https://opennet.me/openforum/vsluhforumID3/119867.html Разработчики Firefox объявили о включении по умолчанию режима DNS поверх HTTPS (DoH, DNS over HTTPS) для пользователей из США. Шифрование DNS-трафика рассматривается как принципиально важный фактор защиты пользователей. Включение производилось поступательно, начиная с нескольких процентов пользователей с постепенным охватом до 100% аудитории из США. В Евросоюзе и других странах активировать DoH по умолчанию пока не планируют...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52427<br> https://opennet.me/openforum/vsluhforumID3/119867.html#197 Sat, 29 Feb 2020 17:49:54 GMT &gt; Ложь. Я требовал обоснований почему введение DoH помешает тебе или кому-то фильтровать <br>&gt; домены, постоянно напоминал про возможность отключения DoH и что она не <br>&gt; исчезнет. <br><br>А теперь одень очки и прочитай название темы. Там о работе браузер с DoH речь идет. Требовал он... у мамки будешь требовать.<br> https://opennet.me/openforum/vsluhforumID3/119867.html#196 Sat, 29 Feb 2020 17:46:17 GMT &gt; Не особо и пытался, обоснований так и не привел, потому что их <br>&gt; у тебя нет.<br><br>Каких обоснования я тебе должен был привести? Обосновать что браузер не может фильтровать DNS-запросы? Ты не дурак часом?<br>Несешь какой-то бред. Поэтому ничего больше объяснять я тебе и не буду.<br> https://opennet.me/openforum/vsluhforumID3/119867.html#195 Sat, 29 Feb 2020 16:48:09 GMT &gt; Но вот когда возможность DNS-over-HTTPS сделают в браузере неотключаемой, то реализовать фильтрацию DNS-запросов с помощью внешней программы станет сложней. Я это выше и пытался объяснить. <br><br>Не особо и пытался, обоснований так и не привел, потому что их у тебя нет.<br><br>&gt; А ее сделают неотключаемой. В ней иначе смысла нет. <br><br>Иначе смысл в ней есть, выше аргументы были.<br><br>&gt; Разрешением DNS-имен браузер вообще заниматься не должен.<br><br>Операционные системы не спешат добавлять шифрование днс. И даже люди, создававшие днс, не спешили исправлять проблему приватности днс, т.к. защищали интересы собирателей данных и устоявшиеся привычки по контролю в своих рабочих и домашних сетях. Поэтому браузерам пришлось делать это самим, защищая юзеров, ведь днс запросы, которым нужна приватность, в основном идут из браузера, по крайней мере на ПК.<br> https://opennet.me/openforum/vsluhforumID3/119867.html#194 Sat, 29 Feb 2020 16:41:38 GMT &gt; Хотя перед этим требовал от меня обоснований, почему DoH не может фильтровать DNS-имена. Учитывая, что речь изначально шла о возможностях работы с DoH, которые в браузере, то ты как бы немного был не в теме. О чем я и написал раньше.<br><br>Ложь. Я требовал обоснований почему введение DoH помешает тебе или кому-то фильтровать домены, постоянно напоминал про возможность отключения DoH и что она не исчезнет. В начале не шло речи о фильтрации с DoH, но когда появилась, я указал на возможность и с DoH это делать с помощью своего локального/удаленного сервера, так же как у тебя сейчас локальный днс сервер для фильтрации.<br><br>&gt; Что не гарантировано? За нарушение законов не сажают?<br><br>Посадка. Нигде не судят за все нарушения законов. Всегда есть доля нарушений без наказаний. Пенитенциарная система не может охватывать 100%. Ты в сказке живешь? Что за инфантилизм?<br><br>&gt; Угадай, что сделает Роскомнадзор, если ему регулярно не будет предоставлять запрашиваемые данные.<br><br>Если ему гугл не будет? Подотрется и стерпит. Так же как https://opennet.me/openforum/vsluhforumID3/119867.html#193 Sat, 29 Feb 2020 16:26:50 GMT Каким митмом? Технология ESNI включается когда в днс домена указана поддержка. Не указана - работаем как раньше. ESNI в лисе завязано на DoH, без него не работает. Митмить и откатывать придется днс.<br> https://opennet.me/openforum/vsluhforumID3/119867.html#192 Thu, 27 Feb 2020 18:24:31 GMT &gt; мне пофиг, чьи роутеры вокруг меня. Мне важно, к каким роутерам я подключаюсь.<br><br>- Пусть будет так, в чистоте своих связей Вы уверены<br><br>&gt;&gt; - У Вас есть опыт работы в "нормальной инфраструктуре провайдера"? Не поделитесь, это кого Вы имеете ввиду? Мне даже интересно, где это я, или мои друзья не работали. Причем можете предлагать в пример и иностранные компании.<br>&gt; Эмоциональный спич &#8212; отличный (нет) способ скрыть отсутствие технических аргументов. <br><br>- Ну, что-ж очередное разочарование, и Вы не можете назвать провайдера с "нормальной инфраструктурой в Ваших интересах"<br><br>&gt;&gt; - И так же наивно полагаете, что от провайдера до корневых серверов эти запросы нигде не светятся.<br>&gt; Пусть светятся где хотят, персонально со мной их ассоциировать уже невозможно.<br><br>- Ну, может быть, Вы и Ваше окружение не представляет никакого интереса ни в личных вопросах, ни по роду своей профдеятельности, ни инициируете банковские транзакции, не оставляете квартиру без Бабушки надолго и тп.<br>Но такой наглядный пример 5-ти мет https://opennet.me/openforum/vsluhforumID3/119867.html#191 Thu, 27 Feb 2020 09:09:44 GMT &gt; А вот если эта firefox-ина начнет лезть в Интернет к серверам с DoH не по адресам указанным в настройках (пусть даже и захардкорженным), то за это необходимо по сусалам надавать (пакетным фильтром порезать).<br><br>CloudFlare имеет техническую возможность сделать DoH endpoints на всех своих HTTPS endpoints, через которые работает ДОХРЕНИЩИ сайтов.<br>В этом случае, во-первых, обнаружить "левый" трафик практически нереально, во-вторых, при попытке блокировки, у вас отвалится пол-интернета.<br><br>&gt; Иначе какой ты хозяин своей железки и программного обеспечения работающего на ней?!?!?!!!<br><br>Вы не хозяин, вы арендатор. За "бесплатный" Chrome/Firefox вы платите тем, что они позволяют своим хозяевам и их партнёрам следить за вами и показывать вам рекламу.<br>А чем занимается Intel ME/AMD PSP на "вашей" железке, я вам не скажу. Потому что не знаю.<br> https://opennet.me/openforum/vsluhforumID3/119867.html#190 Thu, 27 Feb 2020 09:03:17 GMT &gt; - Правда?! Wi-Fi роутеры (включая и чужие смартфоны) вокруг Вас только провайдеровские? Да я вижу, Вы Блаженный!<br><br>Не знаю насчёт блаженности, но мне пофиг, чьи роутеры вокруг меня. Мне важно, к каким роутерам я подключаюсь.<br><br>&gt; - У Вас есть опыт работы в "нормальной инфраструктуре провайдера"? Не поделитесь, это кого Вы имеете ввиду? Мне даже интересно, где это я, или мои друзья не работали. Причем можете предлагать в пример и иностранные компании. Или Вы просто не работали ни в одном провайдере? А может просто квалификации не хватает понять, что там твориться? Вы когда-нибудь пробовали навести чистоту у себя в квартире? Хотя бы класса "В"? Так вот, для примера, каждая пылинка в Вашей квартире - это и есть открытая дверца, просто Вы её не видите, но это не значит, что её нет.<br><br>Эмоциональный спич &#8212; отличный (нет) способ скрыть отсутствие технических аргументов.<br><br>&gt; - И так же наивно полагаете, что от провайдера до корневых серверов эти запросы нигде не светятся.<br><br>Пусть светятся где хотят, персонал https://opennet.me/openforum/vsluhforumID3/119867.html#189 Thu, 27 Feb 2020 08:59:10 GMT &gt; Но для этого еще надо eSNI, иначе домен легко вытаскивается из пакета.<br><br>При блокировке eSNI каким-нибудь MitM-ом (что весьма несложно), браузеры откатываются на обычный SNI.<br>И ничего с этим не поделать &#8212; надо же как-то обеспечивать совместимость с теми серверами, которые eSNI не поддерживают.<br>