Comments 219
Через несколько лет наступит очередная эра IE6, только IE6 будет называться Chromium.
Поэтому как практически перестали появляться десктопные ОС, так и браузерные движки перестали появляться.
Весь этот зоопарк API просто проигнорируют: текущие API станут устаревшими, на смену им придут более простые API. Это тоже было в истории с IE. jQuery снова станет актуальной.
удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.Это было бы удобно спецслужбам, цензорам и т. п.: чем блокировать 100500 сайтов, достаточно было бы приказать нескольким поисковикам. Разумеется, внутренне свободным людям, желающим быть людьми, а не стадом, такое не подойдёт.
--enable-features="DnsOverHttps<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:Fallback/true/Templates/https%3A%2F%2Fcloudflare-dns.com%2Fdns-query", а то после обновления до 78 старье не работает.bugs.chromium.org/p/chromium/issues/detail?id=1026201&can=1&q=Dns%20over%20https
Для этого не надо ждать пока google подключит вас, но и менять ваше dns тоже не надо в настройках windows, класс да!
Если у кого не влезает в ярлык, можно добавить переменную окружения, а в ярлык добавить просто саму переменную в знаках процентов.
А в Firefox-е же при включенном DoH — только один IP — Cloudflare.
И Fallback/true на false замените. Но наверное они ещё полную изоляцию не допилили. И в firefox у меня вообще сайт dnsleak не открывает, а в вашем сайте тоже пишет dns сервера моего провайдера (в лисе, опять таки).
Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.
Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей? Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH и сидеть на работе в соцсетях.
ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.
Смысл DoH как раз в том, чтобы не передавать данные о посещенных сайтах провайдеру и садистам из правоохранительных органов. Гугл же сливает протест идею с полным шифрованием трафика от местных коррумпированных властей. В демократии же гарантируется тайна переписки? Ну так давайте добавим к словам на бумаге технические меры по ее обеспечению, а судьи со своими законами могут идти туда, куда им укажут пользователи.
Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.
В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.
Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.
Слабаки.
Я сам включил в фаерфоксе DoT при первой же возможности,
Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей?
Во-первых при чём тут админы? Вы понимаете вообще, что на предприятиях могут быть внутренние WEB-ресурсы, доступ к которым естественно через внутренний DNS?
Во-вторых что это за такие никому не интересные предприятия? Вообще как бы на предприятиях зарабатываются деньги, а люди там получают зарплату, на которую живут. Или браузер нужен только что бы котиков смотреть?
И главное в Chrome это пока реализовано на уровне экспериментальной фичи (достаточно трафик поснифать, что бы понять что сейчас это костыль). Я надеюсь, что в релизе это будет сделано по человечески, в частности будет нормально настраиваться через настройки и через GPO.
Плевать на предприятия. Пусть предприятия используют специальный браузер для предприятий (майкрософт выпустит вам такой, в крайнем случае исходники открыты, пусть админ соберет что нужно) без шифрования и протокол HTTP, а нормальным людям надо оставить шифрованный браузер.
История показывает, что коррумпированные (читай: все) правительства ведут незаконнную слежку и их невозможно привлечь к ответственности. Потому шифровать нужно все, что можно, пользуясь тем, что это пока не запрещено, а если запретят, то шифровать подпольно. Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать. Они хотят знать о вас все, а вам о них и об их доходах знать не положено. Потому шифровать свои данные от них нужно хотя бы их принципа.
А без GPO массовые пользователи вполне могут обойтись.
И вроде как в нашем государстве нельзя шифровать так, чтобы правительство не могло это расшифровать (ну тут без ссылок, мне влом разбираться в этом вопросе в данное время). Ну и помнится всякие АТС и коммутаторы с определенными функциями шифрования должны обязательно получить разрешение ФСБ, без ФСБ ни купишь/ни продашь.
Ну тут как бы надо понимать, что по идее правительство == люди, люди == вы. Правительство не враг. Просто есть люди в правительстве, которые злоупотребляют правами или лоббируют интересы третьих сторон, а вообще там идут те еще игры престолов.
Наверное это правительство, которые мы заслужили. Нету активной гражданской позиции, ни у меня, ни у моих знакомых/друзей/родственников, а те у кого она есть сидят в одной партии. Все привыкли к правлению Единоросов, а до этого к ком.партии.
Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать.
Открою страшный секрет — корпорации в этом пункте ничем не отличаются от правительства. И чем больше размер корпорации и её захват рынка тем сильнее это выражается.
А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?
Верно, мораль и мотивация у глав корпораций и глав правительств одинаковая. Глава компании тот же рабовладелец в душе. (Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда? Работники сами голосованием будут устанавливать режим труда, зарплату, выбирать руководство. Разумеется, не отобрать сразу, а постепенно, дав хозяину возможность выжать оставшуюся прибыль. Как с крепостными было.)
Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
Работники сами голосованием будут устанавливать режим труда
И неизменно вылезает вопрос компетентности. Работник уделяющий пол часа в неделю вопросу управления заводом, гарантированно будет хуже чем специально выделенный человек. Вот только куда будет «рулить» этот человек, самый сложный в решении вопрос.
Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.Я далеко не марксист, но Маркс, можно сказать, ответил на Ваши слова: «ради прибыли капиталисты способны на любое преступление».
Четыре года назад при не вполне ясных обстоятельствах был убит один из ключевых разработчиков Linux'а. Разве это убийство не может быть выгодно некоторым софтверным гигантам, чьи сверхприбыли могут оказаться под угрозой из-за распространения Linux'а?
Создай свою компанию, выведи ее в прибыль и передай в руки трудового коллектива, который будет принимать управленческие решения путем голосования. И всем будет счастье.
Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.
В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.
Условия труда и отношения предприятия и наемных работников регулируются действующим законодательством, социальную защиту обеспечивает государство. Задача бизнесмена -эффективно вести собственный бизнес, иначе прогоришь.
Цель трудового коллектива — побольше получать и поменьше работатьДля чистильщика сортира — полностью согласен. Программисты же вполне могут вкалывать, потому что это им нравится. Если при этом лучшая работа ведёт к лучшей зарплате напрямую, без участия компании, которая отгрызает себе хороший кусок дохода, то это вообще идеал (если не учитывать риск провала, конечно).
В пределе ты вообще не работаешь ни секунды, ты просто делаешь то что доставляет тебе удовольствие и хорошо у тебя получается.
ну или любое другое трудоустройство где люди считают секунды до окончания рабочего дня?
невозможно же два принципиально разных явления называть одним словом.
Почему принципиально разных?
Человек получает деньги за деятельность, полезную для клиентов.
Его личное отношение к деятельности рассматривать можно, и это позволит классифицировать работу по этому параметру, но общий признак таки позволяет назвать любую работу работой вне зависимости оттого, приносит ли она удовольствие, а если приносит, то весь ли рабочий день.
имеет и еще какое. и что-то похожее на управление коллективом у нас и есть…
Но разве не так же рассуждали землевладельцы в средние века? "Крестьяне только и хотят поменьше работать на барщине и побольше оставлять урожая себе. Пусть пойдут захватят новые территории, получат дворянский титул и отменяют крепостное право в своем домене сколько влезет."
Вы начнете возражать, мол, никто тебя к градообразующему предприятию цепью не привязывал, вместо работы 8 часов за станком за копейки ты можешь 12 часов в сутки катать тележки в магазине за меньшие копейки. Ну так это как возможность в Юрьев день перейти к барину подобрее.
Разве я не прав? Поясните пожалуйста.
Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Разве работники не лучше знают, какая зарплата им нужна?
И я не считаю себя сторонником коммунизма, не сторонник того, чтобы людей отправляли в ГУЛАГ или сажали за антисоветские разговоры.
Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Чтобы защитить работников от переработки и произвола с зарплатой конечно.
Разве работники не лучше знают, какая зарплата им нужна?Работники-то знают, но может случиться так, что в сумме хотелки превысят выручку предприятия за тот же период. И какое решение тогда примет трудовой коллектив? Как будет выходить из положения?
Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.
Трудовой коллектив не может управлять предприятием, потому что в рабочее время он должен работать, а не на собраниях сидеть. Думать иначе — это утопия.
Глава корпорации пришлет к вам СБ корпорации с "электрошокерами", отправит вас в подвал или сфальсифицирует доказательства вашего участия в "ограблении компании на астрономическую сумму", чтобы подать на вас в суд.
Если у него связи в спецслужбах и в суде, то может и судью попросить, и дело сфальсифицировать, и сотрудников спецслужбы приехать за вами.
Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда?
Вы, конечно, не у меня спрашивали, но не могу пройти мимо: ничего не получится, но в итоге поменяется собственник. И этому есть доказательства, потому что нечто подобное уже происходило всего-то менее чем 30 лет назад в России, называлось ваучерная приватизация.
И это нормально, во-первых, потому что большинству людей это нафиг не сдалось, во-вторых, потому что когда все миноритарии, то к сожалению ничего не взлетит, потому что как минимум часть людей будут жить по принципу «раз я тут миноритарий, то пойду с****у пару болтов, ну а че».
А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?Акулы вроде Microsoft и Google — с целью захвата рынка, да. А, например, Mozilla? Есть акулы, но и есть и романтики.
Вариантов законного давления много, вот только и пользоваться ими легче тому у кого денег больше.
Если государство у вас решило отжать землю, то тут вариант ровно один: государство ее получит, бороться бесполезно. В этом и разница.
P.S. Эм, что то сплошная политика пошла. Хватит пожалуй.
Впрочем, СМИ не показатель, статистику по отношениям пострадавших наверняка не распространяют.
Иногда преступления с использованием оружия совершаются полицейскими (милиционерами; один из примеров — Евсюков). Означает ли это, что у полицейских не должно быть оружия?
В США в одних штатах граждане могут иметь оружие, в других нет. И преступность ниже в тех американских штатах, где гражданские могут быть вооружены. Как заметил, если не ошибаюсь, Томас Джефферсон, запрет на оружие разоружает только тех людей, которые не собираются совершить преступление.
Оружие всего лишь возможность, от воспитания и настроя общества зависит как ей могут воспользоваться.
В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.
Ну конечно, гораздо лучше отдать их невесть где сидящим админам какой-то американской компании. Они спать не могут, всё думают, как бы наши права посильнее уважать.
Увы, но наши провайдеры вынуждены подчиняться законодательству страны
Почему «увы» — они что, не должны ему подчиняться?
к которому (и к практике соблюдения которого) есть много вопросов
А к американским компаниям вопросов нет?
Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами
Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод, по щелчку пальцев они не появляются. А глава американской корпорации, конечно, их прислать не может. Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom
Не по щелчку конечно. Но и без особых усилий. У них вроде сейчас и другой работы то нет
Если он террорист, то и сажать его надо за терроризм.
Так он пока не террорист — не зарезал никого, не взорвал ничего. Его берут именно за то, что он совершил — «публикацию сообщения экстремистской направленности в сети Интернет», или как там это описывается сухим языком протокола. И правильно делают, что берут. Во избежание.
А за комментарий, какой бы он не был, сажать нельзя.
Моё глубокое убеждение, что, в зависимости от комментария, можно и нужно. К примеру, отправкой на нары блогера Синицы я был вполне удовлетворён.
Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.
Может, они в чём-то виновны, может, нет, я этого не знаю. Я знаю, что их арестовали за что-то, что они делали в сети, когда они выехали за рубеж, и что им предъявили обвинения на основании законодательства других государств. А законы бывают покруче наших — у нас тут возмущаются, когда кого-то берут за задницу за пост или коммент, а, например, в Англии по новому закону можно схлопотать пятнадцать лет за всего лишь ПРОСМОТР террористических сайтов (пруф: www.theguardian.com/uk-news/2017/oct/03/amber-rudd-viewers-of-online-terrorist-material-face-15-years-in-jail). Поэтому люди, желающие спрятать свою деятельность в сети от российского провайдера и РКН, потому что те «нарушают их права», но с готовностью предоставляющие те же самые данные какой-то американской компании, вызывают у меня искренне изумление своим эльфизмом.
В демократии же гарантируется тайна переписки?
На самом деле нет. Это из разных областей понятия.
В принципе, если народ решит, что тайна переписки не нужна, то в соответствии с сутью демократии она должна быть отменена.
Так что тайна переписки гарантируется не демократией, а желанием народа при демократической форме правления иметь эту самую тайну переписки.
Вы путаете понятия. Демос — это именно народ. Это из Древней Греции. Он не делился по уровню достатка, умственным способностям или социальной ответственности, а определялся исключительно по происхождению (в некоторых полисах еще была процедура принятия в народ, но сути оно не меняет, потомки принятого автоматически становились частью демоса).
В демос не вкключались только рабы (ибо имущество) и "понаехали" (ибо чужие).
Плебс — это вообще не про демос. Это уже из Древнего Рима, где выделили группы людей по социальному признаку. Тут могу ошибаться, но вроде в плебс включали как граждан (демос), так и всякий сброд без гражданства, а к всадникам и патрициям, которые определяли жизнь Рима, относили уже только граждан с определенным положением в обществе.
не давать DNS-данные коррумпированому провайдеру
А что такое «коррумпированный провайдер»? Это который взятки берёт или даёт? Меня аж любопытство взяло.
Not available on your platform. (x86_64 GNU/Linux)
На выходных только ковырялся с DoH в Chrome, хотелось понять как оно работает. То что я увидел снифером наводит на мысли, что это пока больше похоже на костыли чем на законченное рабочее решение.
включить DNS по HTTPS в любом браузере
Эх, ожидал какое-то браузеро-независимое решение, а тут только перечисление наиболее (?) распространённых браузеров…
7-zip.org7-zip.org попадает в заблокированный диапазон IP-адресов, DoH тут даже теоретически не способен помочь.
7-zip.org is not blocked
but may be filtered by IP:
159.65.89.65
Mass blocked resource!
/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 159.65.0.0/16
Через DoH вы получите сведения о том, что 7-zip.org резолвится в 159.65.89.65, а дальше запрос к этому IP будет зарезан провайдером.
Хочу вас обрадовать, вам очень повезло с провайдером. В России большинство провайдеров блокирую по SNI, а не по DNS, что делает DoH довольно бесполезной примочкой для обычного пользователя и уж точно никак не спасает от РосКомНадзора.
Я ещё с утра подумал, почему торренты стали работать без прокси.Погодите, а разве их когда-то блокировали в России? Сколько ни качаю-раздаю, всё напрямую работает (Питер, Ростелеком). Другое дело, что заблокированы многие трекеры и поисковики, но для 99% не-private торрентов знания info-хэша (btih, который рано или поздно просочится в DHT) вполне достаточно, а они щедро разбросаны по зеркалам/кэшам и проиндексированы поисковиками.
Где тут присутствуют мозилловские домены не пойму.
Кстати Chrom, будучи настроенным на Cloudflare, поступает точно так же, но только резолвит уже chrome.cloudflare-dns.com.
Причём примечательно, что айпишники отдаваемые по mozilla.cloudflare-dns.com и chrome.cloudflare-dns.com разные.
Это наводит на некоторые мысли. Скажем о разнице в реализации протоколов в Хроме и Файрфоксе (впрочем возможно это для каких-то других целей сделано).
А ещё в Хроме нельзя непосредственно указать с каким провайдером DNS ему работать. А ещё там прозрачный откат до классического DNS. И другие любопытные вещи снифером можно подсмотреть.
Файрфокс подробно не изучал но, то что сейчас в Хроме сделано это даже бетой назвать с трудом можно.
network.trr.uri https://mozilla.cloudflare-dns.com/dns-query2. Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
Речь о минимальных телодвижениях в пользу анонимности.
вопрос «кому отправлять». 8.8.8.8?Есть censurfridns.dk и подобные службы.
Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?Именно так. Точнее, помимо SOCKS-прокси у меня есть и HTTP-прокси.
Речь о минимальных телодвижениях в пользу анонимности.Провайдеру тоже доверять не надо, но чем CloudFlare лучше?
Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24Цитирую страницу, на которую я сослался выше:
Cloudflare publicly commits to a "pro-user privacy policy" and the deletion of all personally identifiable data after 24 hours, but you never know where your data ends up at the end of the day. <…> all DNS requests are seen by Cloudflare and in turn also by any government agency that has legal right to request data from Cloudflare. <…> If there is anything wrong with your government (for instance corruption, collusion or fraud) and you have information to publish about it, the government will be able to trace you down. This puts any whistleblower at risk.
Единственный способ пройти DPI — туннель за бугор.В том-то и дело, что нет. Например вот или более современный вариант, к тому же относящийся к содержимому статьи.
Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке.Или просто Google объявит, что N версия Chrome будет показывать уведомления в адресной строке о том, что сайт без eSNI небезопасен, а начиная с версии N+2 такие сайты перестанут открываться. И всё.
Да и идея хорошая, но опасная. Как показала практика, запрещающим органам глубоко насрать на блокировки непричастных. Будут снова банить подсетями. www.7-zip.org вон который год в бане за экстремизм. И ничё.
Ну по крайней мере провайдеры не будут собирать с тебя статистику по доменам и запросам к DNS, хотя может быть какие-нибудь крутые анализаторы пакетов от каких-нибудь Positive Technologies, FortiGate, Checkpoint и других что-то могут...
www.7-zip.orgу меня открывается нормально…
host www.7-zip.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
www.7-zip.org has address 159.65.89.65
Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:
На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.
Rampages у меня лимит на комменты в сутки, отвечу в этом
То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.
Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.
Ну и вроде как encrypted не равно «отсутствие читаемого».
Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.
То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.
Но encrypted SNI о идее уже больше к приватности имеет отношение.
Ну и вроде как encrypted не равно «отсутствие читаемого».
Может что-то где-то упускаю, просто не эксперт в этой области.
Основная фишка ESNI в другом.
В какой-то момент на одном IP адресе окажется SuperBlockedDomain.com и google.com и перед фильтровальщиками трафика встанет серьёзная проблема — заблокировать по IP и превратить в тыкву десятки миллионов телефонов или нарушить правила блокировки и разрешить этому IP работать.
Вместо google.com может быть любой другой ключевой ресурс с блокировкой которого у пользователей начнёт ломаться чуть меньше, чем всё.
И тогда можно уже будет только угрожать на уровне "либо вы выносите этот домен со своего IP адреса, либо мы блокируем интернет в своей стране".
отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе
Сейчас на многих DPI использование ESNI считается за отсутствие SNI, и производятся блокировки по IP-адресу. ESNI снижает доступность сайтов на многих провайдерах.
ntc.party/t/esni-encrypted-sni/68
DOH это только начало. Следующий шаг это eSNI, который пока на стадии экспериментов
И да, кроме http/https есть и другие протоколы (хотя их трафик мал по сравнению с веб)
Ну и что самое важное, многие системы анализа (например, для таргетированной оффлайн рекламы или отслеживание посещений сайтов-конкурентов) анализирует лишь dns, для анализа sni им надо допиливатт софт, менять схему включения и т.п. От таких умников (поверьте мне, их много), doh спасает
Как послать провайдера подальше
Поменяйте заголовок на «Как послать РКН ...»
Или вы думаете, провайдер горит желанием блокировать сайты? Провайдеры тоже жертвы, которые несут от этой системы финансовые потери.
Идеальный заголовок был бы: «Как починить людей позволяющих творить такой беспредел в своём государстве-доме ...»
РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди.
Вам легко говорить, вы, судя по всему, ничего кроме телевизора не смотрите.
которых выбрали люди.
Которым было не из кого выбирать, и они выбрали наименее одиозных.
РКН тоже подневольны. Они вынуждены исполнять законы,
Во время "блокировки" телеграмма они творили полный беспредел, который даже по текущим драконовским законам совершенно незаконен.
Там не подневольные люди, а самые настоящие вредители и дилетанты, бегущие впереди репрессивной машины.
которые издали депутаты, которых выбрали люди.
Это очень спорный вопрос. Больше похоже, что их выбрал волшебник Чуров и компания.
Тут не столько массовые махинации на самих выборах, сколько тупо недопуск любой не одобренной партии до выборов.
они творили полный беспределЯ эту деятельность РКН не поддерживаю. Но хочу перевести ваше внимание на причину вызывающую эти действия. Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
Это очень спорный вопрос.Согласен, вопрос спорный. Почему подавляющее большинство населения не спорит с результатами выборов? Не защищает свой выбор от обмана? Мне кажется, это такая молчаливая поддержка. Или другим словами Чуров выбрал, а население пассивно молчаливо поддержало. Результат этой поддержки — разрушение нашего общего интернета.
Причина — это наличие закона.
Будьте добры, ткните меня, несознательного, мордой в место в законе, где написано:
- что можно блокировать подсети.
- что можно вносить подсети в "резиновое" постановление прокуратуры задним числом.
- что РКН может в автоматическом режиме блочить прокси телеграмма.
Почему подавляющее большинство населения не спорит с результатами выборов?
Большинство не спорит, потому что это слишком большие риски и затраты энергии. Некоторый процент, все-таки, попытался спорить. Результат — репрессивные законы и показательные абсурдные уголовные дела. И все эти законы о блокировках — это как раз реакция на тот небольшой, но не ничтожный процент несогласных.
Могу еще привести аналогию: Допустим, у вас угнали автомобиль. Но вы ведь могли бы организовать поисковый отряд, найти свой авто в другом городе и отбить его у бандитов. Но если вы этого не сделали — значит разрешаете бандитам ездить на вашем авто, так что ли? Это в точности ваш аргумент приложенный к немного другому преступлению.
Выбор или одобрение — это совершенно другого порядка действия, нежели отсутствие активной борьбы с властью. Отождествлять их нельзя.
место в законе, где написаноя думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые, чтобы закон можно было разворачивать куда угодно. И что подобные законы иногда ещё называют рамочным.
Всё самое интересное начинается в подзаконных актах. То есть исполнитель (в нашем случае — РКН) сам себе придумывает правила по которым и будет исполнять закон.
Что с этим делать? Всячески добиваться отмены закона.
Могу еще привести аналогиюХорошая аналогия. Что мы с вами как минимум сделаем? Напишем заявление об угоне.
Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг до тех пор пока результаты выборов не отменят (+ помощь поддерживающим общественным организациям).
Предполагаю (поправьте если не так), что для вас — это одно/двух/трех-кратное посещение подобного митинга.
Тем самым мы расходимся во мнениях.
я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые
Ну ткните меня в такую расплывчатую формулировку наконец-то! Закон писали ничего не понимающие в этом люди. Они, хоть и пытались расплывчато все написать, про необходимость блокировки подсетей они не подозревали. Когда это стало понятно в ситуации с телеграмом, ни законы, ни подзаконные акты не позволяли это делать. Но РКН это не остановило.
Что мы с вами как минимум сделаем? Напишем заявление об угоне.
Это аналогично ворчанию на кухне/в интернете.
Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг
Напомнить вам, что митинг на болотной был согласован? Тем не менее менты сделали все, что бы устроить беспорядки и репрессии.
Сейчас же людей на согласованных митингах избивают, людей задерживают и сажают за одиночные пикеты и ломают людям ноги за пробежку на месте, где через несколько часов будет согласованный митинг.
По персональным рискам, затратам времени и сил, ваши походы на митинг могли бы сравнится с написанием заявления об угоне только если бы в отделении полиции каждый день похищали и избивали случайно зашедших, вешали на них нераскрытые преступления или просто обворовывали до трусов.
с результатами выборов
Потому что не в результатах выборов дело. Претензия к исходным данным выборов, из которых можно сделать только такой выбор, который получился.
Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
Это причина блокировать, но не причина ломать. Это повод. Повод для организаций, подобных РКН, поломать Интернет, чем они и занимаются, прикрываясь благими намерениями.
Провайдеры, особенно крупные, вась-вась с государствомНе «особенно», а «только» крупные, и то не все, не надо искажать действительность.
им пофиг на ваши страдания от их блокировокА я где-то говорил, что провайдеры переживают за пользователей?
И логика там как раз другаяА другая это какая? Процитируйте, где я описывал «другую» логику?
Я сказал, что провайдеры — жертвы. Поясняю! Они вынуждены ставить себе DPI, способный фильтровать такое количество трафика, потребляя дополнительное электричество, места в стойках и бесперебойниках + охлаждение, при этом любезно добавляя еще один потенциальный узел отказа и дополнительные latency в качество соединения. И никакого пряника там нет, только кнут: за каждую пропущенную ссылку штраф, емнип в районе 50к.
И DPI — это еще не все требования и оборудование, которые вынуждены соблюдать честные региональные или городские провайдеры, чтоб их не утопили в штрафах, и не отобрали лицензию.
Разумеется, все эти наказания не коснутся ростелекома, а напротив, он за свою нагло бездарную работу еще и премии получит.
Сейчас не знаю как там у них все устроено, но провайдеры подневольные люди. Может есть какая-то ассоциация провайдеров, где какой-нибудь «заинтересованный» президент ассоциации будет отстаивать их права на политической арене, но толку будет мало.
У нас кстати хотели ПАО «Ростелеком» запихать в реестр недобросовестных поставщиков (РНП), за не выполнение обязательств по контракту ФЗ-44, а там как вы знаете если юр. лицо попадает в РНП, то все афилированные лица и учредители попадают в РНП и после этого не могут участвовать в гос. тендерах сколько-то лет. Не получилось запихать, Ростелеком и дальше не выполняет обязательства по контракту, зато звонил министр из Москвы. Вместо 100 мбит/сек ПАО Ростелеком дает 4 мбит/сек, спасибо государству за отличную политическую машину, как только начали пытаться запихать в РНП, реакция из Москвы последовала немедленная.
А вот такой вопрос — как DoH/DoT будет стыковаться с DNS-адблоком, к примеру PiHole?
UPD: Всё уже давно решено, например, тут же на хабре: https://habr.com/ru/post/468621/
Если есть весь дамп траффика то определить куда ходил пользователь вроде как не трудно. Согласен, что сложно будет понять зачем — но факт присутствия на запрещенных сайтах отследить можно. Или я что то не понимаю?
Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?
Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?Он там не нужен. Tor работает как локальный SOCKS5-прокси, весь трафик Tor-броузера (в том числе DNS) идёт через него.
Tor можно указать в качестве SOCKS5-прокси и в других программах: если это Tor в составе Tor-броузера, то 127.0.0.1:9150 (работает только когда запущен Tor-броузер), а если Tor как отдельное приложение, то 127.0.0.1:9050. Но в некоторых программах этого недостаточно; в частности, связка «любой другой броузер плюс Tor» не может заменить Tor-броузер.
Ладно, я включил DoH в Chrome. А как дальше потестить? Нужно ждать пока на "другой стороне" его тоже установят? Например, на рутрекере
Другая сторона — это DNS сервер. Используйте любой из поддерживающих технологию. Например, неоднократно упомянутый в статье 1.1.1.1.
DNS-сервер вернёт браузеру ip-адрес рутрекера и, если этот ip не заблокирован провайдером, рутрекер откроется в браузере.
Вы увидите заглушку даже с корректно настроенным eSNI в браузере, если сам сайт его не поддерживает. Все зависит от настроек DPI у оператора.
Провайдер билайн. Почему-то включение DoH через Cloudflare не помогает. Рутрекер не открывается, изображения на Лурке тоже, всё редиректится на blackhole.beeline
Я буду обновлять комментарии перед написанием. Кажется, вот ответ.
С одной стороны, вроде как, приятно роскомнадзор на чём-то повертеть, с другой стороны, им же пофиг. Ну, из-за DoH и eSNI через какое-то время все железки с DPI станут бесполезной тратой госденег. Ну, просто поблочат по IP кучу лишнего. Но ведь им же пофиг. Они и сейчас не особо парятся. Например, вот, на клауд-провайдере VScale тыркал чуть-чуть Kubernetes — хотел просто поднять Calico на тестовом кластере:
root@cs747313:~# kubectl apply -f https://docs.projectcalico.org/v3.8/manifests/calico.yaml
The connection to the server docs.projectcalico.org was refused - did you specify the right host or port?
root@cs747313:~# ping docs.projectcalico.org
PING calico.netlify.com (167.99.129.42) 56(84) bytes of data.
^C
--- calico.netlify.com ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
root@cs747313:~# nc -v 167.99.129.42 443
nc: connect to 167.99.129.42 port 443 (tcp) failed: Connection refusedЧто такое? Ах ну да, конечно, смотрим бота usher2:
167.99.129.42 is blocked
Mass blocked resource!
/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 167.99.0.0/16
/n_1252396 ФНС 2-6-20/2017-12-21-990-АИ 2017-12-22
as ip 167.99.129.42
️ /n_998882 Роспотребнадзор 49718 2018-06-21
as ip 167.99.129.42
️ /n_1285532 суд 2-50 2018-03-05
as ip 167.99.129.42
Вот такая цифровая экономика, да. Они и белые списки-то введут, не моргнув глазом.
$ ping -4nqc 2 docs.projectcalico.org
PING calico.netlify.com (134.209.226.211) 56(84) bytes of data.
--- calico.netlify.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 3ms
rtt min/avg/max/mdev = 32.102/32.420/32.739/0.365 ms
$ ping -6nqc 2 docs.projectcalico.org
PING docs.projectcalico.org(2a03:b0c0:3:e0::32e:b001) 56 data bytes
--- docs.projectcalico.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 35.162/35.613/36.064/0.451 msVPS:
$ ping -4nqc 2 docs.projectcalico.org
PING calico.netlify.com (167.99.137.12) 56(84) bytes of data.
--- calico.netlify.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 39.799/42.725/45.651/2.926 ms
$ ping -6nqc 2 docs.projectcalico.org
PING docs.projectcalico.org(2a03:b0c0:3:d0::d19:7001) 56 data bytes
--- docs.projectcalico.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 3ms
rtt min/avg/max/mdev = 40.511/40.515/40.519/0.004 msМожет быть, с Vscale что-то не так?
Причем они на заблокированных сайтах показывают свою yandex рекламу — вот с этим скотством хотел бороться…
Как послать провайдера подальше, и включить DNS по HTTPS в любом браузере