Комментарии 133
У DoH есть другой неприятный момент. Пока он более менее есть у компаний типа cloudflare и google. То есть включить сейчас это просто потокать централизации в этом вопросе.
Нужно больше альтернативных реализаций.
Если говорить о полноценном DNS, а не о кеширующем.
Кэширующий DNS — технология действительно централизованная. Но при этом с возможностью выбора точки централизации.
Ну вот то что всего два таких адреса на слуху и не очень хорошо, получается их то владельцы будут собирать всю статистику всех посещений.
Вы конечно, можете крутить свой сервер и потом друзьям/коллегам/итд. говорить обращайтесь на мой днс, чтобы видеть мою страничку. Но если я тоже хочу посмотреть вашу страничку, то я уже обращаюсь (или мой днс сервер) к рут серверам.
Затем, чтобы получить точку входа откуда развёртывать уже весь путь к конкретному домену. И рутовые серверы это никак не централизация. Их свыше 1000 и они управляются независимо.
Вообще, любая децентрализованная сеть не сможет работать без такой точки входа потому что ей, как минимум на первом этапе, требуется механизм discovery.
Их свыше 1000 и они управляются независимо.
Тут вы ошибаетесь — управляются и контролируются они (вместе с корневой зоной) ICANN в тесной связке с US DOC. Если США захотят, то почти весь интернет превратится в тыкву за очень короткое время.
По настоящему децентразилованная система должна иметь действительно независимые точки входа, а не контролируемые одной организацией, которая, к тому же, подконтрольна одной стране.
Посмотрите на санкционные проблемы — уже сейчас граждан многих стран отрезали от регистраций доменных имен (не говоря уже о сервисах), просто потому что США так захотелось. Завтра они могут решить что Иран (к примеру) недостоин быть видим из интернета — и так станет, просто .ir исчезнет из корневой зоны, и никто из операторов корневых серверов ничего с этим не сделает.
Не стоит на техническом ресурсе тиражировать страшилки из арсенала борцов за "высокую духовность и нравственность" сиречь сторонников цензуры, тем более если всё, на самом деле, работает не так.
Посмотрите на санкционные проблемы
Да, санкционные проблемы есть. Только для подавляющего большинства граждан они сконцентрированы не там где вам мерещится, а в т.н. "антисанкциях" которые Россия ввела против своих граждан.
И дело совсем не в том что речь про США — любая страна, которая держит глобальный ресурс под контролем, уже создаёт опасность децентрализации.
Как констатация сего факта может быть из арсенала сторонников цензуры я вообще не понимаю — упомянул я его исключительно для того чтобы подчеркнуть что (к сожалению) DNS в его текущей реализации недостаточно децентрализован.
Насчёт санкций — речь шла не только (и не столько) о РФ, к тому же не только о гражданах, об организациях тоже, у последних проблемы именно там где мне «мерещится» (если смотреть со стороны ЕС).
Значит я неправильно понял ваш посыл.
То, что ICANN зарегистрировна в США не означает что правительство США ею управляет и, тем более, имеет возможность по техническому ограничению доступности тех или иных доменных зон через корневые DNS.
Критерии "недостаточности децентрализации" не прояснены.
По санкциям в интернет, я не припоминаю ничего подобного упомянутого вами "отключения Ирана" гипотетически имеющими такую возможность США, зато могу привести три вагона примеров ограничений доступа в глобальную сеть по тому или иному поводу внутри стран с авторитарными режимами которые, и стремятся строить свои "суверенные интернеты".
Всё это конечно регулируется договорами, соглашениями и прочей бюрократией — но в рамках того что позволено законами США и не противоречит им. Все необходимые документы вы можетей найти на сайте ICANN.
«недостаточность децентрализации» заключается как раз в том что если вдруг ICANN или Verisign (по ошибке, требованию правительства, диверсии изнутри или любой другой причине) решит изменить корневую зону — у них это получится, потому что все корневые сервера под их управлением (несмотря на то что их операторы находся в куче других стран).
Я не говорил что США уже «вынимали» Иран, Кубу или другие санкционные страны, но если США решит это сделать (как уже ограничили регистрацию имён и хостинг для ряда стран) — то ICANN ничего с этим не сможет поделать, они будут вынуждены подчиниться.
Подробнее проблема рассматривалась например тут — хоть документ слегка старый, проблемы остались и даже усугубились (так как гайки только закручивают), можете погуглить «icann ofac» для более свежей информации.
К сожалению, означает — они обязаны соблюдать законы США, и следовать всем санкционным ограничениям США.США ввели санкции для достаточно большого количества стран. Есть ли примеры ограничений для стран которые ввели ICANN? Я о таких не слышал, но я специально не искал, мог и пропустить. Было бы интересно почитать если есть. Если же нет, то ваше высказывание несколько противоречит наблюдениям.
Совершенно верно. Правовой нигилизм настолько глубоко засел в сознании соотечественников, что они априори полагают что государство можно сделать с субъектом в его юрисдикции всё, что захочет, не взирая ни на что, включая законы.
Я специально не исследовал правовой статус ICANN, однако, насколько я могу судить, никаких описываемых вам потенциальных проблем с их стороны никогда создано не было.
Возвращаясь к DNS и резюмируя. Рутовые серверы не контролируются США, а DNS является распределённой децентрализованной сетью.
Applicant acknowledges that ICANN must comply with all U.S. laws, rules, and regulations. One such set of regulations is the economic and trade sanctions program administered by the Office of Foreign Assets Control («OFAC») of the U.S. Department of the Treasury. These sanctions have been imposed on certain countries, as well as individuals and entities that appear on OFAC's List of Specially Designated Nationals and Blocked Persons (the «SDN List»).
Так что увы, в данном конкретном случае гос-во действительно вправе делать всё что хочет — если что-то оно не может в данный конкретный момент, то может принять соответствующий закон.
В этом документе вы сможете найти явное упоминание регистрации доменных имён и услуг хостинга в (b)(4) (может быть интересно для вас, dimm_ddr).
Может быть, в следующий раз вы всё же изучите правовой статус, прежде чем говорить о правовом нигилизме?
Если бы вы исследовали устройство корневых DNS серверов, вы бы увидели что ICANN управляет лишь одним из 13 пулов и имеет те же права, что и все прочие организации, и не пытались бы натягивать сову на глобус вопросы регулирования регистрации доменов на систему DNS.
Может быть, следующий раз вы перестанете путать тёплое с мягким?
Откуда, по вашему, корневые сервера берут своё содержимое? Сами собирают с миру по нитке, а потом ещё договариваются чтобы у всех был одинаковый контент?
Да, пока, на данный момент, всё хорошо, но это не меняет того факта что одна организация способна (технически) резко изменить картину мира и внести хаос, пусть и на ограниченное время.
То, что событие гипотетически возможно, не означает что оно наступит. И даже если оно наступит, то благодаря архитектуре DNS, проблема может быть нейтрализована благодаря наличию независимых акторов.
Ничто не мешает собирать данные NS от координаторов конктретных доменных зон другой организации, а не Verisign. Но, покуда она это делает и делает хорошо, какой в этом смысл? Антиамериканскую паранойю разве что почесать.
Вы можете считать их гипотетическими, но всего 20 лет назад возможность регулирования Интернет и регистрации доменов по паспортам тоже была всего лишь гипотетической — теперь же это вполне реальность, по крайней мере в некоторых странах.
Ничто не мешает собирать данные NS от координаторов конктретных доменных зон другой организации, а не Verisign.
Да, гипотетически — ничто не мешает. Практически же на данный момент есть одна организация которая у руля, о чём я и говорил.
Ничего антиамериканского в моих высказываниях нет — я просто констатирую факт — и ICANN, и Verisign находятся в юрисдикции США. Будь это Россия, Индия, Китай или даже Монте-Карло — я бы сказал ровно то же самое.
Ну так посмотрите на список всех санкций и Иранских в частности.
Я уже приводил эту статью в качестве примера когда были реально затронуты интересы регистраторов доменов, в ней есть дополнительные ссылки на соответствующие документы.
Также выше я приводил цитату из аккредитационной аппликации ICANN — из коей явно следует что находящиеся в санкционном списке не смогут её получить (если не получат специальную лицензию).
Какие ещё нужны примеры?
К тому же, это решение нисколько не опровергает изложенные мной выше факты, не исключает того что не будет больше попыток и не гарантирует что «всё будет хорошо» всегда, более того, оно косвенно потдтверждает что существует техническая возможность это сделать — о чём, собственно, я и говорил изначально.
Какие ещё нужны примеры?Я вроде бы совершенно однозначно написал какие примеры нужны: примеры того как ICANN учитывают американские санкции. Примеры как исполняет санкции кто-то другой — не интересны, они не имеют отношения к теме. Рассуждения в воздух — не интересны, они не являются примерами. Вроде бы простая просьба, разве нет?
Вроде бы просто его прочитать, разве нет?
было отказано в аккредитации на основании санкций? Попросить их написать на хабр в качестве подтверждения? Я лично знаю парочку таких компаний, которые пытались — увы, безуспешно, поэтому вынуждены были перенести бизнес в ЕС для этой цели.
Если даже я приведу в пример список аккредитованных регистраторов, среди которых нет ни одного из санкционных стран, вы ведь скажете «просто никто этого и не пытался», не так ли?
edit: А вот и еще информация:
In 2010, ICANN approved IRNIC's proposal for the ایران. IDN ccTLD (representing the Perso-Arabic spelling of Iran)
Уже про Иран конкретно. Я специально проверил — в 2010 году санкции от США на Иране были и их было много. Ядерная сделка по которой санкции были смягчены произошла в 2016 году. На 6 лет позже того как ICANN одобрил предложение по ccTLD Ирана.
Вы правы что в данном случае только по приведенному списку вам сложно было бы показать наличие санкций. Но в таком случае достаточно от меня примера, который показывает наличие взаимодействия ICANN с Ираном чтобы опровергнуть ваши заявления.
В отношении Ирана, Кубы и ещё нескольких стран ограничения распостраняются на услуги хостинга и регистрации доменных имен, в то время как в отношении России (и других) — нет.
Выше я уже приводил ссылки на соответствующие официальные документы, но, видимо, вы их даже не открывали — там всё чётко прописано.
Ну а документы — у меня нет никакой уверенности в том, что вы эти документы сами понимаете правильно. Но у меня есть уверенность в том, что ваши заявления противоречат наблюдаемой реальности. Это может быть либо потому что у меня нет необходимых наблюдений, либо потому что ваши заявления неверны. Доказать отсутствие, как вы и сами заметили, возможности особо нет, поэтому пока мне не докажут наличие таких наблюдений я могу с полным основанием считать что неверны именно ваши трактовки документов. И мне даже нет необходимости разбираться где именно они неверны и почему.
который показывает наличие взаимодействия ICANN с Ираном чтобы опровергнуть ваши заявления
Я утверждал что ICANN и Verisign находятся в юрисдикции США и обязаны следовать их законодательству, что продемонстрировал ссылками на соответствующие документы. Я также утверждал что и первые и вторые имеют технические возможности изменить содержимое корневой зоны, единолично.
Какое из этих моих утверждений не соответствует действительности или опровергнуто? Как я уже сказал раньше, решение суда по частному случаю — не показатель, равно как а амнистия отдельных преступников не делает остальных невиновными, и не освобождает никого другого от ответственности в будущем за то же самое деяние.
Я не утверждал что ICANN с кем-то не взаимодействует, равно как я не утверждал что иранский домен был изъят из корневой зоны — речь шла о возможности, не более.
Утверждение из серии «ICANN не соблюдает санкции» (в конкретном случае) — это совсем не то же самое что «ICANN не обязан соблюдать санкции» (ваш посыл). Точно также как если вас не наказали за проезд на красный, или вы проехали на красный по сигналу регулировщика вовсе не означает что теперь на красный ездить можно во всех случаях. Позже может быть другой суд и другое решение — но в любом случае это не изменит того факта что ICANN может изменить корневую зону.
Для опровержения моего заявления должен быть документ в котором сказано что ICANN находится вне какой-либо юрисдикции и не может применять какие-либо санкции к кому-либо — в то время как имеется документ говорящий совершенно противоположное, и в качестве косвенного подтверждения (поскольку прямое невозможно) — отсутствие в списке регистраторов санкционных стран.
Что примечательно, несмотря на всю косвенность, в этом списке нет как раз только тех стран для которых санкции включают услуги хостинга и регистрации доменов (на что вы обратили внимание) — но это всего лишь совпадение, не правда ли?
Тут вы ошибаетесь — управляются и контролируются они (вместе с корневой зоной) ICANN в тесной связке с US DOC. Если США захотят, то почти весь интернет превратится в тыкву за очень короткое время.
Вся эта королевская рать даже мой домашний днс-сервер не контролирует. Вопрос только в полноте данных.
Посмотрите на санкционные проблемы — уже сейчас граждан многих стран отрезали от регистраций доменных имен (не говоря уже о сервисах), просто потому что США так захотелось.
не могли бы вы примеры привести, а то непонятно.
Вся эта королевская рать даже мой домашний днс-сервер не контролирует.
И кто узнает о вашем домашнем сервере без корневых серверов?
не могли бы вы примеры привести, а то непонятно.
Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе. Или попробуйте стать регистратором имён, будучи компанией в Иране или Кубе.
Какой адрес у владельца parsian-bank.com (принадлежит иранскому банку)?
И кто узнает о вашем домашнем сервере без корневых серверов?
Все, кому я дам его IP-адрес. Или те, кто получит его по DHCP. Корневые сервера в рекламе моего днс-сервера не участвуют. Извините, но в этом вопросе у вас каша в голове.
Попробуйте зарегистрировать .com/.net (да почти любой gTLD) с адресом владельца в Иране или Кубе. Или попробуйте стать регистратором имён, будучи компанией в Иране или Кубе.
Лень пробовать, но судя по тому, что иранские организации с com адресом есть, это возможно. Вам пример привели.
Регистраторы имен в Иране есть. Да вот, например, в вики-статье про зону ir на них ссылка ru.wikipedia.org/wiki/.ir
А можно вопрос. Зачем вы в споре используете заведомо ложные аргументы. Ну, допустим, вы плохо представляете, как работает DNS (хотя и в этом случае лучше трезво оценить, что вы знаете, а что нет, и не писать). Но про регистраторов в Иране инфа гуглится за 30 секунд.
Вам так важно выиграть спор, даже если это будет с помощью фейков?
Все, кому я дам его IP-адрес. Или те, кто получит его по DHCP. Корневые сервера в рекламе моего днс-сервера не участвуют.
Безусловно, в работе самого сервера — нет, речь шла не про это, читайте внимательней. Вы не сможете рассказать всему миру IP своего сервера, чтобы они знали как резолвить bla.bla.ru — для этого и нужны корневые и не только сервера.
Но про регистраторов в Иране инфа гуглится за 30 секунд.
Я привел выдержки из официальных документов вовлеченных организаций, в которых упомянуты и санкции, и правовые основания — как это может быть фейком?
Пару лет назад многие регистраторы имён из Ирана прекратили свою деятельность именно из-за санкций, и куча доменов перекочевала к другим регистраторам (не в Иране) — эта инфа тоже легко гуглится.
Наличие доменных имен с адресами в Иране объясняется просто — большинство из них было зарегистрировано давно, а санкционные ограничения применяются в основном к новым регистрациям, но до старых тоже иногда добираются.
Что же касается «как работает DNS» — я уже выше описал о чём именно я говорю и что имею в виду, если вы читаете через строчку — увы, не могу вам помочь.
Верно. Более того, при первой же попытке одного из акторов сделать нечто подобное остальные быстро начнут действовать независимо, а большая часть интернет выкинет такие корневые серверы из своих списков и на этом всё закончится. Сеть как работала, так и будет работать.
О какой-то централизации DNS можно говорить только в части DNSSEC где, действительно, имеется единый keys signing key на всю сеть.
Все имеющиеся на данные момент корневые сервера получают данные от одного источника — в этом проблема. Конечно, они могут изменить источник или сделать систему действительно распределенной и независимой от одного источника, но это не так просто и не мгновенно.
ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B_DNS
что корневые пока не поддерживают DOH
И никогда не будут потому что HTTPS для DNS это чисто браузерный костыль. А вот DoT — вполне вероятно.
Технически ничто не мешает вам использовать DoT по 443 порту что, кстати говоря, многие публичные DNS и делают.
Но, если я правильно понимаю, то это не делает его неотличимым от HTTPS-трафика. Так-то и DNSCrypt использует 443 порт.
Опять же, технически, если вы можете разбирать содержимое TLS сессии то вам всё равно, что там будет внутри — будет видно всё. А так только статистически пытаться анализировать. Так что "неотличимость" эта, скорее всего, мнимая.
- При DoH можно на одном хосте и порту держать сразу и веб-сервер, и DNS, и уже после терменирования TLS определять, что отдать в ответе — HTML или DNS-сообщение. Если к примеру такое сделает сервис масштаба Гугла — то соответственно и заблокировать DNS можно будет только вместе с Гуглом.
- DoT сервер же блокируется по IP и номеру порта.
Снаружи все TLS сессии выглядят одинаково, потому что это тоннель. Тут нужно сделать скидку на всякие TLS расширения вроде ALPN, но их нетрудно подставить и в DoT чтобы мимикрировать под HTTPS.
Технически ничто не мешает вам использовать DoT по 443 порту что, кстати говоря, многие публичные DNS и делают.
Не встречал такого, и в RFC тоже. Поделитесь примером?
RFС вам не запрещает использовать любой порт, в точности как и для любого другого протокола. Рекомендован и стандартизирован 853.
Ну вот, например, один из списков
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Test+Servers#DNSPrivacyTestServers-DoTservers
Это не DoH надо винить, а тех, кто принимает решение использовать этих провайдеров по умолчанию.
По умолчанию как раз используется стабильный и надёжный сервис, задача которого не упасть, иначе у пользователя «ничего не работает, к чёрту вашу тормозиллу, качаю Хром» (а в Хроме-то всё стабильно работает, там будет по умолчанию сервер Google). При этом, для малой доли пользователей, который хотят таки поднять и использовать свой сервер, реализована возможность это сделать.
И вот, значит, нашли стабильный сервис. Подписали с ним юридические бумаги о том, что сервис обязуется собирать как можно меньше информации о пользователях (совсем-то не собирать технически невозможно, сервер не может обслуживать клиента, не зная, например, его IP-адрес), будут проводить периодический аудит. Но нет, всё равно плохо, нужно было сделать как-то иначе, а как — «мы не знаем, нужна децентрализация, чтобы было много-много провайдеров» (что скажется и на стабильности, и на приватности, потому что провести качественный аудит одного партнёра проще, чем сотни).
При этом, перед Mozilla всё ещё стоит задача поднимать популярность браузера, а для этого нужна надёжность, потому что работу DoH пользователи даже не видят, а вот если сайты в Firefox перестали открываться из-за прилёгшего резолвера, то пользователи в первую очередь винят именно браузер, а не резолвер, и идут качать какой-нибудь Yandex.Browser или Chrome.
То, что хоть немного уважает приватность пользователей, иначе какой смысл во включении DoH по умолчанию? Сейчас уже есть из чего выбрать.
Cloudflare обязалась уважать приватность (хотя бы в отношении пользователей DoH Mozilla).
И почему-то мы должны верить этому. Они бы еще более сомнительного партнера себе нашли, и договорились с ним.
нужно было сделать как-то иначе, а как — «мы не знаем, нужна децентрализация, чтобы было много-много провайдеров»
Они не только выбрали централизованный подход, но и сервер компании, которая и так контролирует огромную часть Интернета.
что скажется и на стабильности, и на приватности, потому что провести качественный аудит одного партнёра проще, чем сотни
Не факт, что негативно скажется, но потребовалось бы, конечно, договориться со многими, в разных странах. А аудит от Mozilla нужен только им, потому что пользователь все равно вынужден доверять провайдеру.
И почему-то мы должны верить этому.Mozilla это гарантирует. Если мы используем Firefox, то, очевидно, Mozilla доверяем (хотя, некоторые пользователи умудряются использовать Windows и одновременно всеми силами со своей ОС бороться, что смешно),
Если мы используем Firefox, то, очевидно, Mozilla доверяем
Но это не означает, что доверяем безоговорочно и не хотим приуменьшить степень своей зависимости от неё (и других корпораций). Кроме того, сомнительно, что они вообще способны что-то гарантировать в этом случае. Сегодня они провели свои проверки, а завтра Cloudflare может начать пакостить втихую, т.е. необходимости доверия к провайдеру это полностью не отменяет.
CEO Cloudflare Мэтью Принс
www.bloomberg.com/news/videos/2017-08-17/cloudflare-ceo-on-responsibility-in-combating-hate-video
Да, это про не очень хороший сайт, да этот сайт вроде жив пока, но само событие меня пугает
Он же:
Back in 2003, Lee Holloway and I started Project Honey Pot as an open-source project to track online fraud and abuse. The Project allowed anyone with a website to install a piece of code and track hackers and spammers. We ran it as a hobby and didn't think much about it until, in 2008, the Department of Homeland Security called and said, 'Do you have any idea how valuable the data you have is?' That started us thinking about how we could effectively deploy the data from Project Honey Pot, as well as other sources, in order to protect websites online. That turned into the initial impetus for CloudFlare.
по которым сейчас злоумышленник на уровне провайдера или государства
А вы рисковые ребята)
придумают всякие там сормы для DoH и введут его
Чо там, пиннинг сертификатов уже обошли и RSA научились взламывать? DoH и DoT и задумывались для того, чтобы СОРМы обламывались.
задумывались для того, чтобы СОРМы обламывались.
Телега тоже, а потом участников секретного чата начали сажать…
А когда включат пиннинг сертификатов повсеместно и DoH наберёт популярность, просто тупо баним Cloudflare в России. Сопуствующий ущерб Роскомнадзор не волнует, Amazon вам это подтвердит.
Чо там, пиннинг сертификатов в DoH кто-то из популярных софтов юзает?
А что, в мозилле имплементировали без оного? В гугле тоже? При том, что так то они уже давно цепочки проверяют и пинят CA.
А когда включат пиннинг сертификатов повсеместно и DoH наберёт популярность, просто тупо баним Cloudflare в России
Ну, там, когда Amazon побанили — много всего отвалилось. Есть мнение, что с Cloudflare примерно так же будет. Амазону конечно же ни холодно, ни жарко — он свои деньги получил.
Для большинства людей важнее «колбаса» — вероятно по той причине, что они не очень понимают, что делать со свободой, или что она вообще такое…
Просто люди не готовы отказаться от всех этих удобных облачных сервисов в обмен на приватность.
Иначе говоря, большинство людей отказывается от приватности не в угоду безопасности, а просто из-за удобства.
Если что — я не защищаю блокировки вообще, я только говорю что они не являются просто созданием видимости деятельности, у них есть нормальное обоснование. Теоретически есть. На практике было бы неплохо какими-то цифрами доказывать обоснованность.
Во первых, ловить опять же — надо тех кто этот контент покупает, а не блокировать все подряд.
Во вторых мне кажется что данная категория потребителей, это сильно нездоровые люди, и при отсутствии такого контента, или идентификации их(с целью предупреждения и/или оказания им медицинской и/или психологической помощи) через этот контент, они к сожалению (сейчас говорю
как психолог по образованию) 9 из 10, начнут компенсировать свои потребности, создавая массу проблем обществу.
Ну и в третьих — как уже было сказано выше (и я с этим мнением полностью согласен), интернет — место не для детей, а тот интернет, который нужен детям а точнее его качество и безопасность, на уровне государства к сожалению, а может и к счастью создать не получится никогда, как минимум потому что у каждого родителя разное представление о воспитании да и возраст детей разный и масса других нюансов, по этому контроль должны осуществлять родители.
Я не очень понял, как DoH мешает блокировать сайты.
Выключил VPN, включил эту фичу, захожу на заблокированный сайт, вижу – "сайт заблокирован".
Или это в Беларуси настолько суровые блокировки?
Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки.
… одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами
Я её попытался использовать в Беларуси, но не заметил помех блокировкам. Поэтому и решил уточнить — я что-то включил не так или тут умеют блокировать нежелательные сайты лучше, чем в Британии?
обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов
просто ваш фильтр не основан на перехвате DNS запросов. Если, конечно, все правильно настроили. Зайдите на какой нибудь dnsleaktest.com и пройдите тест, в случае DOH у вас должны быть сервера Cloudflare (или какие вы там насторили в firefox), при этом ДНС системы лучше выставить другие, к примеру 8.8.8.8, чтобы можно было заметить разницу.
Включен network.security.esni.enabled и network.trr.mode=2. Почти все заблокированные сайты работают без прокси и впн. Но это в России.
сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки
Вообще все сайты, или только заблокированные в РФ?
даже учитывая https.
Обычно https-сайты и редиретят на заглушку, не все банят по IP.
Вообще все сайты, или только заблокированные в РФ?
Только заблокированные, конечно.
Обычно https-сайты и редиретят на заглушку, не все банят по IP.
Странно, у меня https-сайты без поддержки ESNI, например один-известный-трекер.org просто не открывается и выдает ошибку при установлении защищённого соединения. При этом сайты с поддержкой ESNI, например один-известный-трекер.nl редиректятся на провайдерскую заглушку о том, что данный сайт заблокирован на территории РФ.
Сайты, не поддерживающие ESNI по-прежнему просто не резолвятся.
Это так не работает. Если у вас и вправду всё нормально настроено, резолвиться они будут.
сайты, поддерживающие ESNI стали редиректиться на заглушку блокировки даже учитывая https
Если забанен IP сайта — то там уже глубоко пофиг, https или не https.
Это так не работает. Если у вас и вправду всё нормально настроено, резолвиться они будут.
Возможно, использовал неправильную терминологию. В общем, для сайтов по https, но без ESNI блокировка выглядит так:
«На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН».Не хотели делать DPI, договорились на блокировку только по DNS. А тут такая подстава.
Если совсем упрощенно — можно банить по айпи и по домену. DoH не дает определить к какому домену вы пытаетесь подрубаться и соотвественно второй способ превращается в тыкву.
Я не очень понял, как DoH мешает блокировать сайты.Сейчас будет лонгрид.
DoH мешает только, если вы используете DNS-сервер провайдера (либо провайдер перехватывает DNS-запросы и заворачивает их на себя) и провайдер использует выдачу фальшивых ответов DNS как основной способ блокировки. В России например, почти ни один провайдер не полагается на это, как на единственный способ блокировок. Т.е. провайдеры применяют сразу несколько способов. Поэтому, сам по себе DoH не мешает блокировать.
Для того, чтобы заметить хоть какой-то эффект, нужно включить ещё и поддержку eSNI.
Дальше, вероятно, возникнет вопрос «как eSNI мешает блокировать сайты?».
Представьте, что на IP-адресе 1.2.3.4 висят doloilukashenko.com (доступ к которому провайдер обязан блокировать) и kotiki.org (претензий к нему у Батьки нет). Для провайдера ваш заход на любой из этих сайтов выглядит как соединение с 1.2.3.4. Если используется незашифрованный HTTP, то провайдер посмотрит в заголовок HOST и поймёт, идёте вы на doloilukashenko.com или же на kotiki.org. И дропнет соединение с первым.
С HTTPS сложнее. Чтобы продолжать иметь возможность заглядывать в заголовки, провайдеру нужно купить и установить оборудование DPI, которое может прочитать поле SNI в заголовке (в HTTPS оно не зашифровано). Вот тут и помогает eSNI — провайдер не может прочитать SNI (заголовок зашифрован) и пропускает запрос, а вы получаете возможность зайти на doloilukashenko.com.
При этом, мелкие провайдеры себе такое позволить не могут. Но блокировать нужно, иначе государство сделает атятя. В таком случае провайдер рубит весь HTTPS-трафик до 1.2.3.4, а вы не зайдёте ни на doloilukashenko.com, ни на kotiki.org. И даже eSNI вам в этой ситуации не поможет. Тут вам поможет разве что VPN.
Есть вполне обоснованные опасения, что с повсеместным внедрением DoH и eSNI все провайдеры просто откатятся на последний способ.
Не понимаю, чего все опасаются, если для обхода блокировок большинство и использует VPN и т.п.
Есть вполне обоснованные опасения, что с повсеместным внедрением DoH и eSNI все провайдеры просто откатятся на последний способ.
Не откатятся, так как это в некотором пределе эквивалентно бану всех облачных провайдеров, а в более длительном пределе — бану вообще всех IPv4 и даже v6. Исключая служебные адреса, но как мы знаем, РКН и это не останавливает. И белый список.
А какие у них еще есть варианты?
Денег правда не хватит.
А если говорить про что-то реальное — то или таки будут бегать с банами по IP некоторое время, пока крупные игроки не взвоют, или просто ограничатся какой-либо формой имитации бурной деятельности. В конце концов, у них цель — не интернет забанить, а сидеть и получать весомую зарплату как можно более длительный срок.
Что-то мне не кажется это более реалистичным вариантом. :-) Во всяком случае, до тех пор, пока целью не будет блокировка всего ''вражеского'' интернета.
Я где-то читал, что китайский вариант возможен только в странах где количество автономных систем не превышает 100, а в России их вроде больше двух тысяч.
P.S. Чем минусовать, выразите своё мнение. Может ваше видение окажется еще более правильным.
То что написал, не моё изобретение чтобы меня минусовать. Читайте устав сети FIDO. Вспоминайте те правила.
Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета».
Значит хорошие сапоги, надо брать ©
Это сильно подрывает безопасность open source: большинство пользователей не читает исходники самостоятельно и не компилирует программы самостоятельно, но (было) достаточно вероятно, что те, кто прочитал исходники, получают те же исходники, что и все остальные, и эти исходники компилируются в те же бинарники, что и (каждый) пользователь может скачать напрямую с сайта.
При скачивании мозиллы в РоссииНе в России, а установщика из подкаталога /ru, либо брендированного под Яндекс установщика, который предлагается тем, кто зашёл на mozilla.org/ru/firefox/new/ (скачивается он с сервера Яндекса, это уже не «мозилловский» установщик, там ещё ряд яндексовских сервисов в комплекте).
Я, находясь в России, скачиваю en-US установщик (у меня весь софт на английском) и никакого Яндекса там нет.
Определять геолокацию при скачивании пакета?Нет, по локали системы и браузера.
Если у вас en-US система и браузер, по идее, вы тоже получите включённый DoH.
1. The canary domain — хорошо известен. Блокируется без проблем. 100% будет заблокирован у больших провайдеров, которым тоже нужны эти данные с DNS (для маркетинга и предоставления услуг фильтрации трафика). В этом случае FF просто будет даунгредится до обычного DNS. + есть проверки на наличие корпоративных политик.
2. В данный момент механизм проверки DoH реализован через plugin и изначально будет развертываться только в США. Plugin доступен на github.
3. Если прописать свои настройки DoH, то FF будет их использовать.
4. Если Вам нужна приватность — используйте VPN и/или Tor возможно с комбинацией DoH/DoT (если, конечно, вы доверяете их провайдерам). Просто DoH/DoT не могут этого обеспечить.
Она целиком состоит из придурков которых надо вешать на столбах. Понапринимают дебильных законов, а народ Великобритании страдает от этого.
Как говорится у Великобритании две беды — и если одну можно решить с помощью асфальтоукладочных катков, то что делать с дорогами, совершенно не понятно.
И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц».Готов к конкретным предложениям. Но сдается мне, дядя выдает желаемое за действительное.
Все чаще получаю сообщение "ошибка установки защищенного соединения", особенно когда пытаюсь искать книги на разного рода файлопомойках. Подозреваю, что кроме пиара самой Mozilla эта история ни кому и ни чего больше не принесет.
Mozilla пообещала не включать шифрование DoH в Великобритании. Что это значит для России?