Поддержка DoH уже встроена во все основные браузеры. Пользователям нужно её только включить и настроить.


Все шесть производителей основных браузеров планируют поддерживать протокол DNS по HTTPS (DoH), шифрующий DNS-трафик и помогающий усилить конфиденциальность пользователя в сети.

Этот протокол является одной из самых обсуждаемых тем этого года. Он позволяет браузеру прятать DNS-запросы и ответы внутри обычного на первый взгляд HTTPS-трафика.

Это делает DNS-трафик пользователя невидимым для сторонних наблюдателей за сетью, например, провайдеров. Однако если пользователи обожают DoH и считают его благом для конфиденциальности, провайдеры и производители средств кибербезопасности его ненавидят.

Британский провайдер назвал Mozilla «интернет-злодеем» за планы компании по внедрению DoH, а группу лоббистов от Comcast уличили в подготовке документа касательно DoH, который они планируют представить законотворцам Британии, надеясь предотвратить более широкое распространение протокола.

Однако, время уже может быть упущено. Редакция в течение недели связалась с производителями основных веб-браузеров, чтобы узнать об их будущих планах касательно DoH, и все они планируют внедрять протокол в том или ином виде.

Как включить DoH в любом браузере


Вот, что нам известно на сегодня по поводу планов производителей браузеров, связанных с DoH, и о том, как пользователи могут включить DoH в любом браузере.

Brave


«Мы очень хотим реализовать его», — сказал нам Том Лоуэнталь, менеджер продукта из Brave for Privacy & Security.

Однако у команды Brave пока нет точных сроков внедрения DoH. Они занимаются другими улучшениями, связанными с приватностью. К примеру, на этой неделе компания выпустила обновление, улучшающее распознавание скриптов, отслеживающих действия пользователей. На горизонте маячит версия Brave 1.0, и команде нужно сконцентрироваться на её выходе. Но DoH в Brave будет.

«Реализация DoH – это гораздо больше, чем простая техническая задача. Нам нужно решить, какие разумные и защитные установки мы можем включить по умолчанию для большинства людей, не задумывающихся о настройке DNS – но так, чтобы мы ничего не сломали у тех людей и организаций, что тщательно подошли к подстройке своих программ», — сказал Лоуэнталь.

Поскольку Brave основан на открытом проекте Chromium, в нём есть поддержка DoH. Однако команда пока не настроила эту поддержку. В коде она есть, но включается так, как это придумала команда авторов Google Chrome. Включить DoH в Brave можно, перейдя на следующий URL:

brave://flags/#dns-over-https



Chrome


Google Chrome стал вторым браузером после Firefox, добавившим поддержку DoH. Её можно включить, перейдя по следующему URL:

chrome://flags/#dns-over-https



По-умолчанию DoH не включено для всех. Сейчас Google проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы проверить, как DoH покажет себя при реальном использовании.

Поддержка DoH в Chrome отличается от Firefox, по-умолчанию перенаправляющего DoH-трафик на Cloudflare. Браузер после включения протокола будет отправлять DNS-запросы на всё те же сервера, что и ранее. Если у выбранного сервера окажется интерфейс с поддержкой DoH, тогда Chrome зашифрует DNS-трафик и отправит его на тот же DNS-сервер по протоколу DoH.

Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

На текущий момент DoH в Chrome работает так:

  • Пользователь вводит URL сайта в браузере.
  • Chrome получает данные по DNS-серверу ОС.
  • Он проверяет, есть ли этот сервер в белом списке одобренных серверов с поддержкой DoH.
  • Если да, Chrome отправляет зашифрованный DNS-запрос на интерфейс этого сервера.
  • Если нет, Chrome отправляет обычный DNS-запрос к этому серверу.

Поэтому у пользователя существует риск так и не воспользоваться протоколом DoH. ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

Однако есть два способа обойти это и заставить Chrome использовать DoH постоянно и вне зависимости от настроек DNS вашего провайдера.

Во-первых, можно воспользоваться обучающим материалом по принудительному включению поддержки DoH в Chrome. Во-вторых, пользователь может настроить DNS-сервер с поддержкой DoH в своей ОС. Его можно выбрать из списка, и это гарантированно будет работать в Chrome.

Edge


В следующем году Microsoft планирует выпустить новую версию браузера Edge на основе кода Chromium. Представитель Microsoft сообщил нам, что компания поддерживает DoH, но точные планы не раскрывает. Однако, версия Edge на основе Chromium уже поддерживает DoH. Её можно включить, перейдя по URL:

edge://flags/#dns-over-https



Это включит поддержку DoH, но она будет работать только, если ваш компьютер использует DNS с поддержкой DoH – чего в 99% случаев не происходит. Чтобы принудительно включить DoH в Edge, вы можете воспользоваться инструкцией из следующего поста в блоге одного из программистов Edge. Адрес сервера Cloudflare можно заменить на любой другой сервер DoH, который можно выбрать по ссылке. После соответствующей настройки, Edge способен работать с DoH.



Firefox


Mozilla стала пионером этого протокола совместно с Cloudflare. Поддержка DoH уже есть в стабильных версиях Firefox. Её можно включить в настройках в разделе «Настройки сети».



Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

Однако это значение можно поменять, прописав любой сервер с DoH. Из всех браузеров, поддержка протокола в Firefox реализована лучше всего, а настроить её легче всего – в основном потому, что разработчики имели с ней дело дольше остальных.

Сейчас браузер уже включает поддержку DoH по умолчанию для всех пользователей США. Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

В прошлом Mozilla не гарантировала включение DoH по умолчанию в других странах. Однако, поскольку поддержка протокола уже есть в стабильной версии браузера, пользователю остаётся лишь включить её, и всё будет работать.

Opera


Opera уже встроила поддержку DoH. По умолчанию она выключена, но её можно включить в любой момент, и всё будет работать без дополнительных шагов.

Разработчики Opera используют модуль для работы с DoH сходный с тем, что используется в Firefox, и не оставляют всё на откуп провайдерам, как Chrome. Весь трафик браузера сейчас идёт через резолвер 1.1.1.1 от Cloudflare.

Мы не нашли способа поменять его на другой, но, по крайней мере, DoH в Opera работает. Однако работать с VPN он не будет – если вам нужен DoH, то его придётся отключить.

Чтобы включить DoH в Opera, зайдите сюда:

opera://flags/opera-doh



Safari


Нет данных. Разработчики Safari обычно опаздывают на все вечеринки по добавлению новых возможностей, а Apple недавно вкладывалась в конфиденциальность пользователей, поэтому есть все шансы, что у Safari появится поддержка DoH.

Vivaldi


Представитель Vivaldi сказал, что поддержка DoH связана с реализацией Chrome. Пользователи могут включить её, перейдя по следующему URL:

vivaldi://flags/#dns-over-https



Однако поскольку DoH в Vivaldi работает так же, как в Chrome, он не будет шифровать DNS-запросы, если пользователь использует DNS-сервер, указанный в ОС, и не поддерживающий шифрование.

Скорее всего, придётся добавить в настройки DNS вашей ОС один из серверов, поддерживающий DoH, чтобы эта функция заработала в Vivaldi, и использовать его постоянно. Мы смогли добиться этого, прописав в настройках DNS-сервер 1.1.1.1.

Представитель Vivaldi сказал, что в будущем поддержка DoH в браузере может поменяться, в зависимости от того, как Google будет изменять поддержку протокола в Chromium.

Комментарии (201)


  1. Radjah
    02.12.2019 10:33
    +1

    Инструкция занятная. Firefox и 5 «скинов для хромиума».


    1. JustDont
      02.12.2019 10:54

      Выбор браузеров, которого мы достойны.

      Через несколько лет наступит очередная эра IE6, только IE6 будет называться Chromium.


      1. Zenitchik
        02.12.2019 13:08

        Так она уже наступила. IE5, 5.5, 6 тоже сосуществовал с парой малопопулярных браузеров.


        1. JustDont
          02.12.2019 13:11

          Ну да, плохо написал. Эра-то уже наступила, через несколько лет пойдёт первая волна последствий.


          1. Zenitchik
            02.12.2019 13:23
            +1

            Если рассуждать по аналогии, то через несколько лет начнётся следующая итерация появления «альтернативных браузеров».


            1. AllexIn
              02.12.2019 14:28
              +9

              Сложность браузеров невообразимо выросла. Сделать сейчас браузерный движок, который сможет вытянуть все актуальные веб технологии — задача сложная.
              Поэтому как практически перестали появляться десктопные ОС, так и браузерные движки перестали появляться.


              1. Finesse
                03.12.2019 05:55

                Весь этот зоопарк API просто проигнорируют: текущие API станут устаревшими, на смену им придут более простые API. Это тоже было в истории с IE. jQuery снова станет актуальной.


                1. epishman
                  03.12.2019 08:07

                  Нету там зоопарка, все последние апи логичны и юзабельны. Максимум что можно сделать — удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.
                  Если рассматривать кардинально новые подходы к интерфейсу — я знаю только Flutter, но он пока зело убог, подходит только для мобильников, там нет даже CSS, зато есть ад вложенных колбэков, и как на нем будет выглядеть верстка нормального сайта — пока не представляю.


                  1. Gamliel_Fishkin
                    03.12.2019 17:41

                    удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.
                    Это было бы удобно спецслужбам, цензорам и т. п.: чем блокировать 100500 сайтов, достаточно было бы приказать нескольким поисковикам. Разумеется, внутренне свободным людям, желающим быть людьми, а не стадом, такое не подойдёт.


                    1. epishman
                      03.12.2019 18:18

                      При чем тут это. Мы говорили об устаревших веб-стандартах. Есть куча сайтов умерших людей и компаний, и заботиться об их существовании должно общество — либо превращая браузер в легаси, либо обновляя их разметку принудительно.


    1. Balling
      02.12.2019 21:32
      +2

      Инструкции дерьмо, вот рабочая для chrome. Пишите в ярлыке
      --enable-features="DnsOverHttps<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:Fallback/true/Templates/https%3A%2F%2Fcloudflare-dns.com%2Fdns-query", а то после обновления до 78 старье не работает.
      bugs.chromium.org/p/chromium/issues/detail?id=1026201&can=1&q=Dns%20over%20https

      Для этого не надо ждать пока google подключит вас, но и менять ваше dns тоже не надо в настройках windows, класс да!

      Если у кого не влезает в ярлык, можно добавить переменную окружения, а в ярлык добавить просто саму переменную в знаках процентов.


      1. abrwalk
        04.12.2019 00:40

        У меня не завелось, пробовал через cmd и через бар totalcmd (там хватает места). Dns leak test говорит что стоят гугловые днсы (как в системе). проверял тут browserleaks.com/ip

        А в Firefox-е же при включенном DoH — только один IP — Cloudflare.


        1. Balling
          04.12.2019 00:44

          Проверять надо тут. 1.1.1.1/help
          И Fallback/true на false замените. Но наверное они ещё полную изоляцию не допилили. И в firefox у меня вообще сайт dnsleak не открывает, а в вашем сайте тоже пишет dns сервера моего провайдера (в лисе, опять таки).


  1. Sabubu
    02.12.2019 10:50
    +1

    Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

    Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей? Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH и сидеть на работе в соцсетях.


    ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

    Смысл DoH как раз в том, чтобы не передавать данные о посещенных сайтах провайдеру и садистам из правоохранительных органов. Гугл же сливает протест идею с полным шифрованием трафика от местных коррумпированных властей. В демократии же гарантируется тайна переписки? Ну так давайте добавим к словам на бумаге технические меры по ее обеспечению, а судьи со своими законами могут идти туда, куда им укажут пользователи.


    Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

    В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.


    Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

    Слабаки.


    Я сам включил в фаерфоксе DoT при первой же возможности,


    1. taliano
      02.12.2019 12:30

      Все нормально. Пользователи Chrome должны страдать.


    1. Mur81
      02.12.2019 13:48
      +7

      Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей?

      Во-первых при чём тут админы? Вы понимаете вообще, что на предприятиях могут быть внутренние WEB-ресурсы, доступ к которым естественно через внутренний DNS?
      Во-вторых что это за такие никому не интересные предприятия? Вообще как бы на предприятиях зарабатываются деньги, а люди там получают зарплату, на которую живут. Или браузер нужен только что бы котиков смотреть?
      И главное в Chrome это пока реализовано на уровне экспериментальной фичи (достаточно трафик поснифать, что бы понять что сейчас это костыль). Я надеюсь, что в релизе это будет сделано по человечески, в частности будет нормально настраиваться через настройки и через GPO.


      1. Sabubu
        02.12.2019 16:40
        +8

        Плевать на предприятия. Пусть предприятия используют специальный браузер для предприятий (майкрософт выпустит вам такой, в крайнем случае исходники открыты, пусть админ соберет что нужно) без шифрования и протокол HTTP, а нормальным людям надо оставить шифрованный браузер.


        История показывает, что коррумпированные (читай: все) правительства ведут незаконнную слежку и их невозможно привлечь к ответственности. Потому шифровать нужно все, что можно, пользуясь тем, что это пока не запрещено, а если запретят, то шифровать подпольно. Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать. Они хотят знать о вас все, а вам о них и об их доходах знать не положено. Потому шифровать свои данные от них нужно хотя бы их принципа.


        А без GPO массовые пользователи вполне могут обойтись.


        1. Rampages
          02.12.2019 18:53
          +1

          На предприятии тоже может быть MitM атака, поэтому трафик в локальной сети должен быть тоже защищен и обойтись без шифрования не получится.

          И вроде как в нашем государстве нельзя шифровать так, чтобы правительство не могло это расшифровать (ну тут без ссылок, мне влом разбираться в этом вопросе в данное время). Ну и помнится всякие АТС и коммутаторы с определенными функциями шифрования должны обязательно получить разрешение ФСБ, без ФСБ ни купишь/ни продашь.

          Ну тут как бы надо понимать, что по идее правительство == люди, люди == вы. Правительство не враг. Просто есть люди в правительстве, которые злоупотребляют правами или лоббируют интересы третьих сторон, а вообще там идут те еще игры престолов.

          Наверное это правительство, которые мы заслужили. Нету активной гражданской позиции, ни у меня, ни у моих знакомых/друзей/родственников, а те у кого она есть сидят в одной партии. Все привыкли к правлению Единоросов, а до этого к ком.партии.


        1. Garbus
          02.12.2019 21:15
          +1

          Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать.

          Открою страшный секрет — корпорации в этом пункте ничем не отличаются от правительства. И чем больше размер корпорации и её захват рынка тем сильнее это выражается.
          А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?


          1. Sabubu
            03.12.2019 09:49
            +2

            Верно, мораль и мотивация у глав корпораций и глав правительств одинаковая. Глава компании тот же рабовладелец в душе. (Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда? Работники сами голосованием будут устанавливать режим труда, зарплату, выбирать руководство. Разумеется, не отобрать сразу, а постепенно, дав хозяину возможность выжать оставшуюся прибыль. Как с крепостными было.)


            Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.


            1. wholeman
              03.12.2019 12:16

              Да Вы, батенька, прям коммунист. Жаль, что Хабр не для политики.)


              1. Garbus
                03.12.2019 13:26
                +1

                Не, коммунист получится такой себе. Пока в уравнении будут присутствовать деньги как цель и мерило успеха — коммунизм будет «ненастоящим».

                Работники сами голосованием будут устанавливать режим труда

                И неизменно вылезает вопрос компетентности. Работник уделяющий пол часа в неделю вопросу управления заводом, гарантированно будет хуже чем специально выделенный человек. Вот только куда будет «рулить» этот человек, самый сложный в решении вопрос.


            1. Gamliel_Fishkin
              03.12.2019 17:51

              Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
              Я далеко не марксист, но Маркс, можно сказать, ответил на Ваши слова: «ради прибыли капиталисты способны на любое преступление».


              1. Zenitchik
                03.12.2019 18:34
                +1

                Маркс — про моральную способность, а Sabubu — про физическую.


                1. Gamliel_Fishkin
                  03.12.2019 19:24
                  -1

                  Вы думаете, у них нет технической возможности?

                  Четыре года назад при не вполне ясных обстоятельствах был убит один из ключевых разработчиков Linux'а. Разве это убийство не может быть выгодно некоторым софтверным гигантам, чьи сверхприбыли могут оказаться под угрозой из-за распространения Linux'а?


                  1. Whuthering
                    03.12.2019 19:32

                    Сверхприбыли софтверных гигантов? Да софтверные гиганты (Google, Oracle, IBM, и многие другие) на Linux и его экосистеме наоборот очень хорошо зарабатывают. И даже те, что были резко против (Microsoft), тоже начали вполне успешно развивать бизнес в эту сторону.

                    Мёрдока жалко, конечно, вот только что-то незаметно, что его кончина как-то серьезно затормозила развитие Linux и Debian. Если уж строить козни, то задумавшим все это стоило бы сотню самых активных контрибьюторов на тот свет отправить, иначе все как-то бессмысленно выходит.

                    Честное слово, как будто мы не на Хабре, а на форуме зрителей РенТВ.

                    Ну и в целом, разговор все-таки немного о разном у вас. Влияние иностранных «гигантов» за пределами их стран все-таки очень сильно ограничено (если не включать фантазии в стиле шпионских романов), а вот своих отечественных органов — наоборот, не ограничено практически ничем. И чтобы пострадать от них и сломать себе жизнь, не нужно быть каким-то видным активистом, достаточно просто случайно попасть под руку.


                1. wholeman
                  03.12.2019 20:39
                  +1

                  Про это он тоже писал, что государство обслуживает интересы господствующего класса, т.е. при капитализме — тех самых корпораций. Если корпорации сочтут, что вы представляете для них опасность, они при помощи государства на вас воздействуют.


            1. diakin
              03.12.2019 18:08
              +4

              >Кстати, что вы думаете об отмене частной собственности на компании и >передаче управления в руки коллектива в целях улучшения условий труда?
              Создай свою компанию, выведи ее в прибыль и передай в руки трудового коллектива, который будет принимать управленческие решения путем голосования. И всем будет счастье.


              1. firk
                03.12.2019 22:53

                Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
                Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.


                В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.


                1. diakin
                  04.12.2019 06:22

                  Смысл моего ответа был в том, чтобы показать автору утопичность его предложения. Начни с простого — создай прибыльный бизнес. На этой фразе можно было бы обсуждение и закончить. Но можно еще подумать о том, что трудовой коллектив к процессу создания бизнеса не имеет отношения от слова «совсем». Цель трудового коллектива — побольше получать и поменьше работать, а не вкладываться в бизнес. Думать иначе — это утопия.
                  Условия труда и отношения предприятия и наемных работников регулируются действующим законодательством, социальную защиту обеспечивает государство. Задача бизнесмена -эффективно вести собственный бизнес, иначе прогоришь.


                  1. wholeman
                    04.12.2019 08:49

                    Цель трудового коллектива — побольше получать и поменьше работать
                    Для чистильщика сортира — полностью согласен. Программисты же вполне могут вкалывать, потому что это им нравится. Если при этом лучшая работа ведёт к лучшей зарплате напрямую, без участия компании, которая отгрызает себе хороший кусок дохода, то это вообще идеал (если не учитывать риск провала, конечно).


                    1. flx
                      04.12.2019 17:16
                      +1

                      >Цель трудового коллектива — побольше получать и поменьше работать

                      В пределе ты вообще не работаешь ни секунды, ты просто делаешь то что доставляет тебе удовольствие и хорошо у тебя получается.


                      1. wholeman
                        04.12.2019 22:14

                        Это всё равно работа, даже если доставляет удовольствие.


                        1. flx
                          05.12.2019 12:39

                          а как тогда назвать то чем занимаются сотрудники макдональдс?
                          ну или любое другое трудоустройство где люди считают секунды до окончания рабочего дня?

                          невозможно же два принципиально разных явления называть одним словом.


                          1. geher
                            05.12.2019 22:07

                            Почему принципиально разных?
                            Человек получает деньги за деятельность, полезную для клиентов.
                            Его личное отношение к деятельности рассматривать можно, и это позволит классифицировать работу по этому параметру, но общий признак таки позволяет назвать любую работу работой вне зависимости оттого, приносит ли она удовольствие, а если приносит, то весь ли рабочий день.


                  1. flx
                    04.12.2019 17:16

                    ну тут вы как минимум не правы.
                    имеет и еще какое. и что-то похожее на управление коллективом у нас и есть…


                  1. Sabubu
                    04.12.2019 18:39
                    +2

                    Но разве не так же рассуждали землевладельцы в средние века? "Крестьяне только и хотят поменьше работать на барщине и побольше оставлять урожая себе. Пусть пойдут захватят новые территории, получат дворянский титул и отменяют крепостное право в своем домене сколько влезет."


                    Вы начнете возражать, мол, никто тебя к градообразующему предприятию цепью не привязывал, вместо работы 8 часов за станком за копейки ты можешь 12 часов в сутки катать тележки в магазине за меньшие копейки. Ну так это как возможность в Юрьев день перейти к барину подобрее.


                    Разве я не прав? Поясните пожалуйста.


                    Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Разве работники не лучше знают, какая зарплата им нужна?


                    И я не считаю себя сторонником коммунизма, не сторонник того, чтобы людей отправляли в ГУЛАГ или сажали за антисоветские разговоры.


                  1. firk
                    04.12.2019 23:12

                    Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
                    Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
                    И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.


            1. fpir
              04.12.2019 10:12

              Я видел такое, при Горби пошла мода на выборы директоров. В общем-то это органично вписывалось в социалистическую идею. Как правило, рабочии и служащии прекрастно знали, кто какой специалист. Видел и опракидывающие выборы, когда *удака меняли на более приличного. Конечно, исселедование этого вопроса не проводил, но субективно — чаще был положительный эффект.


            1. geher
              04.12.2019 21:51
              +1

              Глава корпорации пришлет к вам СБ корпорации с "электрошокерами", отправит вас в подвал или сфальсифицирует доказательства вашего участия в "ограблении компании на астрономическую сумму", чтобы подать на вас в суд.
              Если у него связи в спецслужбах и в суде, то может и судью попросить, и дело сфальсифицировать, и сотрудников спецслужбы приехать за вами.


            1. Vilgelm
              05.12.2019 08:04
              +1

              Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда?

              Вы, конечно, не у меня спрашивали, но не могу пройти мимо: ничего не получится, но в итоге поменяется собственник. И этому есть доказательства, потому что нечто подобное уже происходило всего-то менее чем 30 лет назад в России, называлось ваучерная приватизация.

              И это нормально, во-первых, потому что большинству людей это нафиг не сдалось, во-вторых, потому что когда все миноритарии, то к сожалению ничего не взлетит, потому что как минимум часть людей будут жить по принципу «раз я тут миноритарий, то пойду с****у пару болтов, ну а че».


          1. Gamliel_Fishkin
            03.12.2019 17:46

            А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?
            Акулы вроде Microsoft и Google — с целью захвата рынка, да. А, например, Mozilla? Есть акулы, но и есть и романтики.


          1. Vilgelm
            05.12.2019 08:07
            +2

            Не отличаются. Но корпорации, какие бы крупные они не были, по сравнению с правительствами щенки просто. Корпорация не может настолько сильно влиять на вашу жизнь (не посадит вас в тюрьму без содействия правительства), у корпораций есть конкуренты, к которым вы можете уйти и так далее. А правительство — это мегакорпорация с абсолютной властью и без конкурентов, к которым вы можете перейти (ну или по крайней мере это намного сложнее, чем купить вместо Pixel iPhone или наоборот).


      1. BiW
        02.12.2019 17:28

        Мало того, что костыль, так и в версии для Linux не поддерживается.


    1. rupas_k
      02.12.2019 13:55
      +1

      в плане обеспечения безопасности предприятия данные с DNS являются достаточно полезным индикатором. Поэтому фраза: " Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH" не совсем корректна.


    1. Dr_Sigmund
      02.12.2019 17:40
      -4

      В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.


      Ну конечно, гораздо лучше отдать их невесть где сидящим админам какой-то американской компании. Они спать не могут, всё думают, как бы наши права посильнее уважать.


      1. Whuthering
        03.12.2019 15:10
        +4

        Увы, но наши провайдеры вынуждены подчиняться законодательству страны, к которому (и к практике соблюдения которого) есть много вопросов.
        Выше вон уже написали:

        Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
        Замените «главу корпорации» на «какую-то американскую компанию», и комментарий станет полностью акутальным для вашего высказывания.


        1. Dr_Sigmund
          04.12.2019 02:12

          Увы, но наши провайдеры вынуждены подчиняться законодательству страны

          Почему «увы» — они что, не должны ему подчиняться?
          к которому (и к практике соблюдения которого) есть много вопросов

          А к американским компаниям вопросов нет?
          Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами

          Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод, по щелчку пальцев они не появляются. А глава американской корпорации, конечно, их прислать не может. Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom


          1. Pavel1114
            04.12.2019 03:58

            www.youtube.com/watch?v=Dp2DfGh-QG0
            Не по щелчку конечно. Но и без особых усилий. У них вроде сейчас и другой работы то нет


            1. Dr_Sigmund
              04.12.2019 13:10

              Даже вашей обрезанной версии достаточно, чтобы услышать про группу «Русскоязычный бандеровец», а если посмотреть чуть более полную версию этого видео, то становится понятно, что чувак — нацик-отморозок. И таким ФСБ действительно должно наносить визиты вежливости. Я, как гражданин и житель РФ, всецело это поддерживаю.


              1. Pavel1114
                04.12.2019 16:32

                Действительно с этим видео я ошибся. Хотя сама формулировка «по факту размещения вами комментария в социальной сети», конечно, сильная. Если он террорист, то и сажать его надо за терроризм. А за комментарий, какой бы он не был, сажать нельзя.


                1. Dr_Sigmund
                  04.12.2019 23:52

                  Если он террорист, то и сажать его надо за терроризм.

                  Так он пока не террорист — не зарезал никого, не взорвал ничего. Его берут именно за то, что он совершил — «публикацию сообщения экстремистской направленности в сети Интернет», или как там это описывается сухим языком протокола. И правильно делают, что берут. Во избежание.
                  А за комментарий, какой бы он не был, сажать нельзя.

                  Моё глубокое убеждение, что, в зависимости от комментария, можно и нужно. К примеру, отправкой на нары блогера Синицы я был вполне удовлетворён.


                  1. Pavel1114
                    05.12.2019 03:43
                    +1

                    Может быть в каких то случаях и можно было бы сажать. Но. Судебная система в России не то что бы несовершенна, но определённые проблемы у неё есть. А у правоохранителей есть планы, отчёты по раскрываемости. Завтра майору захочется закрыть вас(бизнес, обида, отчёт на конец квартала). Зайдёт на вашу страницу ВК. Найдёт там экстремизм или оскорбление чьих нибудь чувств, или неуважение чего либо. Вы можете сказать «не сможет — я порядочный гражданин и у меня такого нет». Но вы не эксперт. Эксперту будет виднее. К тому же может эту страницу они заранее подготовят. Суду вообще пары скриншотов(или фото экрана) хватит.


          1. Whuthering
            04.12.2019 13:22

            Почему «увы» — они что, не должны ему подчиняться?
            Как я уже сказал, к этому самому законодательству и практике его применения есть очень много вопросов. Поэтому «Увы».
            А к американским компаниям вопросов нет?
            Вопросы есть и к тем и к тем, вот только вопросы разные, и последствия их для граждан тоже разные. Как вы сами отметили, если вы осознанно на «их» территорию не приедете, то они до вас вообще не смогут дотянуться, даже если вдруг по какой-то невероятной причине захотят.
            Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод
            Например, основать успешный бизнес и не поделиться, или просто перейти в жизни дорогу какому-нибудь «уважаемому человеку». А кроме спецслужб у нас есть еще и другие силовые структуры, и в их случае достаточно желания выслужиться должностного лица и случайного невезения гражданина.
            Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom
            Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.


            1. Dr_Sigmund
              04.12.2019 14:20
              -2

              Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.

              Может, они в чём-то виновны, может, нет, я этого не знаю. Я знаю, что их арестовали за что-то, что они делали в сети, когда они выехали за рубеж, и что им предъявили обвинения на основании законодательства других государств. А законы бывают покруче наших — у нас тут возмущаются, когда кого-то берут за задницу за пост или коммент, а, например, в Англии по новому закону можно схлопотать пятнадцать лет за всего лишь ПРОСМОТР террористических сайтов (пруф: www.theguardian.com/uk-news/2017/oct/03/amber-rudd-viewers-of-online-terrorist-material-face-15-years-in-jail). Поэтому люди, желающие спрятать свою деятельность в сети от российского провайдера и РКН, потому что те «нарушают их права», но с готовностью предоставляющие те же самые данные какой-то американской компании, вызывают у меня искренне изумление своим эльфизмом.


      1. Vilgelm
        05.12.2019 08:11
        +2

        Если вы гражданин США или проживаете в США, то вам лучше отдать эти данные Яндексу или Ростелекому какому. Если вы гражданин России или проживаете в России, то вам лучше отдать эти данные Cloudflare. Все просто.


        1. Dr_Sigmund
          05.12.2019 17:28

          (Усмехнувшись) Ну разе что так.
          «Коммерция — великая вещь: я им наше знамя, они мне своё!»


    1. geher
      02.12.2019 22:19
      +6

      В демократии же гарантируется тайна переписки?

      На самом деле нет. Это из разных областей понятия.
      В принципе, если народ решит, что тайна переписки не нужна, то в соответствии с сутью демократии она должна быть отменена.
      Так что тайна переписки гарантируется не демократией, а желанием народа при демократической форме правления иметь эту самую тайну переписки.


      1. trueMoRoZ
        03.12.2019 06:29
        +2

        только выглядит это так, как будто все везде уже проголосовали за тотальный контроль


        1. geher
          03.12.2019 19:20

          Тайна переписки — это не про тотальный контроль. Это про прозрачность общества. Оно, конечно, облегчает контроль, если есть контролирующие инстанции, но все же не то.


      1. Anastasia_K
        03.12.2019 11:02
        +2

        всё так, с маленькой поправкой. не народ а демос. плебс, к сожалению, ничего решить не может.


        1. geher
          03.12.2019 19:18
          +1

          Вы путаете понятия. Демос — это именно народ. Это из Древней Греции. Он не делился по уровню достатка, умственным способностям или социальной ответственности, а определялся исключительно по происхождению (в некоторых полисах еще была процедура принятия в народ, но сути оно не меняет, потомки принятого автоматически становились частью демоса).
          В демос не вкключались только рабы (ибо имущество) и "понаехали" (ибо чужие).


          Плебс — это вообще не про демос. Это уже из Древнего Рима, где выделили группы людей по социальному признаку. Тут могу ошибаться, но вроде в плебс включали как граждан (демос), так и всякий сброд без гражданства, а к всадникам и патрициям, которые определяли жизнь Рима, относили уже только граждан с определенным положением в обществе.


    1. Dr_Sigmund
      04.12.2019 02:16
      +2

      не давать DNS-данные коррумпированому провайдеру

      А что такое «коррумпированный провайдер»? Это который взятки берёт или даёт? Меня аж любопытство взяло.


  1. Andrew_Pinkerton
    02.12.2019 10:58

    не работает без напильника, а жаль.

    Not available on your platform. (x86_64 GNU/Linux)

    Spoiler header
    image


    1. chupasaurus
      02.12.2019 11:28

      dnscrypt-proxy v2 под вашу платформу доступен до всей истории с добавлением в браузеры поддержки DoH.


    1. jonie
      03.12.2019 12:16

      так ведь у вас поди там настроен (обыкновенно, например у десктоп версии убунты последних лет) NetworkManager, который использует systemd-resolved, который как бы поддерживает DoH уже давно. Ну а хром, соотвественно, использует локальный dns сервер (на локальном хосте), и трафик не утекает в интернеты между ним и dns сервером (нет смысла там tls делать особенно). Не?


  1. Mur81
    02.12.2019 12:25

    На выходных только ковырялся с DoH в Chrome, хотелось понять как оно работает. То что я увидел снифером наводит на мысли, что это пока больше похоже на костыли чем на законченное рабочее решение.


  1. Dukat
    02.12.2019 12:33

    включить DNS по HTTPS в любом браузере

    Эх, ожидал какое-то браузеро-независимое решение, а тут только перечисление наиболее (?) распространённых браузеров…


  1. n0isy
    02.12.2019 12:40

    Firefox 70.0.1 включил сам эту фичу (РФ). Я ещё с утра подумал, почему торренты стали работать без прокси. Получается РосКомНадзор поломан. И будет опять банить Cloudflare…


    1. AbstractGaze
      02.12.2019 13:48
      +1

      А что за провайдер? У меня ростелеком блочит с включенным doh в Firefox 70.0.1 и торрент и 7-zip.org


      1. dartraiden
        02.12.2019 17:30

        7-zip.org
        7-zip.org попадает в заблокированный диапазон IP-адресов, DoH тут даже теоретически не способен помочь.
        7-zip.org is not blocked

        but may be filtered by IP:
        159.65.89.65

        Mass blocked resource!

        /n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
        as subnet 159.65.0.0/16

        Через DoH вы получите сведения о том, что 7-zip.org резолвится в 159.65.89.65, а дальше запрос к этому IP будет зарезан провайдером.


        1. moviq
          02.12.2019 19:20

          интересно, открыл без проблем


          1. KeyJoo
            02.12.2019 21:31

            Без проблем — могут все мобильные операторы связи.
            А вот чтобы победить провайдера включаю vpn в опере )


            1. moviq
              03.12.2019 20:26

              А я не через мобильного, а через «стационарного»


      1. spirit1984
        04.12.2019 19:18

        То же самое, не позволяет зайти ни на что заблокированное. Очевидно, потому что надо подключать еще esni, а он по умолчанию не активируется при обновление.


    1. List1
      02.12.2019 13:55

      тоже включен по умолчанию, но торренты без прокси не работают. провайдер ТТК


    1. Danis98
      02.12.2019 13:55
      +2

      Хочу вас обрадовать, вам очень повезло с провайдером. В России большинство провайдеров блокирую по SNI, а не по DNS, что делает DoH довольно бесполезной примочкой для обычного пользователя и уж точно никак не спасает от РосКомНадзора.


      1. JustDont
        02.12.2019 14:14

        eSNI в файрфоксе тоже включается.


        1. dakuan
          02.12.2019 15:43
          +2

          Включаться-то он включается, да только кто его поддерживает кроме Cloudflare?



      1. fpir
        04.12.2019 10:21

        Да, но некоторые делают это комплексно, и по SNI, и подкидывая не валидные DNS ответы, и, до кучи, перехватывая весь трафик по 53 порту.


    1. moviq
      02.12.2019 19:19

      Интерсно, у меня по этой причине короткие ссылки всё время с длинной гугл капчей вываливаются? Задолбался разгадывать светофоры, автобусы и гидранты.


    1. danfe
      03.12.2019 11:30

      Я ещё с утра подумал, почему торренты стали работать без прокси.
      Погодите, а разве их когда-то блокировали в России? Сколько ни качаю-раздаю, всё напрямую работает (Питер, Ростелеком). Другое дело, что заблокированы многие трекеры и поисковики, но для 99% не-private торрентов знания info-хэша (btih, который рано или поздно просочится в DHT) вполне достаточно, а они щедро разбросаны по зеркалам/кэшам и проиндексированы поисковиками.


  1. Ark_V
    02.12.2019 13:39

    А какие из DNS использовать кроме Cloudflare, и что б доверять можно было и как это проверять?


    1. Revertis
      02.12.2019 15:12
      -1

      В Firefox используется прослойка от Мозиллы. Мне кажется, Мозилле можно доверять.


      1. Mur81
        02.12.2019 15:23

        Что за прослойка? Cloudflare там используется по умолчанию.


        1. Revertis
          02.12.2019 15:28

          Домены мозилловские.


          1. Mur81
            02.12.2019 15:41

            Она при старте резолвит (через классический UDP 53) домен mozilla.cloudflare-dns.com. Получает в ответ айпишники с корыми потом работает уже по TCP 443.
            Где тут присутствуют мозилловские домены не пойму.
            Кстати Chrom, будучи настроенным на Cloudflare, поступает точно так же, но только резолвит уже chrome.cloudflare-dns.com.
            Причём примечательно, что айпишники отдаваемые по mozilla.cloudflare-dns.com и chrome.cloudflare-dns.com разные.
            Это наводит на некоторые мысли. Скажем о разнице в реализации протоколов в Хроме и Файрфоксе (впрочем возможно это для каких-то других целей сделано).
            А ещё в Хроме нельзя непосредственно указать с каким провайдером DNS ему работать. А ещё там прозрачный откат до классического DNS. И другие любопытные вещи снифером можно подсмотреть.
            Файрфокс подробно не изучал но, то что сейчас в Хроме сделано это даже бетой назвать с трудом можно.


            1. Revertis
              02.12.2019 16:04

              Я вижу такое в about:config:

              network.trr.uri	https://mozilla.cloudflare-dns.com/dns-query
              Сниффером не смотрел, но предполагаю, что этот адрес используется для всех запросов. Айпишники принадлежат CF, но подозреваю, что это некие сервера Мозиллы, не уверен, впрочем.


              1. dartraiden
                02.12.2019 17:38

                Нет, это оборудование Cloudflare. Mozilla со своей стороны гарантирует, что Cloudflare ценит приватность пользователей Firefox и обещает периодически проверять, как она там блюдётся.


                1. Balling
                  03.12.2019 11:45

                  Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24


  1. Gamliel_Fishkin
    02.12.2019 14:45

    Предпочитаю направлять DNS-запросы через SOCKS-прокси. Собственный SOCKS-прокси на VPS.


    1. n0isy
      02.12.2019 16:43

      1. Опять же — вопрос «кому отправлять». 8.8.8.8?
      2. Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
      Речь о минимальных телодвижениях в пользу анонимности.


      1. Gamliel_Fishkin
        02.12.2019 18:14

        вопрос «кому отправлять». 8.8.8.8?
        Есть censurfridns.dk и подобные службы.

        Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
        Именно так. Точнее, помимо SOCKS-прокси у меня есть и HTTP-прокси.

        Речь о минимальных телодвижениях в пользу анонимности.
        Провайдеру тоже доверять не надо, но чем CloudFlare лучше?


        1. Balling
          03.12.2019 11:46

          Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24


          1. Gamliel_Fishkin
            03.12.2019 18:13
            +2

            Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24
            Цитирую страницу, на которую я сослался выше:
            Cloudflare publicly commits to a "pro-user privacy policy" and the deletion of all personally identifiable data after 24 hours, but you never know where your data ends up at the end of the day. <…> all DNS requests are seen by Cloudflare and in turn also by any government agency that has legal right to request data from Cloudflare. <…> If there is anything wrong with your government (for instance corruption, collusion or fraud) and you have information to publish about it, the government will be able to trace you down. This puts any whistleblower at risk.


            1. Balling
              03.12.2019 18:26
              -2

              Это bullshit. Поймите, RIR не очень себя офишируют. Но нет, cloudfare не сможет ничего предъявить, данные удаляются в течение 24-48 часов, они находятся под перекрестным аудитом от RIR и ООН. Это глобальный проект. Вы себе даже не представляете, какой там уровень.


      1. sumanai
        02.12.2019 18:44
        +1

        1. Опять же — вопрос «кому отправлять». 8.8.8.8?

        Всегда можно поднять свой сервер, который будет сам ходить на авторитарные и кешировать результаты.


  1. brizing
    02.12.2019 15:27

    Странно, что Brave вначале списка)


    1. ZuOverture
      02.12.2019 16:51
      +3

      Это называется «алфавитный порядок».


  1. rajven
    02.12.2019 16:51

    Провайдерам глубоко начхать на этот DoH. У провайдера стоит DPI которому пофиг куда вы ходите за DNS. Единственный способ пройти DPI — туннель за бугор. А DNS хоть обшифруйтесь — ничего это не даст.


    1. Andrusha
      02.12.2019 19:14
      +1

      Единственный способ пройти DPI — туннель за бугор.
      В том-то и дело, что нет. Например вот или более современный вариант, к тому же относящийся к содержимому статьи.


      1. rajven
        02.12.2019 19:56

        Пассивный DPI не видел ни разу. А активный DPI из тех, на которые я напарывался, пропускал только на сайты, играющиеся окном. Но, опять же — сколько администраторов серверов решат сделать такую фишку? Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке. Хотя, может года за 3 оно и приживётся. Посмотрим. Но, это такая себе палка о двух концах — ничего не мешает регулирующим органам начать блочить по ip. Кто там пострадает из невиновных их не колышет.


        1. Andrusha
          02.12.2019 20:03

          Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке.
          Или просто Google объявит, что N версия Chrome будет показывать уведомления в адресной строке о том, что сайт без eSNI небезопасен, а начиная с версии N+2 такие сайты перестанут открываться. И всё.


          1. sumanai
            02.12.2019 21:38

            Скорее уж сайты без eSNI будут понижаться в поисковой выдаче.


    1. Rampages
      02.12.2019 19:16

      Encryped SNI и DNS over HTTPS в паре могут хоть как-то частично обойти DPI (Deep Packet Inspection), ну по крайней затруднить ISP'ам доступ к вашим запросам.


      1. rajven
        02.12.2019 19:46

        Ну — мало кто его настроил пока. Большинство владельцев сайтов просто забьёт.
        Да и идея хорошая, но опасная. Как показала практика, запрещающим органам глубоко насрать на блокировки непричастных. Будут снова банить подсетями. www.7-zip.org вон который год в бане за экстремизм. И ничё.


        1. Rampages
          02.12.2019 20:26

          Ну по крайней мере провайдеры не будут собирать с тебя статистику по доменам и запросам к DNS, хотя может быть какие-нибудь крутые анализаторы пакетов от каких-нибудь Positive Technologies, FortiGate, Checkpoint и других что-то могут...


        1. vis_inet
          03.12.2019 07:55

          www.7-zip.org
          у меня открывается нормально…


          1. rajven
            03.12.2019 09:15

            Он в бане по ip c 13.04.2018. Вам повезло с провайдером…


            1. vis_inet
              03.12.2019 09:21

              Ростелеком


              1. rajven
                03.12.2019 10:00

                У них от региона зависит. Где-то стоит нормальный DPI, где-то вообще только squid до сих пор. Контора государственная, им пофиг на штрафы и РКН.


        1. awolfman
          03.12.2019 11:43

          Странно, у меня он почему-то открывается нормально через https.
          Возможно стоит установить HTTPS Everywhere, чтобы он требовал от сайта работу по https.

          На мобилке rutracker.nl выдает сайт заглушку типа заблокирован по решению суда и бла-бла-бла.
          Включил в Мозилле DoH и вуаля открывается нормально.


          1. rajven
            03.12.2019 16:09
            +1

            Сайт в блокировке по ip. Смена протокола ничего давать не должна. Если у вас открывается через https — значит провайдер чхать хотел на РКН и штрафы и использует только блокировку по http через какой-нить squid. Ну — чисто чтобы можно было сказать, что она у них вообще есть.


            1. awolfman
              03.12.2019 19:11

              Тогда получается, что 5-ть разных провайдеров из которых два сотовых и один Ростелеком, чихать хотели на РКН и штрафы.


              1. rajven
                05.12.2019 12:24

                Ну это же легко проверяется:
                host www.7-zip.org 8.8.8.8
                Using domain server:
                Name: 8.8.8.8
                Address: 8.8.8.8#53
                Aliases:
                www.7-zip.org has address 159.65.89.65

                Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:

                rkn
                image


        1. vanyaindigo
          03.12.2019 13:41
          -1

          Те, кто за Cloudflare, получают настроенный eSNI включенным по-умолчанию. Ставьте свой домен за Cloudflare и сможете открыть его спокойно в Firefox с включенным eSNI без туннеля (как пример: rutracker.nl/forum/index.php открывается, а rutracker.org/forum/index.php не).


      1. firk
        02.12.2019 20:10
        +1

        На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
        А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.


        Rampages у меня лимит на комменты в сутки, отвечу в этом


        То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.

        Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.


        Ну и вроде как encrypted не равно «отсутствие читаемого».

        Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.


        1. Rampages
          02.12.2019 20:21

          То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.


          Но encrypted SNI о идее уже больше к приватности имеет отношение.


          Ну и вроде как encrypted не равно «отсутствие читаемого».


          Может что-то где-то упускаю, просто не эксперт в этой области.


        1. vp7
          03.12.2019 08:14

          Основная фишка ESNI в другом.


          В какой-то момент на одном IP адресе окажется SuperBlockedDomain.com и google.com и перед фильтровальщиками трафика встанет серьёзная проблема — заблокировать по IP и превратить в тыкву десятки миллионов телефонов или нарушить правила блокировки и разрешить этому IP работать.
          Вместо google.com может быть любой другой ключевой ресурс с блокировкой которого у пользователей начнёт ломаться чуть меньше, чем всё.


          И тогда можно уже будет только угрожать на уровне "либо вы выносите этот домен со своего IP адреса, либо мы блокируем интернет в своей стране".


          1. vanyaindigo
            03.12.2019 12:24

            В том-то и дело, что хотят блокировать все, как в Иране, но пока не могут.


          1. Rampages
            04.12.2019 05:12

            Ну могут выпустить очередной тупой закон а-ля «распространять интернет браузеры с предустановленным российским расширением, которые будет проверять контент на экстремизм, CP или что-либо еще, что может оказаться не в ваших интересах.»


        1. konchok
          03.12.2019 15:03
          +1

          Фильтровальщики смотрят шире и запрещают продажу устройств без русского софта. А там наверняка будет и нужный коренной https сертификат добавленный в систему. Эти SNI просто мелочи когда можно любого подозрительного просто через себя проксировать. /Да, я знаю про certificate pinning итд/


        1. ValdikSS
          04.12.2019 02:48

          отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе

          Сейчас на многих DPI использование ESNI считается за отсутствие SNI, и производятся блокировки по IP-адресу. ESNI снижает доступность сайтов на многих провайдерах.

          ntc.party/t/esni-encrypted-sni/68


      1. Whuthering
        03.12.2019 15:13

        Некоторые провайдерские DPI начали таких хитрозадых с DoH+eSNI рубить целиком и полностью. Т.е. IP вы отрезолвить смогли, зашифровать хостнейм смогли, провайдер видит, что вы подключаетесь к IP, на котором висит какой-то из заблокированных ресурсов, но не может понять, пытаетесь вы зайти именно на этот сайт, или на какой-то соседствующий с ним — и поэтому от греха подальше дропает подключение полностью.



  1. genuimous
    02.12.2019 19:45
    +1

    Ничего не понял. Не удалось прочитать DNS-запрос, и что с того? Следующим будет установление HTTPS-соединения с условным хабром, которое однозначно идентифицируется. Поясните кто-нибудь сценарий реального использования фичи.


    1. Asparagales
      02.12.2019 20:21
      +3

      Это перевод иностранной статьи. Там, за границей, тоже блокируют сайты и делают это в основном путем перехвата, блокировки или подмены DNS-запросов. Вот иностранцам этот способ поможет. Можно, конечно, заблокировать DoH-сервер, но для этого нужно решение суда.


    1. in_heb
      02.12.2019 23:02

      DOH это только начало. Следующий шаг это eSNI, который пока на стадии экспериментов
      И да, кроме http/https есть и другие протоколы (хотя их трафик мал по сравнению с веб)
      Ну и что самое важное, многие системы анализа (например, для таргетированной оффлайн рекламы или отслеживание посещений сайтов-конкурентов) анализирует лишь dns, для анализа sni им надо допиливатт софт, менять схему включения и т.п. От таких умников (поверьте мне, их много), doh спасает


  1. brizing
    02.12.2019 20:35

    Успешно зашел на сайт Telegram…


    1. kvalter
      03.12.2019 09:34

      telegram.org заблочен по айпи… как ты мог на него зайти? Я включил в хроме и все также без впн не заходит…


  1. AlexBin
    02.12.2019 20:39
    +3

    Как послать провайдера подальше

    Поменяйте заголовок на «Как послать РКН ...»
    Или вы думаете, провайдер горит желанием блокировать сайты? Провайдеры тоже жертвы, которые несут от этой системы финансовые потери.


    1. trueMoRoZ
      03.12.2019 06:32

      они просто ещё не научились продавать проснифанные данные)


      1. Anastasia_K
        03.12.2019 11:33
        +1

        крупные вполне себе научились, гуглить по «программатик».


    1. extremeEXIT
      03.12.2019 07:21
      -4

      РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди. Да-да, именно те, которые ежедневно проходят мимо вас.
      Идеальный заголовок был бы: «Как починить людей позволяющих творить такой беспредел в своём государстве-доме ...»


      1. AlexBin
        03.12.2019 08:25
        +2

        РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди.

        Вам легко говорить, вы, судя по всему, ничего кроме телевизора не смотрите.


        1. extremeEXIT
          03.12.2019 10:08

          Скорее по стектрейсу прошёл действительно до бага, который рушит наш интернет.


          1. AlexBin
            03.12.2019 10:30
            +1

            Скорее по стектрейсу прошёл

            Ага, а потом вы проснулись


      1. Zenitchik
        03.12.2019 13:24
        +2

        которых выбрали люди.

        Которым было не из кого выбирать, и они выбрали наименее одиозных.


        1. Gamliel_Fishkin
          03.12.2019 18:25

          которых выбрали люди.
          Которым было не из кого выбирать, и они выбрали наименее одиозных.
          +1. «Не важно как голосуют, важно как считают голоса».


      1. wataru
        03.12.2019 13:31
        +5

        РКН тоже подневольны. Они вынуждены исполнять законы,

        Во время "блокировки" телеграмма они творили полный беспредел, который даже по текущим драконовским законам совершенно незаконен.
        Там не подневольные люди, а самые настоящие вредители и дилетанты, бегущие впереди репрессивной машины.


        которые издали депутаты, которых выбрали люди.

        Это очень спорный вопрос. Больше похоже, что их выбрал волшебник Чуров и компания.
        Тут не столько массовые махинации на самих выборах, сколько тупо недопуск любой не одобренной партии до выборов.


        1. extremeEXIT
          03.12.2019 13:55

          они творили полный беспредел
          Я эту деятельность РКН не поддерживаю. Но хочу перевести ваше внимание на причину вызывающую эти действия. Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
          Это очень спорный вопрос.
          Согласен, вопрос спорный. Почему подавляющее большинство населения не спорит с результатами выборов? Не защищает свой выбор от обмана? Мне кажется, это такая молчаливая поддержка. Или другим словами Чуров выбрал, а население пассивно молчаливо поддержало. Результат этой поддержки — разрушение нашего общего интернета.


          1. wataru
            03.12.2019 14:51
            +3

            Причина — это наличие закона.

            Будьте добры, ткните меня, несознательного, мордой в место в законе, где написано:


            • что можно блокировать подсети.
            • что можно вносить подсети в "резиновое" постановление прокуратуры задним числом.
            • что РКН может в автоматическом режиме блочить прокси телеграмма.

            Почему подавляющее большинство населения не спорит с результатами выборов?

            Большинство не спорит, потому что это слишком большие риски и затраты энергии. Некоторый процент, все-таки, попытался спорить. Результат — репрессивные законы и показательные абсурдные уголовные дела. И все эти законы о блокировках — это как раз реакция на тот небольшой, но не ничтожный процент несогласных.


            Могу еще привести аналогию: Допустим, у вас угнали автомобиль. Но вы ведь могли бы организовать поисковый отряд, найти свой авто в другом городе и отбить его у бандитов. Но если вы этого не сделали — значит разрешаете бандитам ездить на вашем авто, так что ли? Это в точности ваш аргумент приложенный к немного другому преступлению.


            Выбор или одобрение — это совершенно другого порядка действия, нежели отсутствие активной борьбы с властью. Отождествлять их нельзя.


            1. extremeEXIT
              03.12.2019 15:53
              +1

              место в законе, где написано
              я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые, чтобы закон можно было разворачивать куда угодно. И что подобные законы иногда ещё называют рамочным.
              Всё самое интересное начинается в подзаконных актах. То есть исполнитель (в нашем случае — РКН) сам себе придумывает правила по которым и будет исполнять закон.
              Что с этим делать? Всячески добиваться отмены закона.

              Могу еще привести аналогию
              Хорошая аналогия. Что мы с вами как минимум сделаем? Напишем заявление об угоне.
              Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг до тех пор пока результаты выборов не отменят (+ помощь поддерживающим общественным организациям).
              Предполагаю (поправьте если не так), что для вас — это одно/двух/трех-кратное посещение подобного митинга.
              Тем самым мы расходимся во мнениях.


              1. wataru
                03.12.2019 16:56
                +2

                я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые

                Ну ткните меня в такую расплывчатую формулировку наконец-то! Закон писали ничего не понимающие в этом люди. Они, хоть и пытались расплывчато все написать, про необходимость блокировки подсетей они не подозревали. Когда это стало понятно в ситуации с телеграмом, ни законы, ни подзаконные акты не позволяли это делать. Но РКН это не остановило.


                Что мы с вами как минимум сделаем? Напишем заявление об угоне.

                Это аналогично ворчанию на кухне/в интернете.


                Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг

                Напомнить вам, что митинг на болотной был согласован? Тем не менее менты сделали все, что бы устроить беспорядки и репрессии.


                Сейчас же людей на согласованных митингах избивают, людей задерживают и сажают за одиночные пикеты и ломают людям ноги за пробежку на месте, где через несколько часов будет согласованный митинг.


                По персональным рискам, затратам времени и сил, ваши походы на митинг могли бы сравнится с написанием заявления об угоне только если бы в отделении полиции каждый день похищали и избивали случайно зашедших, вешали на них нераскрытые преступления или просто обворовывали до трусов.


          1. Zenitchik
            03.12.2019 15:34
            +1

            с результатами выборов

            Потому что не в результатах выборов дело. Претензия к исходным данным выборов, из которых можно сделать только такой выбор, который получился.


            1. extremeEXIT
              03.12.2019 16:01

              В этом году, да, к исходным данным. В 2011 к результатам. В ответ на митинги 2011 года всё это постепенно и завертелось с закручиванием гаек в интернете. До 2011 года на регулирование информации в интернете всем было пофигу.


              1. Zenitchik
                03.12.2019 17:25
                +2

                В 2011

                Тоже выбирать было не из кого.


                1. xdimquax
                  04.12.2019 17:26

                  Проще сказать, когда и где было.


                  1. Gamliel_Fishkin
                    04.12.2019 17:58

                    В 1991?


          1. xdimquax
            04.12.2019 17:25
            +2

            Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.

            Это причина блокировать, но не причина ломать. Это повод. Повод для организаций, подобных РКН, поломать Интернет, чем они и занимаются, прикрываясь благими намерениями.


      1. vanyaindigo
        03.12.2019 13:47
        +6

        Честные бы уже давным давно ушли из этого гадюшника. Нет, там остались только конченые мудаки и мрази.


    1. vanyaindigo
      03.12.2019 12:32

      Провайдеры, особенно крупные, вась-вась с государством, так что им пофиг на ваши страдания от их блокировок. И логика там как раз другая: лучше сделать то, чего просит РКН/ФСБ/ФНС/и т.д. по списку, чтобы проблем не было.


      1. AlexBin
        03.12.2019 12:58
        +1

        Провайдеры, особенно крупные, вась-вась с государством
        Не «особенно», а «только» крупные, и то не все, не надо искажать действительность.

        им пофиг на ваши страдания от их блокировок
        А я где-то говорил, что провайдеры переживают за пользователей?

        И логика там как раз другая
        А другая это какая? Процитируйте, где я описывал «другую» логику?

        Я сказал, что провайдеры — жертвы. Поясняю! Они вынуждены ставить себе DPI, способный фильтровать такое количество трафика, потребляя дополнительное электричество, места в стойках и бесперебойниках + охлаждение, при этом любезно добавляя еще один потенциальный узел отказа и дополнительные latency в качество соединения. И никакого пряника там нет, только кнут: за каждую пропущенную ссылку штраф, емнип в районе 50к.

        И DPI — это еще не все требования и оборудование, которые вынуждены соблюдать честные региональные или городские провайдеры, чтоб их не утопили в штрафах, и не отобрали лицензию.

        Разумеется, все эти наказания не коснутся ростелекома, а напротив, он за свою нагло бездарную работу еще и премии получит.


        1. vanyaindigo
          03.12.2019 13:08

          Угу, «жертвы», которые подмахивают ФСБ/РКН/АП. Видимо, жертвы со стокгольмским синдромом.


          1. AlexBin
            03.12.2019 13:15
            +1

            подмахивают
            Вы видимо не понимаете разницу между сексом и изнасилованием.


      1. Rampages
        04.12.2019 07:06
        +2

        Да, когда бред с РКН только начался, заставили всех провайдеров любого уровня соблюдать, иначе штрафы. У нашей организации была лицензия на оказание услуг связи, но мы уже давно их не оказывали, а по закону надо было каждый день с ЭЦП заходить на сайт РКН и скачивать/обновлять список запрещенных сайтов, даже если услуги не оказываются. Маразм.

        Сейчас не знаю как там у них все устроено, но провайдеры подневольные люди. Может есть какая-то ассоциация провайдеров, где какой-нибудь «заинтересованный» президент ассоциации будет отстаивать их права на политической арене, но толку будет мало.

        У нас кстати хотели ПАО «Ростелеком» запихать в реестр недобросовестных поставщиков (РНП), за не выполнение обязательств по контракту ФЗ-44, а там как вы знаете если юр. лицо попадает в РНП, то все афилированные лица и учредители попадают в РНП и после этого не могут участвовать в гос. тендерах сколько-то лет. Не получилось запихать, Ростелеком и дальше не выполняет обязательства по контракту, зато звонил министр из Москвы. Вместо 100 мбит/сек ПАО Ростелеком дает 4 мбит/сек, спасибо государству за отличную политическую машину, как только начали пытаться запихать в РНП, реакция из Москвы последовала немедленная.


        1. vanyaindigo
          04.12.2019 08:04

          Мелкие локальные может и подневольные, только трафик их присоединен к крупным (МТС, Мегафон, Билайн, Ростелеком, ЭР-Телеком), а уж они-то с государством не будут спорить. Даже, если их будут резать, они просто в очередной раз повысят тарифы для абонентов.


  1. Viceroyalty
    02.12.2019 22:06

    После включения опции в Chrome стали загружаться быстрее, с чего бы это… может потому что у меня старый роутер?


    1. Whuthering
      03.12.2019 15:15

      либо у вашего провайдера был тормознутый DNS-сервер :)


  1. Fullmoon
    02.12.2019 22:11

    А вот такой вопрос — как DoH/DoT будет стыковаться с DNS-адблоком, к примеру PiHole?


    UPD: Всё уже давно решено, например, тут же на хабре: https://habr.com/ru/post/468621/


  1. Sir3x
    02.12.2019 23:37
    +1

    Только вот вопрос опять же про контроль со стороны провайдеров — а сам траффик с каких адресов/портов будет поступать к клиенту?
    Если есть весь дамп траффика то определить куда ходил пользователь вроде как не трудно. Согласен, что сложно будет понять зачем — но факт присутствия на запрещенных сайтах отследить можно. Или я что то не понимаю?


    1. andreymal
      03.12.2019 05:00

      Если на одном IP сотни и тысячи сайтов (как например в случае с Cloudflare и shared-хостингами), то напрямую определить конкретный посещаемый сайт из этих тысяч уже не получится (при наличии eSNI)


  1. Quber
    03.12.2019 00:15

    Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?


    1. Gamliel_Fishkin
      03.12.2019 18:44

      Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?
      Он там не нужен. Tor работает как локальный SOCKS5-прокси, весь трафик Tor-броузера (в том числе DNS) идёт через него.

      Tor можно указать в качестве SOCKS5-прокси и в других программах: если это Tor в составе Tor-броузера, то 127.0.0.1:9150 (работает только когда запущен Tor-броузер), а если Tor как отдельное приложение, то 127.0.0.1:9050. Но в некоторых программах этого недостаточно; в частности, связка «любой другой броузер плюс Tor» не может заменить Tor-броузер.


  1. wholeman
    03.12.2019 08:10
    +4

    Я правильно понял, что при использовании DoH DNS-запросы скрываются от провайдера и локальных спецслужб и передаются Мозилле/Гуглу/Клаудфлэю (и, возможно, соответствующим спецслужбам)?


    1. Anastasia_K
      03.12.2019 11:34
      +1

      да. но они «клянутся, что эти данные использовать не будут. честно-честно. включайте»


      1. wholeman
        03.12.2019 12:36

        Ну, я-то, если и включу, то свой сервис поднимать буду, потому что у меня в интранете всё по именам, например, управление душем на даче. А вот большинство так не сделают, а воспользуются дефолтным. Хороший ход, чтобы забрать всё себе.


        1. Zenitchik
          03.12.2019 13:25

          А зачем интранету торчать в интернет?


          1. wholeman
            03.12.2019 14:40

            Он туда не торчит. Мои DNS-сервера находятся в интранете, поэтому через DoH от Гугла со товарищи недоступны. Чтобы ими пользоваться придётся и DoH свой делать. Либо (если есть возможность) настраивать, что пойдёт через DoH, а что обычным путём. Это может быть сложнее.


        1. goldrobot
          03.12.2019 17:06
          +1

          >управление душем на даче по интернету
          Офтоп, но я не могу не спросить зачем?


          1. wholeman
            03.12.2019 20:29

            Интранет, а не интернет, то есть внутренняя сеть, недоступная извне. Нагрев до заданной температуры и управление светом через веб-морду. Поскольку душ этот представляет собой сарай с бочкой в дальнем углу сада, удалённое управление очень удобно.


            1. xdimquax
              04.12.2019 17:31

              Пригоден ли такой душ для использования зимой?


  1. kvalter
    03.12.2019 09:29

    Ладно, я включил DoH в Chrome. А как дальше потестить? Нужно ждать пока на "другой стороне" его тоже установят? Например, на рутрекере


    1. Biga
      03.12.2019 11:02

      Другая сторона — это DNS сервер. Используйте любой из поддерживающих технологию. Например, неоднократно упомянутый в статье 1.1.1.1.
      DNS-сервер вернёт браузеру ip-адрес рутрекера и, если этот ip не заблокирован провайдером, рутрекер откроется в браузере.


      1. terebenkov
        03.12.2019 11:43
        +1

        Не все провайдеры блокируют по dns запросам. у нас например, в случае с рутрэкером идет проверка по sni. Включение esni позволяет обойти блокировку rutracker.nl


        1. 3adnica
          03.12.2019 14:51

          видимо не всё так просто… поставил dns 1.1.1.1 включил в ff ensi, но все равно получаю заглушку, только теперь от другого провайдера.


          1. JustDont
            03.12.2019 16:15

            Точно включили? Что показывает https://www.cloudflare.com/ssl/encrypted-sni/?


            1. 3adnica
              04.12.2019 15:09

              Всё нормально, просто я туповат — пытался в него зайти по http )


  1. vanyaindigo
    03.12.2019 11:43
    +1

    Инструкция занятная, но совершенно не соответствует заголовку: провайдерские DPI уже давно не смотрят в DNS, а анализируют SNI. И пока не будет повсеместного внедрения eSNI, никто никуда без VPN провайдеров не пошлет.


    1. xdimquax
      04.12.2019 07:33

      Да если и будет, то блокировки по IP никто не отменял. Уже даже тех, что есть, достаточно для того, чтобы заводить трактор прокси или VPN.


  1. AndreyYu
    03.12.2019 11:49

    Объясните, пожалуйста, почему даже если включен в Opera DoH режим и сервис проверки DoH от Cloudfare говорит, что всё ок, при заходе на заблокированные ресурсы выдаёт страницу блокировки от провайдера? Получается, что режим полу-рабочий, что ли или надо ещё какие-то манипуляции на ПК совершить?


    1. vanyaindigo
      03.12.2019 11:57

      Потому, почему я объяснил в комментарии выше.


      1. JustDont
        03.12.2019 16:19

        Если у человека выдаёт страницу блокировки — у него настройка неправильная, а ваши объяснения не в тему. С корректно настроенным DoH вы в лучшем случае увидите ошибку разрыва связи (если провайдер из тех, кто уже смотрит в SNI), но никак не страницу-заглушку.


        1. vanyaindigo
          03.12.2019 18:05

          Да что вы говорите)) Ну-ну)
          Вы увидите заглушку даже с корректно настроенным eSNI в браузере, если сам сайт его не поддерживает. Все зависит от настроек DPI у оператора.


          1. JustDont
            03.12.2019 18:08
            +1

            Раз уж вы лучший хакер на деревне — может подскажете, как именно вам провайдер подделает ответ сервера по https, и покажет что-то левое?


            1. vanyaindigo
              03.12.2019 18:29

              Очень легко: читает IP и SNI и перенаправляет на заглушку) Вот, кстати, пример с МГТС:
              image


              1. JustDont
                03.12.2019 19:32
                +1

                Еще раз: для этого провайдеру нужно подделать ответ сервера. В противном случае ваш браузер никуда не пойдет, MITM придумали не вчера и не в РКН. То, что у вас нарисовано на скриншоте — работает на http, где нет никакой возможности проверить, кто вам и что отдаёт по протоколу. Но не на https.


                1. vanyaindigo
                  03.12.2019 19:54
                  -1

                  Значит браузер идет по http, и при чем тут неправильная настройка DoH?


                  1. JustDont
                    03.12.2019 21:19

                    https:// в начале адреса написать не пробовали, не?
                    Или включить в браузере поход по https по умолчанию.


                    1. vanyaindigo
                      03.12.2019 21:33

                      Так ты сам на вопрос не отвечаешь, а другим советуешь.


              1. awolfman
                03.12.2019 21:41

                У вас в запросе http, это случайно?


  1. Groosha
    03.12.2019 12:38
    +1

    Провайдер билайн. Почему-то включение DoH через Cloudflare не помогает. Рутрекер не открывается, изображения на Лурке тоже, всё редиректится на blackhole.beeline


    Я буду обновлять комментарии перед написанием. Кажется, вот ответ.


  1. SergioPredatore
    03.12.2019 14:09

    Включил в Opera, но эффекта никакого не заметил, как не ходило на зоблоченные ресурсы, так и не ходит.


    1. vanyaindigo
      03.12.2019 14:19
      +1

      Блин, оно и не даст вам возможности обходить блокировки! Оно скроет только DNS-трафик от анализа. Все.


      1. General_Failure
        03.12.2019 14:39

        Насколько я понял, зависит от типа блокировки. Если по IP, то не поможет. А если только по URL, то провайдер запрашиваемый вами адрес не увидит и заблокировать не сможет.

        По крайней мере у меня линька открылась с помощью только этой галочки.


        1. xdimquax
          04.12.2019 07:27

          Не увидит, если включён eSNI вместе с DoH, например, в Firefox.


  1. ivan4th
    03.12.2019 21:48

    С одной стороны, вроде как, приятно роскомнадзор на чём-то повертеть, с другой стороны, им же пофиг. Ну, из-за DoH и eSNI через какое-то время все железки с DPI станут бесполезной тратой госденег. Ну, просто поблочат по IP кучу лишнего. Но ведь им же пофиг. Они и сейчас не особо парятся. Например, вот, на клауд-провайдере VScale тыркал чуть-чуть Kubernetes — хотел просто поднять Calico на тестовом кластере:


    root@cs747313:~# kubectl apply -f https://docs.projectcalico.org/v3.8/manifests/calico.yaml
    The connection to the server docs.projectcalico.org was refused - did you specify the right host or port?
    root@cs747313:~# ping docs.projectcalico.org
    PING calico.netlify.com (167.99.129.42) 56(84) bytes of data.
    ^C
    --- calico.netlify.com ping statistics ---
    1 packets transmitted, 0 received, 100% packet loss, time 0ms
    
    root@cs747313:~# nc -v 167.99.129.42 443
    nc: connect to 167.99.129.42 port 443 (tcp) failed: Connection refused

    Что такое? Ах ну да, конечно, смотрим бота usher2:


    167.99.129.42 is blocked


    Mass blocked resource!


    /n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
    as subnet 167.99.0.0/16


    /n_1252396 ФНС 2-6-20/2017-12-21-990-АИ 2017-12-22
    as ip 167.99.129.42


    ? /n_998882 Роспотребнадзор 49718 2018-06-21
    as ip 167.99.129.42


    ? /n_1285532 суд 2-50 2018-03-05
    as ip 167.99.129.42


    Вот такая цифровая экономика, да. Они и белые списки-то введут, не моргнув глазом.


    1. Gamliel_Fishkin
      03.12.2019 23:27

      Мой комп:

      $ ping -4nqc 2 docs.projectcalico.org
      PING calico.netlify.com (134.209.226.211) 56(84) bytes of data.
      
      --- calico.netlify.com ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 3ms
      rtt min/avg/max/mdev = 32.102/32.420/32.739/0.365 ms
      $ ping -6nqc 2 docs.projectcalico.org
      PING docs.projectcalico.org(2a03:b0c0:3:e0::32e:b001) 56 data bytes
      
      --- docs.projectcalico.org ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 2ms
      rtt min/avg/max/mdev = 35.162/35.613/36.064/0.451 ms

      VPS:
      $ ping -4nqc 2 docs.projectcalico.org
      PING calico.netlify.com (167.99.137.12) 56(84) bytes of data.
      
      --- calico.netlify.com ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 2ms
      rtt min/avg/max/mdev = 39.799/42.725/45.651/2.926 ms
      $ ping -6nqc 2 docs.projectcalico.org
      PING docs.projectcalico.org(2a03:b0c0:3:d0::d19:7001) 56 data bytes
      
      --- docs.projectcalico.org ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 3ms
      rtt min/avg/max/mdev = 40.511/40.515/40.519/0.004 ms

      Может быть, с Vscale что-то не так?


  1. flx
    03.12.2019 22:36

    S stands for «Security» in DoH.

    www.youtube.com/watch?v=LYosersEBoM


  1. AlexandrBu
    05.12.2019 15:48

    Включил DOH на Pi-hole (через cloudflared) — MGTS ничего не изменилось :(
    Причем они на заблокированных сайтах показывают свою yandex рекламу — вот с этим скотством хотел бороться…