Как стать автором
Обновить

Комментарии 50

Что мешает корпоративным пользователям запретить днс по хттпс? Это надумано мне кажется, тем более это все будет отключаемо в корпоративном сегменте. Это больше надо частным лицам, а то слишком много любопытных и запретителей 3000 развелось

простой пример
есть зоопарк из 1000 машин. там 4 браузера, каждый версий с пяток
КАК его отключить, если он для всех за пределами хоста является обычным хттпс

Корпоративный сегмент диктует свои правила, зачем 4 браузера? Обычно ставится корпоративная мозилла и все накатывается политикой. Зоопарк надо вычищать

бизнес ферст. если им удобно работать с зоопарком, ит подстраиватется;

Значит для данного бизнеса это не является проблемой.

Вот только надо различать реальные потребности бизнеса от глупых хотелок пользователей.
Я могу себе представить только один кейс, когда действительно нужно иметь 4 браузера: это веб-разработчики. У Вас 1000 человек вебдевов?
Зато у бизнеса есть такие непонятные рядовым работникам вещи, как конфиденциальность коммерческой информации, непрерывность бизнеса и ряд других. И унификация конфигураций рабочих мест, как и различные запреты — один из способов добиться этих целей. Все эти ограничения нужны отнюдь не для того, чтобы ЧСВ сисадминов потешить, как многие думают.

Вот вам второй кейс — куча легаси приложений, часть из которых работает только в IE, а их замена экономически невыгодна. А ещё бывают такие, которые работают только в chrome или только в FF (таких сильно меньше, но и они есть).


Ну то есть 2 браузера это вполне норма.

Ну два — это всё же не четыре :)
Тем более что и IE, и Chrome замечательно рулятся политиками. С мозиллой было как-то похуже, но я давно не следил за этой темой, возможно улучшили управляемость с тех пор.
mac/windows/linux
какими политиками это рулить?

нет, сократить ОС нельзя,
нет заставить всех сидеть на хроме/мозиле/нетскейпе тоже нельзя, ибо
а) многие выбирают наиболее эффективные браузеры под себя (у меня рабочих 2, еще 2 под спец задачи, и иногда в виртуалке ие приходится запускать)
б) уйдут нахрен (да эта проблема тоже есть)
Зависит от потребностей бизнеса.

Если речь идёт об IT-сфере — то да, ограничивать сложно, потому что у айтишников своя система ценностей и всё равно попытаются обойти. Хотя я лично был свидетелем, когда особо умный программер в банке воткнул в свою машину, подключенную к внутреннему сегменту АБС, usb-свисток «потому что так было удобнее». И был нещадно отымет титановым ломом, потому что удобство удобством, но вряд ли Вы захотели бы хранить деньги в банке, в котором хост банковской сети торчит голой ж… й в интернет.

В любой же не-айтишной области, где компьютер является просто инструментом, а не самоцелью — никаких «сократить ОС нельзя» и «выбирать эффективный браузер» не может быть. Утверждённая конфигурация рабочего места, утверждённый список софта, любые исключения — только через согласования руководства включая CIO/CSO/CTO.
Тем не менее накатывать политики в линуксе дорого, как и ввод его в домен. Дешевле костылями
по браузерам — понятно что движемся в сторону унификации, но это годы, если не ломать текущее

тут гораздо интереснее вопросы — все локальные ресурсы при doh пойдут лесом :-) так что все равно придется это все решать тем или иным способом
У Firefox для этого есть политики, а также canary-домен — если браузер увидит соответствующий ответ от DNS-сервера, то не включит DoH автоматически.
в корпоративном сегменте расшифровывать весь HTTPS является не такой уж и редкой практикой.
Пока не можем, легал сказал что повесит всех за фибирже если мы заикаемся об этом. Как раз пользовательский трафик.
Серверная ферма — все хорошо, хоть обрасшифровывайся
Это больше надо частным лицам
С другой стороны, это приведёт к централизации. Google и Cloudflare будут иметь 95% DNS-трафика, в этом нет ничего хорошего. Сейчас DNS поднимается у провайдеров и передаётся клиентам по DHCP/PPPoE, а свой DoH провайдер так передать не может. Поэтому провайдерам интернета нет смысла поднимать свои DoH-сервера.
Firefox поддерживает не только Cloudflare и этот список будет расширяться. Хотя, конечно, если что-то (Cloudflare) выбрано по умолчанию, то оно и будет использоваться большинством.
НЛО прилетело и опубликовало эту надпись здесь

Того же мнения.
Всем клиентам ставим энтерпрайз браузер — рулится политикой, свой DNS сервер, весь трафик проксируем и заворачиваем на какой нибудь Palo Alto.

По мне так давно было пора это сделать. Закрыли серьёзнейшую дыру в сетевой безопасности. Вот бы ещё в каждом браузере Firefox по умолчанию поднимали выходную ноду Tor и что-то для улучшения работы i2p.
Спасибо, нам одного Димы Богатова хватило. Поднятие выходной ноды должно быть осознанным решением пользователя, и никак иначе.

Firefox и так теряет позиции на рынке, представьте, какой отток оставшихся будет, как только выйдет новость о том, что использование Firefox с настройками по умолчанию подвергает пользователя риску заполучить полицейский рейд и изъятие техники (это в лучшем случае, как было в Европе, а в худшем — ещё и посидеть, как в России).

Мне бы не хотелось 3 месяца провести в СИЗО, а потом ещё полгода под домашним арестом, даже зная, что в итоге меня освободят.

Для этого нужно договариваться разработчикам разных браузеров и выкатывать фичу одновременно. Когда выходных нод мало, можно прессовать. Когда их будет больше, чем активных юзеров тора, будут в каждом ПК, телефоне и телевизоре — запарятся.

Любой желающий и так может без проблем поднять у себя выходную ноду. Те, кто так не сделал до сих пор, либо вообще не в курсе что такое Тор, либо сознательно не желают поднимать на своём компьютере ноду. Ни тем, ни другим предложенная вами фича не нужна.
Вообще ваше предложение напоминает методы распространения Амиго и Яндекс.Бара.

Идея о безопасности с позиции HTTPS подразумевает централизацию управления и контроля за чувствительной информацией. Владельцы такой инфраструктуры становятся слишком влиятельны.

Особенно если вспомнить как cloudflare забанили у себя сайт, который им неугоден был.

НЛО прилетело и опубликовало эту надпись здесь
с позиции dnscrypt
С весьма пристрастной позиции, что совершенно не красит разработчика. Например, полностью проигнорировано то, что трафик DNSCrypt имеет весьма характерные сигнатуры, благодаря чему намного проще обнаруживается и блокируется, чем DoH. Зато это позволяет нарисовать красивую, пусть и ложную, картинку.

Таки RIPE или всё же RIPE NCC? В RIPE нет сотрудников, они есть в RIPE NCC.

НЛО прилетело и опубликовало эту надпись здесь
Вообще то в Опере это уже есть, я спокойно подключился к google DNS и выхожу на rutracker и telegram как будто они и не были блокированы вовсе… Задержка, даже не знаю как описать, иногда что то вроде есть. Тут еще блокировщик рекламы и без нее то легче всё на порядки грузится

Я правильно понимаю, что Firefox в перспективе будет игнорировать resolv.conf? А hosts? Часто провайдеры на своих днс держат внутренние локальные зоны, получается, в перспективе надо искать другие решения. Родительский контроль от Яндекс и ему подобные тоже в пролете.
Надо подумать, пока звучит как костыль, ломающий слишком много. Я за приватность, но тут как будто под ширмой приватности перетягивание одеяла на себя.

Локальные зоны у провайдеров? А зачем? ЛК абонента можно и в публичном пространстве держать.
Корпоративный сегмент может поднять свой DoH сервер, лиса, судя по документации, позволяет вписывать кастомные support.mozilla.org/en-US/kb/firefox-dns-over-https#w_switching-providers

Зачем локальная зона у провайдера?
А как же retracker.local? ;)

А у кого из массовых провайдеров он вообще работает?

Не уверен, что работает сейчас, но раньше работало, а сейчас успешно ресолвится у Билайн'а в Москве при проводном подключении.

У ростелекома работал, когда я интересовался этим

В целом опция полезна ибо если всё настроить через cloudflare и изменить 4 настройки в about:config то имеем:


image


И если сайт включил поддержку ESNI (например рутрекер) то заходим на него безо всяких vpn несмотря на блокировку по DPI !


Для параноиков — не нравится DoH — включите DoT (правда в firefox нет такой опции — придётся сторонней пользоваться например stubby), не нравится что через cloudflare — можно и другие сервера будет использовать).

Почему-то на моём провайдере даже с включённым esni на рутрекер зайти не могу.
СОединение разрывается с ошибкой: PR_CONNECT_RESET_ERROR
Да, тест прохожу, но рутрекер не открывается.

Может ваш провайдер блокирует рутрекер в дополнении к DPI ещё и по IP ?

Возможно.
и сложности с оптимизацией трафика в CDN-сетях
А что мешает передавать с запросом код региона пользователя чтобы выдать ближайший сервер?

Для домашнего использования очень серьёзно DoH будет серьёзно мешать блокировке всякого мусора на уровне DNS.


По-хорошему нужна возможность передавать IP адрес DoH в DHCP options.

Так ведь можно (теоритически) и свой DoH прокси сервер поднять со своими правилами.

Как использовать DHCP options (по-крайней мере не во встроенных системах) отдается на откуп софту. Ничто не мешает (опять же теоритически) переписать его на попытку подключиться к DNS сначала по DoH, DoT или вообще без шифрования.
vitus-wagner.dreamwidth.org/2144330.html хорошо описал опасности и проблемы и с DNS-over-HTTPS и, в добавок, выдачу миллиардов сертификатов Let's Encrypt-ом. Обе новости крайне плохи в вопросе безопасности и приватности.
НЛО прилетело и опубликовало эту надпись здесь
В корпоративной сети можно настроить прокси-DNS и фильтровать там опасные/нежелательные сайты, а заодно смешивать запросы с разных компов.

Также существуют корпоративные/детские блокировщики в браузерах.
А толку когда бровзер в дефолте по хттпс лезет к своим ДНС а не к прописанным в системе?
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий