xdimquax
      07.10.2019 14:08

      Это не DoH надо винить, а тех, кто принимает решение использовать этих провайдеров по умолчанию.


      1. dartraiden
        07.10.2019 16:24

        А что использовать по умолчанию? Выводить пользователям, которые в этом ничего не понимают, требование купить VPS и поднять там резолвер?

        По умолчанию как раз используется стабильный и надёжный сервис, задача которого не упасть, иначе у пользователя «ничего не работает, к чёрту вашу тормозиллу, качаю Хром» (а в Хроме-то всё стабильно работает, там будет по умолчанию сервер Google). При этом, для малой доли пользователей, который хотят таки поднять и использовать свой сервер, реализована возможность это сделать.

        И вот, значит, нашли стабильный сервис. Подписали с ним юридические бумаги о том, что сервис обязуется собирать как можно меньше информации о пользователях (совсем-то не собирать технически невозможно, сервер не может обслуживать клиента, не зная, например, его IP-адрес), будут проводить периодический аудит. Но нет, всё равно плохо, нужно было сделать как-то иначе, а как — «мы не знаем, нужна децентрализация, чтобы было много-много провайдеров» (что скажется и на стабильности, и на приватности, потому что провести качественный аудит одного партнёра проще, чем сотни).

        При этом, перед Mozilla всё ещё стоит задача поднимать популярность браузера, а для этого нужна надёжность, потому что работу DoH пользователи даже не видят, а вот если сайты в Firefox перестали открываться из-за прилёгшего резолвера, то пользователи в первую очередь винят именно браузер, а не резолвер, и идут качать какой-нибудь Yandex.Browser или Chrome.


        1. xdimquax
          07.10.2019 16:36

          То, что хоть немного уважает приватность пользователей, иначе какой смысл во включении DoH по умолчанию? Сейчас уже есть из чего выбрать.


          1. dartraiden
            07.10.2019 16:46

            Во-первых, Cloudflare обязалась (и не просто «мамой клянусь») уважать приватность (хотя бы в отношении пользователей DoH Mozilla). Во-вторых, важна и географическая доступность, которая у Cloudflare отличная. Если DNS-запросы российского пользователя гнать через, скажем, США, то пусть оно будет сколь угодно приватным, но задержки-то конские.


            1. xdimquax
              07.10.2019 17:04

              Cloudflare обязалась уважать приватность (хотя бы в отношении пользователей DoH Mozilla).

              И почему-то мы должны верить этому. Они бы еще более сомнительного партнера себе нашли, и договорились с ним.


              нужно было сделать как-то иначе, а как — «мы не знаем, нужна децентрализация, чтобы было много-много провайдеров»

              Они не только выбрали централизованный подход, но и сервер компании, которая и так контролирует огромную часть Интернета.


              что скажется и на стабильности, и на приватности, потому что провести качественный аудит одного партнёра проще, чем сотни

              Не факт, что негативно скажется, но потребовалось бы, конечно, договориться со многими, в разных странах. А аудит от Mozilla нужен только им, потому что пользователь все равно вынужден доверять провайдеру.


              1. dartraiden
                07.10.2019 17:33

                И почему-то мы должны верить этому.
                Mozilla это гарантирует. Если мы используем Firefox, то, очевидно, Mozilla доверяем (хотя, некоторые пользователи умудряются использовать Windows и одновременно всеми силами со своей ОС бороться, что смешно),


                1. xdimquax
                  07.10.2019 17:50

                  Если мы используем Firefox, то, очевидно, Mozilla доверяем

                  Но это не означает, что доверяем безоговорочно и не хотим приуменьшить степень своей зависимости от неё (и других корпораций). Кроме того, сомнительно, что они вообще способны что-то гарантировать в этом случае. Сегодня они провели свои проверки, а завтра Cloudflare может начать пакостить втихую, т.е. необходимости доверия к провайдеру это полностью не отменяет.


            1. icetinte
              07.10.2019 18:41

              «Как-то утром я проснулся и меня чуть не стошнило, когда я узнал, какие уроды пользуются нашей платформой. Я дернул рубильник — и они пропали из интернета. Но я не уверен, что такая власть должна быть в руках одного человека, особенно не обладающего никакой политической легитимностью».
              CEO Cloudflare Мэтью Принс

              www.bloomberg.com/news/videos/2017-08-17/cloudflare-ceo-on-responsibility-in-combating-hate-video

              Да, это про не очень хороший сайт, да этот сайт вроде жив пока, но само событие меня пугает


              1. xdimquax
                07.10.2019 21:39

                Он же:


                Back in 2003, Lee Holloway and I started Project Honey Pot as an open-source project to track online fraud and abuse. The Project allowed anyone with a website to install a piece of code and track hackers and spammers. We ran it as a hobby and didn't think much about it until, in 2008, the Department of Homeland Security called and said, 'Do you have any idea how valuable the data you have is?' That started us thinking about how we could effectively deploy the data from Project Honey Pot, as well as other sources, in order to protect websites online. That turned into the initial impetus for CloudFlare.


  1. c_kotik
    07.10.2019 10:43
    -3

    по которым сейчас злоумышленник на уровне провайдера или государства

    А вы рисковые ребята)


    1. tvr
      07.10.2019 11:30

      «Осёдлый бандит» же, вполне академично.


    1. berrics
      07.10.2019 12:31

      Не «уровня» же.


  1. Griboks
    07.10.2019 10:53
    +1

    Этой проблеме уже лет 30. Всё это время, когда спрашивали:" Что важнее? Безопасность или приватность?," всегда отвечали: «Безопасность.» Но вот именно с появлением DoH всё обязательно должно почему-то поменяться. На самом деле, это выбор каждого человека. Просто люди не готовы отказаться от всех этих удобных облачных сервисов в обмен на приватность. Поэтому, придумают всякие там сормы для DoH и введут его, а люди будут думать, что всё хорошо, как и всегда.


    1. ne_kotin
      07.10.2019 11:07

      придумают всякие там сормы для DoH и введут его

      Чо там, пиннинг сертификатов уже обошли и RSA научились взламывать? DoH и DoT и задумывались для того, чтобы СОРМы обламывались.


      1. Griboks
        07.10.2019 11:49

        задумывались для того, чтобы СОРМы обламывались.

        Телега тоже, а потом участников секретного чата начали сажать…


        1. ne_kotin
          07.10.2019 11:57

          а потом участников секретного чата начали сажать…

          В «секретном чате» больше двух участников быть не может. А если вы про «сИкретные» облачные группенчаты — так при чем тут телега, если участники на опсек кладут и добавляют кого попало?


      1. dartraiden
        07.10.2019 16:49

        Чо там, пиннинг сертификатов в DoH кто-то из популярных софтов юзает? Упс, нет, не юзает. Мало кто юзает. Ну и всё — заворачиваем с подменой сертификата этот DoH на себя и блокируем запрос eSNI.

        А когда включат пиннинг сертификатов повсеместно и DoH наберёт популярность, просто тупо баним Cloudflare в России. Сопуствующий ущерб Роскомнадзор не волнует, Amazon вам это подтвердит.


        1. ne_kotin
          07.10.2019 17:31

          Чо там, пиннинг сертификатов в DoH кто-то из популярных софтов юзает?

          А что, в мозилле имплементировали без оного? В гугле тоже? При том, что так то они уже давно цепочки проверяют и пинят CA.

          А когда включат пиннинг сертификатов повсеместно и DoH наберёт популярность, просто тупо баним Cloudflare в России

          Ну, там, когда Amazon побанили — много всего отвалилось. Есть мнение, что с Cloudflare примерно так же будет. Амазону конечно же ни холодно, ни жарко — он свои деньги получил.


          1. xdimquax
            07.10.2019 17:33

            Есть мнение, что с Cloudflare примерно так же будет.

            Если не хуже.


            1. A1054
              08.10.2019 15:13

              От пиннига хром отказался, вроде пару лет назад.


    1. Barma2012
      07.10.2019 12:59

      Мне кажется, вопросы безопасности и им подобные, можно свести к одному — «что важнее, колбаса или свобода?»
      Для большинства людей важнее «колбаса» — вероятно по той причине, что они не очень понимают, что делать со свободой, или что она вообще такое…


      1. xdimquax
        07.10.2019 14:22

        Для многих такой выбор вообще не стоит, потому что не все осознают, что есть выбор, и что они жертвуют свободой вследствие своего выбора.


    1. xdimquax
      07.10.2019 14:16

      Просто люди не готовы отказаться от всех этих удобных облачных сервисов в обмен на приватность.

      Иначе говоря, большинство людей отказывается от приватности не в угоду безопасности, а просто из-за удобства.


  1. pewpew
    07.10.2019 10:59
    +11

    Удобно давить на общественное мнение, прикрываясь защитой детей.


    1. ne_kotin
      07.10.2019 11:07
      +1

      При том, что интернет — он не для детей вообще.


    1. tvr
      07.10.2019 11:35
      +3

      Удобно давить на общественное мнение, прикрываясь защитой детей.

      Вы не сочувствуете детям Германии?- Сочувствую. — А, полтинника жалко? — Нет. — Так почему же? — Не хочу…

      Эта музыка будет вечной.


    1. Eldhenn
      07.10.2019 14:08
      +2

      — Граждане! — сказал Остап, открывая заседание. — Жизнь диктует свои законы, свои жестокие законы. Я не стану говорить вам о цели нашего собрания — она вам известна. Цель святая. Отовсюду мы слышим стоны. Со всех концов нашей обширной страны взывают о помощи. Мы должны протянуть руку помощи, и мы ее протянем. Одни из вас служат и едят хлеб с маслом, другие занимаются отхожим промыслом и едят бутерброды с икрой. И те и другие спят в своих постелях и укрываются теплыми одеялами. Одни лишь маленькие дети, беспризорные, находятся без призора. Эти цветы улицы, или, как выражаются пролетарии умственного труда, цветы на асфальте, заслуживают лучшей участи. Мы, господа присяжные заседатели, должны им помочь. И мы, господа присяжные заседатели, им поможем.


    1. ScreamPassion
      07.10.2019 17:41

      А что самое печальное, так это то, что вместо того, чтобы решать вопросы о том, как оградить детей которых принудительно заставляют создавать такой контент, принимается решение этот контент просто никому не показывать(блокируя его).


      1. dimm_ddr
        08.10.2019 12:06

        Ну вообще в этом есть логика — без потребителя такого контента будет на несколько порядков меньше и производителя не всегда реально достать, он может просто физически находится в стране с которой нет договора об экстрадиции или где государство не имеет какой-то реальной власти. Конечно с производителями тоже нужно бороться, один путь не должен исключать второй, но логика в блокировках таких ресурсов есть и она вполне адекватна.
        Если что — я не защищаю блокировки вообще, я только говорю что они не являются просто созданием видимости деятельности, у них есть нормальное обоснование. Теоретически есть. На практике было бы неплохо какими-то цифрами доказывать обоснованность.


        1. ScreamPassion
          08.10.2019 12:18

          Я знал что рано или поздно подобное мнение появится, но тем не менее соглашусь только частично.
          Во первых, ловить опять же — надо тех кто этот контент покупает, а не блокировать все подряд.
          Во вторых мне кажется что данная категория потребителей, это сильно нездоровые люди, и при отсутствии такого контента, или идентификации их(с целью предупреждения и/или оказания им медицинской и/или психологической помощи) через этот контент, они к сожалению (сейчас говорю
          как психолог по образованию) 9 из 10, начнут компенсировать свои потребности, создавая массу проблем обществу.
          Ну и в третьих — как уже было сказано выше (и я с этим мнением полностью согласен), интернет — место не для детей, а тот интернет, который нужен детям а точнее его качество и безопасность, на уровне государства к сожалению, а может и к счастью создать не получится никогда, как минимум потому что у каждого родителя разное представление о воспитании да и возраст детей разный и масса других нюансов, по этому контроль должны осуществлять родители.


  1. riartem
    07.10.2019 11:56

    Я не очень понял, как DoH мешает блокировать сайты.
    Выключил VPN, включил эту фичу, захожу на заблокированный сайт, вижу – "сайт заблокирован".
    Или это в Беларуси настолько суровые блокировки?


    1. Revertis
      07.10.2019 12:33

      Всё объяснено в статье. Перечитайте ещё разок.


      1. riartem
        07.10.2019 12:44

        Перечитал, там по прежнему утверждается, что технология мешает блокировать сайты.

        Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки.

        … одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами

        Я её попытался использовать в Беларуси, но не заметил помех блокировкам. Поэтому и решил уточнить — я что-то включил не так или тут умеют блокировать нежелательные сайты лучше, чем в Британии?


        1. whyme
          07.10.2019 12:52

          Ваша же цитата

          обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов

          просто ваш фильтр не основан на перехвате DNS запросов. Если, конечно, все правильно настроили. Зайдите на какой нибудь dnsleaktest.com и пройдите тест, в случае DOH у вас должны быть сервера Cloudflare (или какие вы там насторили в firefox), при этом ДНС системы лучше выставить другие, к примеру 8.8.8.8, чтобы можно было заметить разницу.


        1. Aldrog
          07.10.2019 13:00

          Включен network.security.esni.enabled и network.trr.mode=2. Почти все заблокированные сайты работают без прокси и впн. Но это в России.


          1. sw0rl0k
            07.10.2019 15:26

            А у меня сначала работало, а потом перестало. При этом сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки даже учитывая https. Сайты, не поддерживающие ESNI по-прежнему просто не резолвятся.


            1. xdimquax
              07.10.2019 16:22

              сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки

              Вообще все сайты, или только заблокированные в РФ?


              даже учитывая https.

              Обычно https-сайты и редиретят на заглушку, не все банят по IP.


              1. sw0rl0k
                07.10.2019 16:45

                Вообще все сайты, или только заблокированные в РФ?

                Только заблокированные, конечно.
                Обычно https-сайты и редиретят на заглушку, не все банят по IP.

                Странно, у меня https-сайты без поддержки ESNI, например один-известный-трекер.org просто не открывается и выдает ошибку при установлении защищённого соединения. При этом сайты с поддержкой ESNI, например один-известный-трекер.nl редиректятся на провайдерскую заглушку о том, что данный сайт заблокирован на территории РФ.


            1. JustDont
              07.10.2019 16:41

              Сайты, не поддерживающие ESNI по-прежнему просто не резолвятся.

              Это так не работает. Если у вас и вправду всё нормально настроено, резолвиться они будут.

              сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки даже учитывая https

              Если забанен IP сайта — то там уже глубоко пофиг, https или не https.


              1. sw0rl0k
                07.10.2019 16:50

                Это так не работает. Если у вас и вправду всё нормально настроено, резолвиться они будут.

                Возможно, использовал неправильную терминологию. В общем, для сайтов по https, но без ESNI блокировка выглядит так:
                скрин


                1. JustDont
                  07.10.2019 18:22

                  Это бан по IP, где провайдер просто режет соединение, не заморачиваясь вопросами, что там у вас и какой протокол. Очевидно, что DNS тут у вас как раз таки давно уже отрезолвлен.


        1. Revertis
          07.10.2019 13:03

          Ну вот же:

          «На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН».
          Не хотели делать DPI, договорились на блокировку только по DNS. А тут такая подстава.


          1. riartem
            07.10.2019 14:13

            Я понял, большое всем спасибо за разъяснения


          1. xdimquax
            07.10.2019 14:26

            Подставка — это договариваться о блокировка, когда никто не просил этого делать.


        1. domix32
          07.10.2019 14:00

          Если совсем упрощенно — можно банить по айпи и по домену. DoH не дает определить к какому домену вы пытаетесь подрубаться и соотвественно второй способ превращается в тыкву.


    1. dartraiden
      07.10.2019 17:14

      Я не очень понял, как DoH мешает блокировать сайты.
      Сейчас будет лонгрид.

      DoH мешает только, если вы используете DNS-сервер провайдера (либо провайдер перехватывает DNS-запросы и заворачивает их на себя) и провайдер использует выдачу фальшивых ответов DNS как основной способ блокировки. В России например, почти ни один провайдер не полагается на это, как на единственный способ блокировок. Т.е. провайдеры применяют сразу несколько способов. Поэтому, сам по себе DoH не мешает блокировать.

      Для того, чтобы заметить хоть какой-то эффект, нужно включить ещё и поддержку eSNI.

      Дальше, вероятно, возникнет вопрос «как eSNI мешает блокировать сайты?».
      Представьте, что на IP-адресе 1.2.3.4 висят doloilukashenko.com (доступ к которому провайдер обязан блокировать) и kotiki.org (претензий к нему у Батьки нет). Для провайдера ваш заход на любой из этих сайтов выглядит как соединение с 1.2.3.4. Если используется незашифрованный HTTP, то провайдер посмотрит в заголовок HOST и поймёт, идёте вы на doloilukashenko.com или же на kotiki.org. И дропнет соединение с первым.

      С HTTPS сложнее. Чтобы продолжать иметь возможность заглядывать в заголовки, провайдеру нужно купить и установить оборудование DPI, которое может прочитать поле SNI в заголовке (в HTTPS оно не зашифровано). Вот тут и помогает eSNI — провайдер не может прочитать SNI (заголовок зашифрован) и пропускает запрос, а вы получаете возможность зайти на doloilukashenko.com.

      При этом, мелкие провайдеры себе такое позволить не могут. Но блокировать нужно, иначе государство сделает атятя. В таком случае провайдер рубит весь HTTPS-трафик до 1.2.3.4, а вы не зайдёте ни на doloilukashenko.com, ни на kotiki.org. И даже eSNI вам в этой ситуации не поможет. Тут вам поможет разве что VPN.

      Есть вполне обоснованные опасения, что с повсеместным внедрением DoH и eSNI все провайдеры просто откатятся на последний способ.


      1. xdimquax
        07.10.2019 17:29

        Не понимаю, чего все опасаются, если для обхода блокировок большинство и использует VPN и т.п.


      1. JustDont
        07.10.2019 18:25

        Есть вполне обоснованные опасения, что с повсеместным внедрением DoH и eSNI все провайдеры просто откатятся на последний способ.

        Не откатятся, так как это в некотором пределе эквивалентно бану всех облачных провайдеров, а в более длительном пределе — бану вообще всех IPv4 и даже v6. Исключая служебные адреса, но как мы знаем, РКН и это не останавливает. И белый список.


        1. xdimquax
          07.10.2019 19:10

          А какие у них еще есть варианты?


          1. JustDont
            07.10.2019 19:14

            Китайский сценарий, очевидно. Весь национальный сектор интернета тщательно огораживается, точки взаимодействия с внешним миром минимизируются и контролируются всеми возможными способами; гражданам страны в добровольно-принудительном порядке выдаются свои проверенные сервисы, а всяким гуглам и прочим ютубам показываем большой красный рубильник.

            Денег правда не хватит.

            А если говорить про что-то реальное — то или таки будут бегать с банами по IP некоторое время, пока крупные игроки не взвоют, или просто ограничатся какой-либо формой имитации бурной деятельности. В конце концов, у них цель — не интернет забанить, а сидеть и получать весомую зарплату как можно более длительный срок.


            1. xdimquax
              07.10.2019 19:26

              Что-то мне не кажется это более реалистичным вариантом. :-) Во всяком случае, до тех пор, пока целью не будет блокировка всего ''вражеского'' интернета.



            1. Sheti
              08.10.2019 13:08

              Китайский сценарий возможен только там где изначально ничего кроме китайского не было. В современном мире который вырос в открытом интернете попытки блокировать облачных провайдеров это мощный выстрел себе в обе ноги сразу. Трудно предсказать последствия таких действий. Чего уж говорить если промышленные станки требуют связи с интернетом. Не говоря о куче так называемых IoT.


              1. Victor_koly
                08.10.2019 13:39

                Главное — чтобы станки не скачивали обновы и не выводили сообщение «Через 15 минут будет ресет».


        1. Alex023
          08.10.2019 08:45
          -1

          Потому что блокировать нужно не адреса, а самих людей разрушающих основы общественного устройства. От предупреждения до бана на 3 года для физлица. Суть бана — превратить для таких Web 2.0/3.0 в 1.0 и все замечательно. Смотреть можешь. Публиковать что либо нет. Read-only интернет.
          P.S. Чем минусовать, выразите своё мнение. Может ваше видение окажется еще более правильным.
          То что написал, не моё изобретение чтобы меня минусовать. Читайте устав сети FIDO. Вспоминайте те правила.


  1. A114n
    07.10.2019 14:03
    +3

    Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета».


    Значит хорошие сапоги, надо брать ©


  1. atbuhw
    07.10.2019 15:37
    +1

    Меня ещё напрягает то, что Mozilla собирается устанавливать настройки по умолчанию в конкретной стране. (Заметим, даже не при выборе конкретного языка, по-английски говорят много где, а именно в конкретной стране.) Как они это будут делать? Определять геолокацию при скачивании пакета? Мне кажется, это достаточно опасный прецендент, как минимум в десктопном мире. А если впоследствии они или кто-то ещё будут раздавать разные версии уже не настроек, а самой программы, и не в зависимости от государства скачивания, а по каким-то ещё критериям?

    Это сильно подрывает безопасность open source: большинство пользователей не читает исходники самостоятельно и не компилирует программы самостоятельно, но (было) достаточно вероятно, что те, кто прочитал исходники, получают те же исходники, что и все остальные, и эти исходники компилируются в те же бинарники, что и (каждый) пользователь может скачать напрямую с сайта.


    1. Barbaresk
      07.10.2019 16:24

      Ну как бы так уже много лет. При скачивании мозиллы в России ставится яндекс поиск по умолчанию, а потом еще и толком не удаляется. И много кто так делает.


      1. dartraiden
        07.10.2019 17:25

        При скачивании мозиллы в России
        Не в России, а установщика из подкаталога /ru, либо брендированного под Яндекс установщика, который предлагается тем, кто зашёл на mozilla.org/ru/firefox/new/ (скачивается он с сервера Яндекса, это уже не «мозилловский» установщик, там ещё ряд яндексовских сервисов в комплекте).

        Я, находясь в России, скачиваю en-US установщик (у меня весь софт на английском) и никакого Яндекса там нет.


      1. atbuhw
        07.10.2019 17:44

        Да, это зависит от языка браузера (и его можно выбрать при скачивании), а не от страны скачивания. Хотя это тоже неприятно, конечно. Но если выбрать английский язык при скачивании, яндекса по умолчанию не будет.


        1. NetBUG
          07.10.2019 18:42

          Не английский, а en-US.
          en-UK, как мы видим, неоптимален (хотя это было видно ещё по раскладкам клавиатуры на Raspberry Pi)


    1. dartraiden
      07.10.2019 17:23

      Определять геолокацию при скачивании пакета?
      Нет, по локали системы и браузера.

      Если у вас en-US система и браузер, по идее, вы тоже получите включённый DoH.


  1. Kellis
    07.10.2019 17:37

    А разве тот адрес, что указан по умолчанию в ФФ, не забанен в РФ?


  1. vassabi
    07.10.2019 20:11

    это еще что — из Австралии им там еще не писали, чтобы встраивать бекдоры по запросу?


  1. Homas
    07.10.2019 22:10

    На самом деле поддержка DoH в Mozilla не имеет ничего общего с privacy. Это просто способ перенаправить трафик в CloudFlare и монетизировать его. Будет работать только для тех пользователей, которые не разбираются в теме.
    1. The canary domain — хорошо известен. Блокируется без проблем. 100% будет заблокирован у больших провайдеров, которым тоже нужны эти данные с DNS (для маркетинга и предоставления услуг фильтрации трафика). В этом случае FF просто будет даунгредится до обычного DNS. + есть проверки на наличие корпоративных политик.
    2. В данный момент механизм проверки DoH реализован через plugin и изначально будет развертываться только в США. Plugin доступен на github.
    3. Если прописать свои настройки DoH, то FF будет их использовать.
    4. Если Вам нужна приватность — используйте VPN и/или Tor возможно с комбинацией DoH/DoT (если, конечно, вы доверяете их провайдерам). Просто DoH/DoT не могут этого обеспечить.


  1. Suntechnic
    07.10.2019 22:32
    +1

    Вредит общественной безопасности Палата Общин.
    Она целиком состоит из придурков которых надо вешать на столбах. Понапринимают дебильных законов, а народ Великобритании страдает от этого.
    Как говорится у Великобритании две беды — и если одну можно решить с помощью асфальтоукладочных катков, то что делать с дорогами, совершенно не понятно.


    1. Meklon
      08.10.2019 10:24

      Так толсто, что аж тонко)


      1. Suntechnic
        08.10.2019 14:19
        +2

        К сожалению последние изменения в законодательстве Великобритании, не дают возможности выражаться иначе — только прямо рубить правду матку с плеча, можно сейчас на просторах некогда великой, но умирающей империи.


  1. JPEGEC
    08.10.2019 07:42

    И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц».
    Готов к конкретным предложениям. Но сдается мне, дядя выдает желаемое за действительное.


  1. Hivemaster
    08.10.2019 08:02

    Как на счёт того, чтобы бороться с причинами, а не следствием — пресекать само насилие над детьми, а не распространение видео об этом?


  1. Zanak
    08.10.2019 08:24

    Все чаще получаю сообщение "ошибка установки защищенного соединения", особенно когда пытаюсь искать книги на разного рода файлопомойках. Подозреваю, что кроме пиара самой Mozilla эта история ни кому и ни чего больше не принесет.