Поддержка DoH уже встроена во все основные браузеры. Пользователям нужно её только включить и настроить.
Все шесть производителей основных браузеров планируют поддерживать протокол DNS по HTTPS (DoH), шифрующий DNS-трафик и помогающий усилить конфиденциальность пользователя в сети.
Этот протокол является одной из самых обсуждаемых тем этого года. Он позволяет браузеру прятать DNS-запросы и ответы внутри обычного на первый взгляд HTTPS-трафика.
Это делает DNS-трафик пользователя невидимым для сторонних наблюдателей за сетью, например, провайдеров. Однако если пользователи обожают DoH и считают его благом для конфиденциальности, провайдеры и производители средств кибербезопасности его ненавидят.
Британский провайдер назвал Mozilla «интернет-злодеем» за планы компании по внедрению DoH, а группу лоббистов от Comcast уличили в подготовке документа касательно DoH, который они планируют представить законотворцам Британии, надеясь предотвратить более широкое распространение протокола.
Однако, время уже может быть упущено. Редакция в течение недели связалась с производителями основных веб-браузеров, чтобы узнать об их будущих планах касательно DoH, и все они планируют внедрять протокол в том или ином виде.
Как включить DoH в любом браузере
Вот, что нам известно на сегодня по поводу планов производителей браузеров, связанных с DoH, и о том, как пользователи могут включить DoH в любом браузере.
Brave
«Мы очень хотим реализовать его», — сказал нам Том Лоуэнталь, менеджер продукта из Brave for Privacy & Security.
Однако у команды Brave пока нет точных сроков внедрения DoH. Они занимаются другими улучшениями, связанными с приватностью. К примеру, на этой неделе компания выпустила обновление, улучшающее распознавание скриптов, отслеживающих действия пользователей. На горизонте маячит версия Brave 1.0, и команде нужно сконцентрироваться на её выходе. Но DoH в Brave будет.
«Реализация DoH – это гораздо больше, чем простая техническая задача. Нам нужно решить, какие разумные и защитные установки мы можем включить по умолчанию для большинства людей, не задумывающихся о настройке DNS – но так, чтобы мы ничего не сломали у тех людей и организаций, что тщательно подошли к подстройке своих программ», — сказал Лоуэнталь.
Поскольку Brave основан на открытом проекте Chromium, в нём есть поддержка DoH. Однако команда пока не настроила эту поддержку. В коде она есть, но включается так, как это придумала команда авторов Google Chrome. Включить DoH в Brave можно, перейдя на следующий URL:
brave://flags/#dns-over-https
Chrome
Google Chrome стал вторым браузером после Firefox, добавившим поддержку DoH. Её можно включить, перейдя по следующему URL:
chrome://flags/#dns-over-https
По-умолчанию DoH не включено для всех. Сейчас Google проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы проверить, как DoH покажет себя при реальном использовании.
Поддержка DoH в Chrome отличается от Firefox, по-умолчанию перенаправляющего DoH-трафик на Cloudflare. Браузер после включения протокола будет отправлять DNS-запросы на всё те же сервера, что и ранее. Если у выбранного сервера окажется интерфейс с поддержкой DoH, тогда Chrome зашифрует DNS-трафик и отправит его на тот же DNS-сервер по протоколу DoH.
Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.
На текущий момент DoH в Chrome работает так:
- Пользователь вводит URL сайта в браузере.
- Chrome получает данные по DNS-серверу ОС.
- Он проверяет, есть ли этот сервер в белом списке одобренных серверов с поддержкой DoH.
- Если да, Chrome отправляет зашифрованный DNS-запрос на интерфейс этого сервера.
- Если нет, Chrome отправляет обычный DNS-запрос к этому серверу.
Поэтому у пользователя существует риск так и не воспользоваться протоколом DoH. ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.
Однако есть два способа обойти это и заставить Chrome использовать DoH постоянно и вне зависимости от настроек DNS вашего провайдера.
Во-первых, можно воспользоваться обучающим материалом по принудительному включению поддержки DoH в Chrome. Во-вторых, пользователь может настроить DNS-сервер с поддержкой DoH в своей ОС. Его можно выбрать из списка, и это гарантированно будет работать в Chrome.
Edge
В следующем году Microsoft планирует выпустить новую версию браузера Edge на основе кода Chromium. Представитель Microsoft сообщил нам, что компания поддерживает DoH, но точные планы не раскрывает. Однако, версия Edge на основе Chromium уже поддерживает DoH. Её можно включить, перейдя по URL:
edge://flags/#dns-over-https
Это включит поддержку DoH, но она будет работать только, если ваш компьютер использует DNS с поддержкой DoH – чего в 99% случаев не происходит. Чтобы принудительно включить DoH в Edge, вы можете воспользоваться инструкцией из следующего поста в блоге одного из программистов Edge. Адрес сервера Cloudflare можно заменить на любой другой сервер DoH, который можно выбрать по ссылке. После соответствующей настройки, Edge способен работать с DoH.
Firefox
Mozilla стала пионером этого протокола совместно с Cloudflare. Поддержка DoH уже есть в стабильных версиях Firefox. Её можно включить в настройках в разделе «Настройки сети».
Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.
Однако это значение можно поменять, прописав любой сервер с DoH. Из всех браузеров, поддержка протокола в Firefox реализована лучше всего, а настроить её легче всего – в основном потому, что разработчики имели с ней дело дольше остальных.
Сейчас браузер уже включает поддержку DoH по умолчанию для всех пользователей США. Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.
В прошлом Mozilla не гарантировала включение DoH по умолчанию в других странах. Однако, поскольку поддержка протокола уже есть в стабильной версии браузера, пользователю остаётся лишь включить её, и всё будет работать.
Opera
Opera уже встроила поддержку DoH. По умолчанию она выключена, но её можно включить в любой момент, и всё будет работать без дополнительных шагов.
Разработчики Opera используют модуль для работы с DoH сходный с тем, что используется в Firefox, и не оставляют всё на откуп провайдерам, как Chrome. Весь трафик браузера сейчас идёт через резолвер 1.1.1.1 от Cloudflare.
Мы не нашли способа поменять его на другой, но, по крайней мере, DoH в Opera работает. Однако работать с VPN он не будет – если вам нужен DoH, то его придётся отключить.
Чтобы включить DoH в Opera, зайдите сюда:
opera://flags/opera-doh
Safari
Нет данных. Разработчики Safari обычно опаздывают на все вечеринки по добавлению новых возможностей, а Apple недавно вкладывалась в конфиденциальность пользователей, поэтому есть все шансы, что у Safari появится поддержка DoH.
Vivaldi
Представитель Vivaldi сказал, что поддержка DoH связана с реализацией Chrome. Пользователи могут включить её, перейдя по следующему URL:
vivaldi://flags/#dns-over-https
Однако поскольку DoH в Vivaldi работает так же, как в Chrome, он не будет шифровать DNS-запросы, если пользователь использует DNS-сервер, указанный в ОС, и не поддерживающий шифрование.
Скорее всего, придётся добавить в настройки DNS вашей ОС один из серверов, поддерживающий DoH, чтобы эта функция заработала в Vivaldi, и использовать его постоянно. Мы смогли добиться этого, прописав в настройках DNS-сервер 1.1.1.1.
Представитель Vivaldi сказал, что в будущем поддержка DoH в браузере может поменяться, в зависимости от того, как Google будет изменять поддержку протокола в Chromium.
Комментарии (201)
Sabubu
02.12.2019 10:50+1Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.
Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей? Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH и сидеть на работе в соцсетях.
ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.
Смысл DoH как раз в том, чтобы не передавать данные о посещенных сайтах провайдеру и садистам из правоохранительных органов. Гугл же сливает
протестидею с полным шифрованием трафика от местных коррумпированных властей. В демократии же гарантируется тайна переписки? Ну так давайте добавим к словам на бумаге технические меры по ее обеспечению, а судьи со своими законами могут идти туда, куда им укажут пользователи.
Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.
В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.
Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.
Слабаки.
Я сам включил в фаерфоксе DoT при первой же возможности,
Mur81
02.12.2019 13:48+7Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей?
Во-первых при чём тут админы? Вы понимаете вообще, что на предприятиях могут быть внутренние WEB-ресурсы, доступ к которым естественно через внутренний DNS?
Во-вторых что это за такие никому не интересные предприятия? Вообще как бы на предприятиях зарабатываются деньги, а люди там получают зарплату, на которую живут. Или браузер нужен только что бы котиков смотреть?
И главное в Chrome это пока реализовано на уровне экспериментальной фичи (достаточно трафик поснифать, что бы понять что сейчас это костыль). Я надеюсь, что в релизе это будет сделано по человечески, в частности будет нормально настраиваться через настройки и через GPO.Sabubu
02.12.2019 16:40+8Плевать на предприятия. Пусть предприятия используют специальный браузер для предприятий (майкрософт выпустит вам такой, в крайнем случае исходники открыты, пусть админ соберет что нужно) без шифрования и протокол HTTP, а нормальным людям надо оставить шифрованный браузер.
История показывает, что коррумпированные (читай: все) правительства ведут незаконнную слежку и их невозможно привлечь к ответственности. Потому шифровать нужно все, что можно, пользуясь тем, что это пока не запрещено, а если запретят, то шифровать подпольно. Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать. Они хотят знать о вас все, а вам о них и об их доходах знать не положено. Потому шифровать свои данные от них нужно хотя бы их принципа.
А без GPO массовые пользователи вполне могут обойтись.
Rampages
02.12.2019 18:53+1На предприятии тоже может быть MitM атака, поэтому трафик в локальной сети должен быть тоже защищен и обойтись без шифрования не получится.
И вроде как в нашем государстве нельзя шифровать так, чтобы правительство не могло это расшифровать (ну тут без ссылок, мне влом разбираться в этом вопросе в данное время). Ну и помнится всякие АТС и коммутаторы с определенными функциями шифрования должны обязательно получить разрешение ФСБ, без ФСБ ни купишь/ни продашь.
Ну тут как бы надо понимать, что по идее правительство == люди, люди == вы. Правительство не враг. Просто есть люди в правительстве, которые злоупотребляют правами или лоббируют интересы третьих сторон, а вообще там идут те еще игры престолов.
Наверное это правительство, которые мы заслужили. Нету активной гражданской позиции, ни у меня, ни у моих знакомых/друзей/родственников, а те у кого она есть сидят в одной партии. Все привыкли к правлению Единоросов, а до этого к ком.партии.
Garbus
02.12.2019 21:15+1Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать.
Открою страшный секрет — корпорации в этом пункте ничем не отличаются от правительства. И чем больше размер корпорации и её захват рынка тем сильнее это выражается.
А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?Sabubu
03.12.2019 09:49+2Верно, мораль и мотивация у глав корпораций и глав правительств одинаковая. Глава компании тот же рабовладелец в душе. (Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда? Работники сами голосованием будут устанавливать режим труда, зарплату, выбирать руководство. Разумеется, не отобрать сразу, а постепенно, дав хозяину возможность выжать оставшуюся прибыль. Как с крепостными было.)
Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
wholeman
03.12.2019 12:16Да Вы, батенька, прям коммунист. Жаль, что Хабр не для политики.)
Garbus
03.12.2019 13:26+1Не, коммунист получится такой себе. Пока в уравнении будут присутствовать деньги как цель и мерило успеха — коммунизм будет «ненастоящим».
Работники сами голосованием будут устанавливать режим труда
И неизменно вылезает вопрос компетентности. Работник уделяющий пол часа в неделю вопросу управления заводом, гарантированно будет хуже чем специально выделенный человек. Вот только куда будет «рулить» этот человек, самый сложный в решении вопрос.
Gamliel_Fishkin
03.12.2019 17:51Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
Я далеко не марксист, но Маркс, можно сказать, ответил на Ваши слова: «ради прибыли капиталисты способны на любое преступление».Zenitchik
03.12.2019 18:34+1Маркс — про моральную способность, а Sabubu — про физическую.
Gamliel_Fishkin
03.12.2019 19:24-1Вы думаете, у них нет технической возможности?
Четыре года назад при не вполне ясных обстоятельствах был убит один из ключевых разработчиков Linux'а. Разве это убийство не может быть выгодно некоторым софтверным гигантам, чьи сверхприбыли могут оказаться под угрозой из-за распространения Linux'а?
Whuthering
03.12.2019 19:32Сверхприбыли софтверных гигантов? Да софтверные гиганты (Google, Oracle, IBM, и многие другие) на Linux и его экосистеме наоборот очень хорошо зарабатывают. И даже те, что были резко против (Microsoft), тоже начали вполне успешно развивать бизнес в эту сторону.
Мёрдока жалко, конечно, вот только что-то незаметно, что его кончина как-то серьезно затормозила развитие Linux и Debian. Если уж строить козни, то задумавшим все это стоило бы сотню самых активных контрибьюторов на тот свет отправить, иначе все как-то бессмысленно выходит.
Честное слово, как будто мы не на Хабре, а на форуме зрителей РенТВ.
Ну и в целом, разговор все-таки немного о разном у вас. Влияние иностранных «гигантов» за пределами их стран все-таки очень сильно ограничено (если не включать фантазии в стиле шпионских романов), а вот своих отечественных органов — наоборот, не ограничено практически ничем. И чтобы пострадать от них и сломать себе жизнь, не нужно быть каким-то видным активистом, достаточно просто случайно попасть под руку.
wholeman
03.12.2019 20:39+1Про это он тоже писал, что государство обслуживает интересы господствующего класса, т.е. при капитализме — тех самых корпораций. Если корпорации сочтут, что вы представляете для них опасность, они при помощи государства на вас воздействуют.
diakin
03.12.2019 18:08+4>Кстати, что вы думаете об отмене частной собственности на компании и >передаче управления в руки коллектива в целях улучшения условий труда?
Создай свою компанию, выведи ее в прибыль и передай в руки трудового коллектива, который будет принимать управленческие решения путем голосования. И всем будет счастье.firk
03.12.2019 22:53Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.
В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.
diakin
04.12.2019 06:22Смысл моего ответа был в том, чтобы показать автору утопичность его предложения. Начни с простого — создай прибыльный бизнес. На этой фразе можно было бы обсуждение и закончить. Но можно еще подумать о том, что трудовой коллектив к процессу создания бизнеса не имеет отношения от слова «совсем». Цель трудового коллектива — побольше получать и поменьше работать, а не вкладываться в бизнес. Думать иначе — это утопия.
Условия труда и отношения предприятия и наемных работников регулируются действующим законодательством, социальную защиту обеспечивает государство. Задача бизнесмена -эффективно вести собственный бизнес, иначе прогоришь.wholeman
04.12.2019 08:49Цель трудового коллектива — побольше получать и поменьше работать
Для чистильщика сортира — полностью согласен. Программисты же вполне могут вкалывать, потому что это им нравится. Если при этом лучшая работа ведёт к лучшей зарплате напрямую, без участия компании, которая отгрызает себе хороший кусок дохода, то это вообще идеал (если не учитывать риск провала, конечно).
flx
04.12.2019 17:16+1>Цель трудового коллектива — побольше получать и поменьше работать
В пределе ты вообще не работаешь ни секунды, ты просто делаешь то что доставляет тебе удовольствие и хорошо у тебя получается.wholeman
04.12.2019 22:14Это всё равно работа, даже если доставляет удовольствие.
flx
05.12.2019 12:39а как тогда назвать то чем занимаются сотрудники макдональдс?
ну или любое другое трудоустройство где люди считают секунды до окончания рабочего дня?
невозможно же два принципиально разных явления называть одним словом.geher
05.12.2019 22:07Почему принципиально разных?
Человек получает деньги за деятельность, полезную для клиентов.
Его личное отношение к деятельности рассматривать можно, и это позволит классифицировать работу по этому параметру, но общий признак таки позволяет назвать любую работу работой вне зависимости оттого, приносит ли она удовольствие, а если приносит, то весь ли рабочий день.
flx
04.12.2019 17:16ну тут вы как минимум не правы.
имеет и еще какое. и что-то похожее на управление коллективом у нас и есть…
Sabubu
04.12.2019 18:39+2Но разве не так же рассуждали землевладельцы в средние века? "Крестьяне только и хотят поменьше работать на барщине и побольше оставлять урожая себе. Пусть пойдут захватят новые территории, получат дворянский титул и отменяют крепостное право в своем домене сколько влезет."
Вы начнете возражать, мол, никто тебя к градообразующему предприятию цепью не привязывал, вместо работы 8 часов за станком за копейки ты можешь 12 часов в сутки катать тележки в магазине за меньшие копейки. Ну так это как возможность в Юрьев день перейти к барину подобрее.
Разве я не прав? Поясните пожалуйста.
Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Разве работники не лучше знают, какая зарплата им нужна?
И я не считаю себя сторонником коммунизма, не сторонник того, чтобы людей отправляли в ГУЛАГ или сажали за антисоветские разговоры.
firk
04.12.2019 23:12Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.
fpir
04.12.2019 10:12Я видел такое, при Горби пошла мода на выборы директоров. В общем-то это органично вписывалось в социалистическую идею. Как правило, рабочии и служащии прекрастно знали, кто какой специалист. Видел и опракидывающие выборы, когда *удака меняли на более приличного. Конечно, исселедование этого вопроса не проводил, но субективно — чаще был положительный эффект.
geher
04.12.2019 21:51+1Глава корпорации пришлет к вам СБ корпорации с "электрошокерами", отправит вас в подвал или сфальсифицирует доказательства вашего участия в "ограблении компании на астрономическую сумму", чтобы подать на вас в суд.
Если у него связи в спецслужбах и в суде, то может и судью попросить, и дело сфальсифицировать, и сотрудников спецслужбы приехать за вами.
Vilgelm
05.12.2019 08:04+1Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда?
Вы, конечно, не у меня спрашивали, но не могу пройти мимо: ничего не получится, но в итоге поменяется собственник. И этому есть доказательства, потому что нечто подобное уже происходило всего-то менее чем 30 лет назад в России, называлось ваучерная приватизация.
И это нормально, во-первых, потому что большинству людей это нафиг не сдалось, во-вторых, потому что когда все миноритарии, то к сожалению ничего не взлетит, потому что как минимум часть людей будут жить по принципу «раз я тут миноритарий, то пойду с****у пару болтов, ну а че».
Gamliel_Fishkin
03.12.2019 17:46А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?
Акулы вроде Microsoft и Google — с целью захвата рынка, да. А, например, Mozilla? Есть акулы, но и есть и романтики.
Vilgelm
05.12.2019 08:07+2Не отличаются. Но корпорации, какие бы крупные они не были, по сравнению с правительствами щенки просто. Корпорация не может настолько сильно влиять на вашу жизнь (не посадит вас в тюрьму без содействия правительства), у корпораций есть конкуренты, к которым вы можете уйти и так далее. А правительство — это мегакорпорация с абсолютной властью и без конкурентов, к которым вы можете перейти (ну или по крайней мере это намного сложнее, чем купить вместо Pixel iPhone или наоборот).
rupas_k
02.12.2019 13:55+1в плане обеспечения безопасности предприятия данные с DNS являются достаточно полезным индикатором. Поэтому фраза: " Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH" не совсем корректна.
Dr_Sigmund
02.12.2019 17:40-4В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.
Ну конечно, гораздо лучше отдать их невесть где сидящим админам какой-то американской компании. Они спать не могут, всё думают, как бы наши права посильнее уважать.Whuthering
03.12.2019 15:10+4Увы, но наши провайдеры вынуждены подчиняться законодательству страны, к которому (и к практике соблюдения которого) есть много вопросов.
Выше вон уже написали:Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
Замените «главу корпорации» на «какую-то американскую компанию», и комментарий станет полностью акутальным для вашего высказывания.Dr_Sigmund
04.12.2019 02:12Увы, но наши провайдеры вынуждены подчиняться законодательству страны
Почему «увы» — они что, не должны ему подчиняться?
к которому (и к практике соблюдения которого) есть много вопросов
А к американским компаниям вопросов нет?
Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами
Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод, по щелчку пальцев они не появляются. А глава американской корпорации, конечно, их прислать не может. Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhomPavel1114
04.12.2019 03:58www.youtube.com/watch?v=Dp2DfGh-QG0
Не по щелчку конечно. Но и без особых усилий. У них вроде сейчас и другой работы то нетDr_Sigmund
04.12.2019 13:10Даже вашей обрезанной версии достаточно, чтобы услышать про группу «Русскоязычный бандеровец», а если посмотреть чуть более полную версию этого видео, то становится понятно, что чувак — нацик-отморозок. И таким ФСБ действительно должно наносить визиты вежливости. Я, как гражданин и житель РФ, всецело это поддерживаю.
Pavel1114
04.12.2019 16:32Действительно с этим видео я ошибся. Хотя сама формулировка «по факту размещения вами комментария в социальной сети», конечно, сильная. Если он террорист, то и сажать его надо за терроризм. А за комментарий, какой бы он не был, сажать нельзя.
Dr_Sigmund
04.12.2019 23:52Если он террорист, то и сажать его надо за терроризм.
Так он пока не террорист — не зарезал никого, не взорвал ничего. Его берут именно за то, что он совершил — «публикацию сообщения экстремистской направленности в сети Интернет», или как там это описывается сухим языком протокола. И правильно делают, что берут. Во избежание.
А за комментарий, какой бы он не был, сажать нельзя.
Моё глубокое убеждение, что, в зависимости от комментария, можно и нужно. К примеру, отправкой на нары блогера Синицы я был вполне удовлетворён.Pavel1114
05.12.2019 03:43+1Может быть в каких то случаях и можно было бы сажать. Но. Судебная система в России не то что бы несовершенна, но определённые проблемы у неё есть. А у правоохранителей есть планы, отчёты по раскрываемости. Завтра майору захочется закрыть вас(бизнес, обида, отчёт на конец квартала). Зайдёт на вашу страницу ВК. Найдёт там экстремизм или оскорбление чьих нибудь чувств, или неуважение чего либо. Вы можете сказать «не сможет — я порядочный гражданин и у меня такого нет». Но вы не эксперт. Эксперту будет виднее. К тому же может эту страницу они заранее подготовят. Суду вообще пары скриншотов(или фото экрана) хватит.
Whuthering
04.12.2019 13:22Почему «увы» — они что, не должны ему подчиняться?
Как я уже сказал, к этому самому законодательству и практике его применения есть очень много вопросов. Поэтому «Увы».
А к американским компаниям вопросов нет?
Вопросы есть и к тем и к тем, вот только вопросы разные, и последствия их для граждан тоже разные. Как вы сами отметили, если вы осознанно на «их» территорию не приедете, то они до вас вообще не смогут дотянуться, даже если вдруг по какой-то невероятной причине захотят.
Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод
Например, основать успешный бизнес и не поделиться, или просто перейти в жизни дорогу какому-нибудь «уважаемому человеку». А кроме спецслужб у нас есть еще и другие силовые структуры, и в их случае достаточно желания выслужиться должностного лица и случайного невезения гражданина.
Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom
Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.Dr_Sigmund
04.12.2019 14:20-2Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.
Может, они в чём-то виновны, может, нет, я этого не знаю. Я знаю, что их арестовали за что-то, что они делали в сети, когда они выехали за рубеж, и что им предъявили обвинения на основании законодательства других государств. А законы бывают покруче наших — у нас тут возмущаются, когда кого-то берут за задницу за пост или коммент, а, например, в Англии по новому закону можно схлопотать пятнадцать лет за всего лишь ПРОСМОТР террористических сайтов (пруф: www.theguardian.com/uk-news/2017/oct/03/amber-rudd-viewers-of-online-terrorist-material-face-15-years-in-jail). Поэтому люди, желающие спрятать свою деятельность в сети от российского провайдера и РКН, потому что те «нарушают их права», но с готовностью предоставляющие те же самые данные какой-то американской компании, вызывают у меня искренне изумление своим эльфизмом.
Vilgelm
05.12.2019 08:11+2Если вы гражданин США или проживаете в США, то вам лучше отдать эти данные Яндексу или Ростелекому какому. Если вы гражданин России или проживаете в России, то вам лучше отдать эти данные Cloudflare. Все просто.
Dr_Sigmund
05.12.2019 17:28(Усмехнувшись) Ну разе что так.
«Коммерция — великая вещь: я им наше знамя, они мне своё!»
geher
02.12.2019 22:19+6В демократии же гарантируется тайна переписки?
На самом деле нет. Это из разных областей понятия.
В принципе, если народ решит, что тайна переписки не нужна, то в соответствии с сутью демократии она должна быть отменена.
Так что тайна переписки гарантируется не демократией, а желанием народа при демократической форме правления иметь эту самую тайну переписки.
Anastasia_K
03.12.2019 11:02+2всё так, с маленькой поправкой. не народ а демос. плебс, к сожалению, ничего решить не может.
geher
03.12.2019 19:18+1Вы путаете понятия. Демос — это именно народ. Это из Древней Греции. Он не делился по уровню достатка, умственным способностям или социальной ответственности, а определялся исключительно по происхождению (в некоторых полисах еще была процедура принятия в народ, но сути оно не меняет, потомки принятого автоматически становились частью демоса).
В демос не вкключались только рабы (ибо имущество) и "понаехали" (ибо чужие).
Плебс — это вообще не про демос. Это уже из Древнего Рима, где выделили группы людей по социальному признаку. Тут могу ошибаться, но вроде в плебс включали как граждан (демос), так и всякий сброд без гражданства, а к всадникам и патрициям, которые определяли жизнь Рима, относили уже только граждан с определенным положением в обществе.
Dr_Sigmund
04.12.2019 02:16+2не давать DNS-данные коррумпированому провайдеру
А что такое «коррумпированный провайдер»? Это который взятки берёт или даёт? Меня аж любопытство взяло.
Andrew_Pinkerton
02.12.2019 10:58не работает без напильника, а жаль.
Not available on your platform. (x86_64 GNU/Linux)
Spoiler header
chupasaurus
02.12.2019 11:28dnscrypt-proxy v2 под вашу платформу доступен до всей истории с добавлением в браузеры поддержки DoH.
jonie
03.12.2019 12:16так ведь у вас поди там настроен (обыкновенно, например у десктоп версии убунты последних лет) NetworkManager, который использует systemd-resolved, который как бы поддерживает DoH уже давно. Ну а хром, соотвественно, использует локальный dns сервер (на локальном хосте), и трафик не утекает в интернеты между ним и dns сервером (нет смысла там tls делать особенно). Не?
Mur81
02.12.2019 12:25На выходных только ковырялся с DoH в Chrome, хотелось понять как оно работает. То что я увидел снифером наводит на мысли, что это пока больше похоже на костыли чем на законченное рабочее решение.
Dukat
02.12.2019 12:33включить DNS по HTTPS в любом браузере
Эх, ожидал какое-то браузеро-независимое решение, а тут только перечисление наиболее (?) распространённых браузеров…
n0isy
02.12.2019 12:40Firefox 70.0.1 включил сам эту фичу (РФ). Я ещё с утра подумал, почему торренты стали работать без прокси. Получается РосКомНадзор поломан. И будет опять банить Cloudflare…
AbstractGaze
02.12.2019 13:48+1А что за провайдер? У меня ростелеком блочит с включенным doh в Firefox 70.0.1 и торрент и 7-zip.org
dartraiden
02.12.2019 17:307-zip.org
7-zip.org попадает в заблокированный диапазон IP-адресов, DoH тут даже теоретически не способен помочь.
7-zip.org is not blocked
but may be filtered by IP:
159.65.89.65
Mass blocked resource!
/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 159.65.0.0/16
Через DoH вы получите сведения о том, что 7-zip.org резолвится в 159.65.89.65, а дальше запрос к этому IP будет зарезан провайдером.
spirit1984
04.12.2019 19:18То же самое, не позволяет зайти ни на что заблокированное. Очевидно, потому что надо подключать еще esni, а он по умолчанию не активируется при обновление.
Danis98
02.12.2019 13:55+2Хочу вас обрадовать, вам очень повезло с провайдером. В России большинство провайдеров блокирую по SNI, а не по DNS, что делает DoH довольно бесполезной примочкой для обычного пользователя и уж точно никак не спасает от РосКомНадзора.
fpir
04.12.2019 10:21Да, но некоторые делают это комплексно, и по SNI, и подкидывая не валидные DNS ответы, и, до кучи, перехватывая весь трафик по 53 порту.
moviq
02.12.2019 19:19Интерсно, у меня по этой причине короткие ссылки всё время с длинной гугл капчей вываливаются? Задолбался разгадывать светофоры, автобусы и гидранты.
danfe
03.12.2019 11:30Я ещё с утра подумал, почему торренты стали работать без прокси.
Погодите, а разве их когда-то блокировали в России? Сколько ни качаю-раздаю, всё напрямую работает (Питер, Ростелеком). Другое дело, что заблокированы многие трекеры и поисковики, но для 99% не-private торрентов знания info-хэша (btih, который рано или поздно просочится в DHT) вполне достаточно, а они щедро разбросаны по зеркалам/кэшам и проиндексированы поисковиками.
Ark_V
02.12.2019 13:39А какие из DNS использовать кроме Cloudflare, и что б доверять можно было и как это проверять?
Revertis
02.12.2019 15:12-1В Firefox используется прослойка от Мозиллы. Мне кажется, Мозилле можно доверять.
Mur81
02.12.2019 15:23Что за прослойка? Cloudflare там используется по умолчанию.
Revertis
02.12.2019 15:28Домены мозилловские.
Mur81
02.12.2019 15:41Она при старте резолвит (через классический UDP 53) домен mozilla.cloudflare-dns.com. Получает в ответ айпишники с корыми потом работает уже по TCP 443.
Где тут присутствуют мозилловские домены не пойму.
Кстати Chrom, будучи настроенным на Cloudflare, поступает точно так же, но только резолвит уже chrome.cloudflare-dns.com.
Причём примечательно, что айпишники отдаваемые по mozilla.cloudflare-dns.com и chrome.cloudflare-dns.com разные.
Это наводит на некоторые мысли. Скажем о разнице в реализации протоколов в Хроме и Файрфоксе (впрочем возможно это для каких-то других целей сделано).
А ещё в Хроме нельзя непосредственно указать с каким провайдером DNS ему работать. А ещё там прозрачный откат до классического DNS. И другие любопытные вещи снифером можно подсмотреть.
Файрфокс подробно не изучал но, то что сейчас в Хроме сделано это даже бетой назвать с трудом можно.Revertis
02.12.2019 16:04Я вижу такое в about:config:
Сниффером не смотрел, но предполагаю, что этот адрес используется для всех запросов. Айпишники принадлежат CF, но подозреваю, что это некие сервера Мозиллы, не уверен, впрочем.network.trr.uri https://mozilla.cloudflare-dns.com/dns-querydartraiden
02.12.2019 17:38Нет, это оборудование Cloudflare. Mozilla со своей стороны гарантирует, что Cloudflare ценит приватность пользователей Firefox и обещает периодически проверять, как она там блюдётся.
Balling
03.12.2019 11:45Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24
Gamliel_Fishkin
02.12.2019 14:45Предпочитаю направлять DNS-запросы через SOCKS-прокси. Собственный SOCKS-прокси на VPS.
n0isy
02.12.2019 16:431. Опять же — вопрос «кому отправлять». 8.8.8.8?
2. Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
Речь о минимальных телодвижениях в пользу анонимности.Gamliel_Fishkin
02.12.2019 18:14вопрос «кому отправлять». 8.8.8.8?
Есть censurfridns.dk и подобные службы.
Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
Именно так. Точнее, помимо SOCKS-прокси у меня есть и HTTP-прокси.
Речь о минимальных телодвижениях в пользу анонимности.
Провайдеру тоже доверять не надо, но чем CloudFlare лучше?Balling
03.12.2019 11:46Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24
Gamliel_Fishkin
03.12.2019 18:13+2Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24
Цитирую страницу, на которую я сослался выше:
Cloudflare publicly commits to a "pro-user privacy policy" and the deletion of all personally identifiable data after 24 hours, but you never know where your data ends up at the end of the day. <…> all DNS requests are seen by Cloudflare and in turn also by any government agency that has legal right to request data from Cloudflare. <…> If there is anything wrong with your government (for instance corruption, collusion or fraud) and you have information to publish about it, the government will be able to trace you down. This puts any whistleblower at risk.Balling
03.12.2019 18:26-2Это bullshit. Поймите, RIR не очень себя офишируют. Но нет, cloudfare не сможет ничего предъявить, данные удаляются в течение 24-48 часов, они находятся под перекрестным аудитом от RIR и ООН. Это глобальный проект. Вы себе даже не представляете, какой там уровень.
sumanai
02.12.2019 18:44+11. Опять же — вопрос «кому отправлять». 8.8.8.8?
Всегда можно поднять свой сервер, который будет сам ходить на авторитарные и кешировать результаты.
rajven
02.12.2019 16:51Провайдерам глубоко начхать на этот DoH. У провайдера стоит DPI которому пофиг куда вы ходите за DNS. Единственный способ пройти DPI — туннель за бугор. А DNS хоть обшифруйтесь — ничего это не даст.
Andrusha
02.12.2019 19:14+1Единственный способ пройти DPI — туннель за бугор.
В том-то и дело, что нет. Например вот или более современный вариант, к тому же относящийся к содержимому статьи.rajven
02.12.2019 19:56Пассивный DPI не видел ни разу. А активный DPI из тех, на которые я напарывался, пропускал только на сайты, играющиеся окном. Но, опять же — сколько администраторов серверов решат сделать такую фишку? Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке. Хотя, может года за 3 оно и приживётся. Посмотрим. Но, это такая себе палка о двух концах — ничего не мешает регулирующим органам начать блочить по ip. Кто там пострадает из невиновных их не колышет.
Andrusha
02.12.2019 20:03Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке.
Или просто Google объявит, что N версия Chrome будет показывать уведомления в адресной строке о том, что сайт без eSNI небезопасен, а начиная с версии N+2 такие сайты перестанут открываться. И всё.
Rampages
02.12.2019 19:16Encryped SNI и DNS over HTTPS в паре могут хоть как-то частично обойти DPI (Deep Packet Inspection), ну по крайней затруднить ISP'ам доступ к вашим запросам.
rajven
02.12.2019 19:46Ну — мало кто его настроил пока. Большинство владельцев сайтов просто забьёт.
Да и идея хорошая, но опасная. Как показала практика, запрещающим органам глубоко насрать на блокировки непричастных. Будут снова банить подсетями. www.7-zip.org вон который год в бане за экстремизм. И ничё.Rampages
02.12.2019 20:26Ну по крайней мере провайдеры не будут собирать с тебя статистику по доменам и запросам к DNS, хотя может быть какие-нибудь крутые анализаторы пакетов от каких-нибудь Positive Technologies, FortiGate, Checkpoint и других что-то могут...
awolfman
03.12.2019 11:43Странно, у меня он почему-то открывается нормально через https.
Возможно стоит установить HTTPS Everywhere, чтобы он требовал от сайта работу по https.
На мобилке rutracker.nl выдает сайт заглушку типа заблокирован по решению суда и бла-бла-бла.
Включил в Мозилле DoH и вуаля открывается нормально.rajven
03.12.2019 16:09+1Сайт в блокировке по ip. Смена протокола ничего давать не должна. Если у вас открывается через https — значит провайдер чхать хотел на РКН и штрафы и использует только блокировку по http через какой-нить squid. Ну — чисто чтобы можно было сказать, что она у них вообще есть.
awolfman
03.12.2019 19:11Тогда получается, что 5-ть разных провайдеров из которых два сотовых и один Ростелеком, чихать хотели на РКН и штрафы.
rajven
05.12.2019 12:24Ну это же легко проверяется:
host www.7-zip.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
www.7-zip.org has address 159.65.89.65
Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:
rkn
vanyaindigo
03.12.2019 13:41-1Те, кто за Cloudflare, получают настроенный eSNI включенным по-умолчанию. Ставьте свой домен за Cloudflare и сможете открыть его спокойно в Firefox с включенным eSNI без туннеля (как пример: rutracker.nl/forum/index.php открывается, а rutracker.org/forum/index.php не).
firk
02.12.2019 20:10+1На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.
Rampages у меня лимит на комменты в сутки, отвечу в этом
То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.
Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.
Ну и вроде как encrypted не равно «отсутствие читаемого».
Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.
Rampages
02.12.2019 20:21То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.
Но encrypted SNI о идее уже больше к приватности имеет отношение.
Ну и вроде как encrypted не равно «отсутствие читаемого».
Может что-то где-то упускаю, просто не эксперт в этой области.
vp7
03.12.2019 08:14Основная фишка ESNI в другом.
В какой-то момент на одном IP адресе окажется SuperBlockedDomain.com и google.com и перед фильтровальщиками трафика встанет серьёзная проблема — заблокировать по IP и превратить в тыкву десятки миллионов телефонов или нарушить правила блокировки и разрешить этому IP работать.
Вместо google.com может быть любой другой ключевой ресурс с блокировкой которого у пользователей начнёт ломаться чуть меньше, чем всё.
И тогда можно уже будет только угрожать на уровне "либо вы выносите этот домен со своего IP адреса, либо мы блокируем интернет в своей стране".
vanyaindigo
03.12.2019 12:24В том-то и дело, что хотят блокировать все, как в Иране, но пока не могут.
Rampages
04.12.2019 05:12Ну могут выпустить очередной тупой закон а-ля «распространять интернет браузеры с предустановленным российским расширением, которые будет проверять контент на экстремизм, CP или что-либо еще, что может оказаться не в ваших интересах.»
konchok
03.12.2019 15:03+1Фильтровальщики смотрят шире и запрещают продажу устройств без русского софта. А там наверняка будет и нужный коренной https сертификат добавленный в систему. Эти SNI просто мелочи когда можно любого подозрительного просто через себя проксировать. /Да, я знаю про certificate pinning итд/
ValdikSS
04.12.2019 02:48отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе
Сейчас на многих DPI использование ESNI считается за отсутствие SNI, и производятся блокировки по IP-адресу. ESNI снижает доступность сайтов на многих провайдерах.
ntc.party/t/esni-encrypted-sni/68
Whuthering
03.12.2019 15:13Некоторые провайдерские DPI начали таких хитрозадых с DoH+eSNI рубить целиком и полностью. Т.е. IP вы отрезолвить смогли, зашифровать хостнейм смогли, провайдер видит, что вы подключаетесь к IP, на котором висит какой-то из заблокированных ресурсов, но не может понять, пытаетесь вы зайти именно на этот сайт, или на какой-то соседствующий с ним — и поэтому от греха подальше дропает подключение полностью.
genuimous
02.12.2019 19:45+1Ничего не понял. Не удалось прочитать DNS-запрос, и что с того? Следующим будет установление HTTPS-соединения с условным хабром, которое однозначно идентифицируется. Поясните кто-нибудь сценарий реального использования фичи.
Asparagales
02.12.2019 20:21+3Это перевод иностранной статьи. Там, за границей, тоже блокируют сайты и делают это в основном путем перехвата, блокировки или подмены DNS-запросов. Вот иностранцам этот способ поможет. Можно, конечно, заблокировать DoH-сервер, но для этого нужно решение суда.
in_heb
02.12.2019 23:02DOH это только начало. Следующий шаг это eSNI, который пока на стадии экспериментов
И да, кроме http/https есть и другие протоколы (хотя их трафик мал по сравнению с веб)
Ну и что самое важное, многие системы анализа (например, для таргетированной оффлайн рекламы или отслеживание посещений сайтов-конкурентов) анализирует лишь dns, для анализа sni им надо допиливатт софт, менять схему включения и т.п. От таких умников (поверьте мне, их много), doh спасает
AlexBin
02.12.2019 20:39+3Как послать провайдера подальше
Поменяйте заголовок на «Как послать РКН ...»
Или вы думаете, провайдер горит желанием блокировать сайты? Провайдеры тоже жертвы, которые несут от этой системы финансовые потери.
extremeEXIT
03.12.2019 07:21-4РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди. Да-да, именно те, которые ежедневно проходят мимо вас.
Идеальный заголовок был бы: «Как починить людей позволяющих творить такой беспредел в своём государстве-доме ...»AlexBin
03.12.2019 08:25+2РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди.
Вам легко говорить, вы, судя по всему, ничего кроме телевизора не смотрите.extremeEXIT
03.12.2019 10:08Скорее по стектрейсу прошёл действительно до бага, который рушит наш интернет.
Zenitchik
03.12.2019 13:24+2которых выбрали люди.
Которым было не из кого выбирать, и они выбрали наименее одиозных.Gamliel_Fishkin
03.12.2019 18:25
+1. «Не важно как голосуют, важно как считают голоса».которых выбрали люди.
Которым было не из кого выбирать, и они выбрали наименее одиозных.
wataru
03.12.2019 13:31+5РКН тоже подневольны. Они вынуждены исполнять законы,
Во время "блокировки" телеграмма они творили полный беспредел, который даже по текущим драконовским законам совершенно незаконен.
Там не подневольные люди, а самые настоящие вредители и дилетанты, бегущие впереди репрессивной машины.
которые издали депутаты, которых выбрали люди.
Это очень спорный вопрос. Больше похоже, что их выбрал волшебник Чуров и компания.
Тут не столько массовые махинации на самих выборах, сколько тупо недопуск любой не одобренной партии до выборов.extremeEXIT
03.12.2019 13:55они творили полный беспредел
Я эту деятельность РКН не поддерживаю. Но хочу перевести ваше внимание на причину вызывающую эти действия. Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
Это очень спорный вопрос.
Согласен, вопрос спорный. Почему подавляющее большинство населения не спорит с результатами выборов? Не защищает свой выбор от обмана? Мне кажется, это такая молчаливая поддержка. Или другим словами Чуров выбрал, а население пассивно молчаливо поддержало. Результат этой поддержки — разрушение нашего общего интернета.wataru
03.12.2019 14:51+3Причина — это наличие закона.
Будьте добры, ткните меня, несознательного, мордой в место в законе, где написано:
- что можно блокировать подсети.
- что можно вносить подсети в "резиновое" постановление прокуратуры задним числом.
- что РКН может в автоматическом режиме блочить прокси телеграмма.
Почему подавляющее большинство населения не спорит с результатами выборов?
Большинство не спорит, потому что это слишком большие риски и затраты энергии. Некоторый процент, все-таки, попытался спорить. Результат — репрессивные законы и показательные абсурдные уголовные дела. И все эти законы о блокировках — это как раз реакция на тот небольшой, но не ничтожный процент несогласных.
Могу еще привести аналогию: Допустим, у вас угнали автомобиль. Но вы ведь могли бы организовать поисковый отряд, найти свой авто в другом городе и отбить его у бандитов. Но если вы этого не сделали — значит разрешаете бандитам ездить на вашем авто, так что ли? Это в точности ваш аргумент приложенный к немного другому преступлению.
Выбор или одобрение — это совершенно другого порядка действия, нежели отсутствие активной борьбы с властью. Отождествлять их нельзя.
extremeEXIT
03.12.2019 15:53+1место в законе, где написано
я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые, чтобы закон можно было разворачивать куда угодно. И что подобные законы иногда ещё называют рамочным.
Всё самое интересное начинается в подзаконных актах. То есть исполнитель (в нашем случае — РКН) сам себе придумывает правила по которым и будет исполнять закон.
Что с этим делать? Всячески добиваться отмены закона.
Могу еще привести аналогию
Хорошая аналогия. Что мы с вами как минимум сделаем? Напишем заявление об угоне.
Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг до тех пор пока результаты выборов не отменят (+ помощь поддерживающим общественным организациям).
Предполагаю (поправьте если не так), что для вас — это одно/двух/трех-кратное посещение подобного митинга.
Тем самым мы расходимся во мнениях.wataru
03.12.2019 16:56+2я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые
Ну ткните меня в такую расплывчатую формулировку наконец-то! Закон писали ничего не понимающие в этом люди. Они, хоть и пытались расплывчато все написать, про необходимость блокировки подсетей они не подозревали. Когда это стало понятно в ситуации с телеграмом, ни законы, ни подзаконные акты не позволяли это делать. Но РКН это не остановило.
Что мы с вами как минимум сделаем? Напишем заявление об угоне.
Это аналогично ворчанию на кухне/в интернете.
Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг
Напомнить вам, что митинг на болотной был согласован? Тем не менее менты сделали все, что бы устроить беспорядки и репрессии.
Сейчас же людей на согласованных митингах избивают, людей задерживают и сажают за одиночные пикеты и ломают людям ноги за пробежку на месте, где через несколько часов будет согласованный митинг.
По персональным рискам, затратам времени и сил, ваши походы на митинг могли бы сравнится с написанием заявления об угоне только если бы в отделении полиции каждый день похищали и избивали случайно зашедших, вешали на них нераскрытые преступления или просто обворовывали до трусов.
Zenitchik
03.12.2019 15:34+1с результатами выборов
Потому что не в результатах выборов дело. Претензия к исходным данным выборов, из которых можно сделать только такой выбор, который получился.extremeEXIT
03.12.2019 16:01В этом году, да, к исходным данным. В 2011 к результатам. В ответ на митинги 2011 года всё это постепенно и завертелось с закручиванием гаек в интернете. До 2011 года на регулирование информации в интернете всем было пофигу.
xdimquax
04.12.2019 17:25+2Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
Это причина блокировать, но не причина ломать. Это повод. Повод для организаций, подобных РКН, поломать Интернет, чем они и занимаются, прикрываясь благими намерениями.
vanyaindigo
03.12.2019 13:47+6Честные бы уже давным давно ушли из этого гадюшника. Нет, там остались только конченые мудаки и мрази.
vanyaindigo
03.12.2019 12:32Провайдеры, особенно крупные, вась-вась с государством, так что им пофиг на ваши страдания от их блокировок. И логика там как раз другая: лучше сделать то, чего просит РКН/ФСБ/ФНС/и т.д. по списку, чтобы проблем не было.
AlexBin
03.12.2019 12:58+1Провайдеры, особенно крупные, вась-вась с государством
Не «особенно», а «только» крупные, и то не все, не надо искажать действительность.
им пофиг на ваши страдания от их блокировок
А я где-то говорил, что провайдеры переживают за пользователей?
И логика там как раз другая
А другая это какая? Процитируйте, где я описывал «другую» логику?
Я сказал, что провайдеры — жертвы. Поясняю! Они вынуждены ставить себе DPI, способный фильтровать такое количество трафика, потребляя дополнительное электричество, места в стойках и бесперебойниках + охлаждение, при этом любезно добавляя еще один потенциальный узел отказа и дополнительные latency в качество соединения. И никакого пряника там нет, только кнут: за каждую пропущенную ссылку штраф, емнип в районе 50к.
И DPI — это еще не все требования и оборудование, которые вынуждены соблюдать честные региональные или городские провайдеры, чтоб их не утопили в штрафах, и не отобрали лицензию.
Разумеется, все эти наказания не коснутся ростелекома, а напротив, он за свою нагло бездарную работу еще и премии получит.vanyaindigo
03.12.2019 13:08Угу, «жертвы», которые подмахивают ФСБ/РКН/АП. Видимо, жертвы со стокгольмским синдромом.
Rampages
04.12.2019 07:06+2Да, когда бред с РКН только начался, заставили всех провайдеров любого уровня соблюдать, иначе штрафы. У нашей организации была лицензия на оказание услуг связи, но мы уже давно их не оказывали, а по закону надо было каждый день с ЭЦП заходить на сайт РКН и скачивать/обновлять список запрещенных сайтов, даже если услуги не оказываются. Маразм.
Сейчас не знаю как там у них все устроено, но провайдеры подневольные люди. Может есть какая-то ассоциация провайдеров, где какой-нибудь «заинтересованный» президент ассоциации будет отстаивать их права на политической арене, но толку будет мало.
У нас кстати хотели ПАО «Ростелеком» запихать в реестр недобросовестных поставщиков (РНП), за не выполнение обязательств по контракту ФЗ-44, а там как вы знаете если юр. лицо попадает в РНП, то все афилированные лица и учредители попадают в РНП и после этого не могут участвовать в гос. тендерах сколько-то лет. Не получилось запихать, Ростелеком и дальше не выполняет обязательства по контракту, зато звонил министр из Москвы. Вместо 100 мбит/сек ПАО Ростелеком дает 4 мбит/сек, спасибо государству за отличную политическую машину, как только начали пытаться запихать в РНП, реакция из Москвы последовала немедленная.vanyaindigo
04.12.2019 08:04Мелкие локальные может и подневольные, только трафик их присоединен к крупным (МТС, Мегафон, Билайн, Ростелеком, ЭР-Телеком), а уж они-то с государством не будут спорить. Даже, если их будут резать, они просто в очередной раз повысят тарифы для абонентов.
Viceroyalty
02.12.2019 22:06После включения опции в Chrome стали загружаться быстрее, с чего бы это… может потому что у меня старый роутер?
Fullmoon
02.12.2019 22:11А вот такой вопрос — как DoH/DoT будет стыковаться с DNS-адблоком, к примеру PiHole?
UPD: Всё уже давно решено, например, тут же на хабре: https://habr.com/ru/post/468621/
Sir3x
02.12.2019 23:37+1Только вот вопрос опять же про контроль со стороны провайдеров — а сам траффик с каких адресов/портов будет поступать к клиенту?
Если есть весь дамп траффика то определить куда ходил пользователь вроде как не трудно. Согласен, что сложно будет понять зачем — но факт присутствия на запрещенных сайтах отследить можно. Или я что то не понимаю?
andreymal
03.12.2019 05:00Если на одном IP сотни и тысячи сайтов (как например в случае с Cloudflare и shared-хостингами), то напрямую определить конкретный посещаемый сайт из этих тысяч уже не получится (при наличии eSNI)
Quber
03.12.2019 00:15Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?
Gamliel_Fishkin
03.12.2019 18:44Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?
Он там не нужен. Tor работает как локальный SOCKS5-прокси, весь трафик Tor-броузера (в том числе DNS) идёт через него.
Tor можно указать в качестве SOCKS5-прокси и в других программах: если это Tor в составе Tor-броузера, то 127.0.0.1:9150 (работает только когда запущен Tor-броузер), а если Tor как отдельное приложение, то 127.0.0.1:9050. Но в некоторых программах этого недостаточно; в частности, связка «любой другой броузер плюс Tor» не может заменить Tor-броузер.
wholeman
03.12.2019 08:10+4Я правильно понял, что при использовании DoH DNS-запросы скрываются от провайдера и локальных спецслужб и передаются Мозилле/Гуглу/Клаудфлэю (и, возможно, соответствующим спецслужбам)?
Anastasia_K
03.12.2019 11:34+1да. но они «клянутся, что эти данные использовать не будут. честно-честно. включайте»
wholeman
03.12.2019 12:36Ну, я-то, если и включу, то свой сервис поднимать буду, потому что у меня в интранете всё по именам, например, управление душем на даче. А вот большинство так не сделают, а воспользуются дефолтным. Хороший ход, чтобы забрать всё себе.
Zenitchik
03.12.2019 13:25А зачем интранету торчать в интернет?
wholeman
03.12.2019 14:40Он туда не торчит. Мои DNS-сервера находятся в интранете, поэтому через DoH от Гугла со товарищи недоступны. Чтобы ими пользоваться придётся и DoH свой делать. Либо (если есть возможность) настраивать, что пойдёт через DoH, а что обычным путём. Это может быть сложнее.
goldrobot
03.12.2019 17:06+1>управление душем на даче по интернету
Офтоп, но я не могу не спросить зачем?wholeman
03.12.2019 20:29Интранет, а не интернет, то есть внутренняя сеть, недоступная извне. Нагрев до заданной температуры и управление светом через веб-морду. Поскольку душ этот представляет собой сарай с бочкой в дальнем углу сада, удалённое управление очень удобно.
kvalter
03.12.2019 09:29Ладно, я включил DoH в Chrome. А как дальше потестить? Нужно ждать пока на "другой стороне" его тоже установят? Например, на рутрекере
Biga
03.12.2019 11:02Другая сторона — это DNS сервер. Используйте любой из поддерживающих технологию. Например, неоднократно упомянутый в статье 1.1.1.1.
DNS-сервер вернёт браузеру ip-адрес рутрекера и, если этот ip не заблокирован провайдером, рутрекер откроется в браузере.terebenkov
03.12.2019 11:43+1Не все провайдеры блокируют по dns запросам. у нас например, в случае с рутрэкером идет проверка по sni. Включение esni позволяет обойти блокировку rutracker.nl
3adnica
03.12.2019 14:51видимо не всё так просто… поставил dns 1.1.1.1 включил в ff ensi, но все равно получаю заглушку, только теперь от другого провайдера.
JustDont
03.12.2019 16:15Точно включили? Что показывает https://www.cloudflare.com/ssl/encrypted-sni/?
vanyaindigo
03.12.2019 11:43+1Инструкция занятная, но совершенно не соответствует заголовку: провайдерские DPI уже давно не смотрят в DNS, а анализируют SNI. И пока не будет повсеместного внедрения eSNI, никто никуда без VPN провайдеров не пошлет.
xdimquax
04.12.2019 07:33Да если и будет, то блокировки по IP никто не отменял. Уже даже тех, что есть, достаточно для того, чтобы заводить
тракторпрокси или VPN.
AndreyYu
03.12.2019 11:49Объясните, пожалуйста, почему даже если включен в Opera DoH режим и сервис проверки DoH от Cloudfare говорит, что всё ок, при заходе на заблокированные ресурсы выдаёт страницу блокировки от провайдера? Получается, что режим полу-рабочий, что ли или надо ещё какие-то манипуляции на ПК совершить?
vanyaindigo
03.12.2019 11:57Потому, почему я объяснил в комментарии выше.
JustDont
03.12.2019 16:19Если у человека выдаёт страницу блокировки — у него настройка неправильная, а ваши объяснения не в тему. С корректно настроенным DoH вы в лучшем случае увидите ошибку разрыва связи (если провайдер из тех, кто уже смотрит в SNI), но никак не страницу-заглушку.
vanyaindigo
03.12.2019 18:05Да что вы говорите)) Ну-ну)
Вы увидите заглушку даже с корректно настроенным eSNI в браузере, если сам сайт его не поддерживает. Все зависит от настроек DPI у оператора.JustDont
03.12.2019 18:08+1Раз уж вы лучший хакер на деревне — может подскажете, как именно вам провайдер подделает ответ сервера по https, и покажет что-то левое?
vanyaindigo
03.12.2019 18:29Очень легко: читает IP и SNI и перенаправляет на заглушку) Вот, кстати, пример с МГТС:
JustDont
03.12.2019 19:32+1Еще раз: для этого провайдеру нужно подделать ответ сервера. В противном случае ваш браузер никуда не пойдет, MITM придумали не вчера и не в РКН. То, что у вас нарисовано на скриншоте — работает на http, где нет никакой возможности проверить, кто вам и что отдаёт по протоколу. Но не на https.
vanyaindigo
03.12.2019 19:54-1Значит браузер идет по http, и при чем тут неправильная настройка DoH?
JustDont
03.12.2019 21:19https:// в начале адреса написать не пробовали, не?
Или включить в браузере поход по https по умолчанию.
SergioPredatore
03.12.2019 14:09Включил в Opera, но эффекта никакого не заметил, как не ходило на зоблоченные ресурсы, так и не ходит.
vanyaindigo
03.12.2019 14:19+1Блин, оно и не даст вам возможности обходить блокировки! Оно скроет только DNS-трафик от анализа. Все.
General_Failure
03.12.2019 14:39Насколько я понял, зависит от типа блокировки. Если по IP, то не поможет. А если только по URL, то провайдер запрашиваемый вами адрес не увидит и заблокировать не сможет.
По крайней мере у меня линька открылась с помощью только этой галочки.
ivan4th
03.12.2019 21:48С одной стороны, вроде как, приятно роскомнадзор на чём-то повертеть, с другой стороны, им же пофиг. Ну, из-за DoH и eSNI через какое-то время все железки с DPI станут бесполезной тратой госденег. Ну, просто поблочат по IP кучу лишнего. Но ведь им же пофиг. Они и сейчас не особо парятся. Например, вот, на клауд-провайдере VScale тыркал чуть-чуть Kubernetes — хотел просто поднять Calico на тестовом кластере:
root@cs747313:~# kubectl apply -f https://docs.projectcalico.org/v3.8/manifests/calico.yaml The connection to the server docs.projectcalico.org was refused - did you specify the right host or port? root@cs747313:~# ping docs.projectcalico.org PING calico.netlify.com (167.99.129.42) 56(84) bytes of data. ^C --- calico.netlify.com ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms root@cs747313:~# nc -v 167.99.129.42 443 nc: connect to 167.99.129.42 port 443 (tcp) failed: Connection refused
Что такое? Ах ну да, конечно, смотрим бота usher2:
167.99.129.42 is blocked
Mass blocked resource!
/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 167.99.0.0/16
/n_1252396 ФНС 2-6-20/2017-12-21-990-АИ 2017-12-22
as ip 167.99.129.42
? /n_998882 Роспотребнадзор 49718 2018-06-21
as ip 167.99.129.42
? /n_1285532 суд 2-50 2018-03-05
as ip 167.99.129.42
Вот такая цифровая экономика, да. Они и белые списки-то введут, не моргнув глазом.
Gamliel_Fishkin
03.12.2019 23:27Мой комп:
$ ping -4nqc 2 docs.projectcalico.org PING calico.netlify.com (134.209.226.211) 56(84) bytes of data. --- calico.netlify.com ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 3ms rtt min/avg/max/mdev = 32.102/32.420/32.739/0.365 ms $ ping -6nqc 2 docs.projectcalico.org PING docs.projectcalico.org(2a03:b0c0:3:e0::32e:b001) 56 data bytes --- docs.projectcalico.org ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 2ms rtt min/avg/max/mdev = 35.162/35.613/36.064/0.451 ms
VPS:
$ ping -4nqc 2 docs.projectcalico.org PING calico.netlify.com (167.99.137.12) 56(84) bytes of data. --- calico.netlify.com ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 2ms rtt min/avg/max/mdev = 39.799/42.725/45.651/2.926 ms $ ping -6nqc 2 docs.projectcalico.org PING docs.projectcalico.org(2a03:b0c0:3:d0::d19:7001) 56 data bytes --- docs.projectcalico.org ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 3ms rtt min/avg/max/mdev = 40.511/40.515/40.519/0.004 ms
Может быть, с Vscale что-то не так?
AlexandrBu
05.12.2019 15:48Включил DOH на Pi-hole (через cloudflared) — MGTS ничего не изменилось :(
Причем они на заблокированных сайтах показывают свою yandex рекламу — вот с этим скотством хотел бороться…
Radjah
Инструкция занятная. Firefox и 5 «скинов для хромиума».
JustDont
Выбор браузеров, которого мы достойны.
Через несколько лет наступит очередная эра IE6, только IE6 будет называться Chromium.
Zenitchik
Так она уже наступила. IE5, 5.5, 6 тоже сосуществовал с парой малопопулярных браузеров.
JustDont
Ну да, плохо написал. Эра-то уже наступила, через несколько лет пойдёт первая волна последствий.
Zenitchik
Если рассуждать по аналогии, то через несколько лет начнётся следующая итерация появления «альтернативных браузеров».
AllexIn
Сложность браузеров невообразимо выросла. Сделать сейчас браузерный движок, который сможет вытянуть все актуальные веб технологии — задача сложная.
Поэтому как практически перестали появляться десктопные ОС, так и браузерные движки перестали появляться.
Finesse
Весь этот зоопарк API просто проигнорируют: текущие API станут устаревшими, на смену им придут более простые API. Это тоже было в истории с IE. jQuery снова станет актуальной.
epishman
Нету там зоопарка, все последние апи логичны и юзабельны. Максимум что можно сделать — удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.
Если рассматривать кардинально новые подходы к интерфейсу — я знаю только Flutter, но он пока зело убог, подходит только для мобильников, там нет даже CSS, зато есть ад вложенных колбэков, и как на нем будет выглядеть верстка нормального сайта — пока не представляю.
Gamliel_Fishkin
epishman
При чем тут это. Мы говорили об устаревших веб-стандартах. Есть куча сайтов умерших людей и компаний, и заботиться об их существовании должно общество — либо превращая браузер в легаси, либо обновляя их разметку принудительно.
Balling
Инструкции дерьмо, вот рабочая для chrome. Пишите в ярлыке
--enable-features="DnsOverHttps<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:Fallback/true/Templates/https%3A%2F%2Fcloudflare-dns.com%2Fdns-query", а то после обновления до 78 старье не работает.bugs.chromium.org/p/chromium/issues/detail?id=1026201&can=1&q=Dns%20over%20https
Для этого не надо ждать пока google подключит вас, но и менять ваше dns тоже не надо в настройках windows, класс да!
Если у кого не влезает в ярлык, можно добавить переменную окружения, а в ярлык добавить просто саму переменную в знаках процентов.
abrwalk
У меня не завелось, пробовал через cmd и через бар totalcmd (там хватает места). Dns leak test говорит что стоят гугловые днсы (как в системе). проверял тут browserleaks.com/ip
А в Firefox-е же при включенном DoH — только один IP — Cloudflare.
Balling
Проверять надо тут. 1.1.1.1/help
И Fallback/true на false замените. Но наверное они ещё полную изоляцию не допилили. И в firefox у меня вообще сайт dnsleak не открывает, а в вашем сайте тоже пишет dns сервера моего провайдера (в лисе, опять таки).