Комментарии 50
Что мешает корпоративным пользователям запретить днс по хттпс? Это надумано мне кажется, тем более это все будет отключаемо в корпоративном сегменте. Это больше надо частным лицам, а то слишком много любопытных и запретителей 3000 развелось
есть зоопарк из 1000 машин. там 4 браузера, каждый версий с пяток
КАК его отключить, если он для всех за пределами хоста является обычным хттпс
Корпоративный сегмент диктует свои правила, зачем 4 браузера? Обычно ставится корпоративная мозилла и все накатывается политикой. Зоопарк надо вычищать
Значит для данного бизнеса это не является проблемой.
Я могу себе представить только один кейс, когда действительно нужно иметь 4 браузера: это веб-разработчики. У Вас 1000 человек вебдевов?
Зато у бизнеса есть такие непонятные рядовым работникам вещи, как конфиденциальность коммерческой информации, непрерывность бизнеса и ряд других. И унификация конфигураций рабочих мест, как и различные запреты — один из способов добиться этих целей. Все эти ограничения нужны отнюдь не для того, чтобы ЧСВ сисадминов потешить, как многие думают.
Вот вам второй кейс — куча легаси приложений, часть из которых работает только в IE, а их замена экономически невыгодна. А ещё бывают такие, которые работают только в chrome или только в FF (таких сильно меньше, но и они есть).
Ну то есть 2 браузера это вполне норма.
Тем более что и IE, и Chrome замечательно рулятся политиками. С мозиллой было как-то похуже, но я давно не следил за этой темой, возможно улучшили управляемость с тех пор.
какими политиками это рулить?
нет, сократить ОС нельзя,
нет заставить всех сидеть на хроме/мозиле/нетскейпе тоже нельзя, ибо
а) многие выбирают наиболее эффективные браузеры под себя (у меня рабочих 2, еще 2 под спец задачи, и иногда в виртуалке ие приходится запускать)
б) уйдут нахрен (да эта проблема тоже есть)
Если речь идёт об IT-сфере — то да, ограничивать сложно, потому что у айтишников своя система ценностей и всё равно попытаются обойти. Хотя я лично был свидетелем, когда особо умный программер в банке воткнул в свою машину, подключенную к внутреннему сегменту АБС, usb-свисток «потому что так было удобнее». И был нещадно отымет титановым ломом, потому что удобство удобством, но вряд ли Вы захотели бы хранить деньги в банке, в котором хост банковской сети торчит голой ж… й в интернет.
В любой же не-айтишной области, где компьютер является просто инструментом, а не самоцелью — никаких «сократить ОС нельзя» и «выбирать эффективный браузер» не может быть. Утверждённая конфигурация рабочего места, утверждённый список софта, любые исключения — только через согласования руководства включая CIO/CSO/CTO.
тут гораздо интереснее вопросы — все локальные ресурсы при doh пойдут лесом :-) так что все равно придется это все решать тем или иным способом
Это больше надо частным лицамС другой стороны, это приведёт к централизации. Google и Cloudflare будут иметь 95% DNS-трафика, в этом нет ничего хорошего. Сейчас DNS поднимается у провайдеров и передаётся клиентам по DHCP/PPPoE, а свой DoH провайдер так передать не может. Поэтому провайдерам интернета нет смысла поднимать свои DoH-сервера.
Того же мнения.
Всем клиентам ставим энтерпрайз браузер — рулится политикой, свой DNS сервер, весь трафик проксируем и заворачиваем на какой нибудь Palo Alto.
Firefox и так теряет позиции на рынке, представьте, какой отток оставшихся будет, как только выйдет новость о том, что использование Firefox с настройками по умолчанию подвергает пользователя риску заполучить полицейский рейд и изъятие техники (это в лучшем случае, как было в Европе, а в худшем — ещё и посидеть, как в России).
Мне бы не хотелось 3 месяца провести в СИЗО, а потом ещё полгода под домашним арестом, даже зная, что в итоге меня освободят.
Для этого нужно договариваться разработчикам разных браузеров и выкатывать фичу одновременно. Когда выходных нод мало, можно прессовать. Когда их будет больше, чем активных юзеров тора, будут в каждом ПК, телефоне и телевизоре — запарятся.
Вообще ваше предложение напоминает методы распространения Амиго и Яндекс.Бара.
Идея о безопасности с позиции HTTPS подразумевает централизацию управления и контроля за чувствительной информацией. Владельцы такой инфраструктуры становятся слишком влиятельны.
с позиции dnscryptС весьма пристрастной позиции, что совершенно не красит разработчика. Например, полностью проигнорировано то, что трафик DNSCrypt имеет весьма характерные сигнатуры, благодаря чему намного проще обнаруживается и блокируется, чем DoH. Зато это позволяет нарисовать красивую, пусть и ложную, картинку.
Таки RIPE или всё же RIPE NCC? В RIPE нет сотрудников, они есть в RIPE NCC.
Я правильно понимаю, что Firefox в перспективе будет игнорировать resolv.conf? А hosts? Часто провайдеры на своих днс держат внутренние локальные зоны, получается, в перспективе надо искать другие решения. Родительский контроль от Яндекс и ему подобные тоже в пролете.
Надо подумать, пока звучит как костыль, ломающий слишком много. Я за приватность, но тут как будто под ширмой приватности перетягивание одеяла на себя.
Корпоративный сегмент может поднять свой DoH сервер, лиса, судя по документации, позволяет вписывать кастомные support.mozilla.org/en-US/kb/firefox-dns-over-https#w_switching-providers
В целом опция полезна ибо если всё настроить через cloudflare и изменить 4 настройки в about:config то имеем:
И если сайт включил поддержку ESNI (например рутрекер) то заходим на него безо всяких vpn несмотря на блокировку по DPI !
Для параноиков — не нравится DoH — включите DoT (правда в firefox нет такой опции — придётся сторонней пользоваться например stubby), не нравится что через cloudflare — можно и другие сервера будет использовать).
и сложности с оптимизацией трафика в CDN-сетяхА что мешает передавать с запросом код региона пользователя чтобы выдать ближайший сервер?
Для домашнего использования очень серьёзно DoH будет серьёзно мешать блокировке всякого мусора на уровне DNS.
По-хорошему нужна возможность передавать IP адрес DoH в DHCP options.
Как использовать DHCP options (по-крайней мере не во встроенных системах) отдается на откуп софту. Ничто не мешает (опять же теоритически) переписать его на попытку подключиться к DNS сначала по DoH, DoT или вообще без шифрования.
Также существуют корпоративные/детские блокировщики в браузерах.
DNS-over-HTTPS и риски для персональных данных — обсуждаем мнения экспертов