Как послать провайдера подальше, и включить DNS по HTTPS в любом браузере +49



Поддержка DoH уже встроена во все основные браузеры. Пользователям нужно её только включить и настроить.


Все шесть производителей основных браузеров планируют поддерживать протокол DNS по HTTPS (DoH), шифрующий DNS-трафик и помогающий усилить конфиденциальность пользователя в сети.

Этот протокол является одной из самых обсуждаемых тем этого года. Он позволяет браузеру прятать DNS-запросы и ответы внутри обычного на первый взгляд HTTPS-трафика.

Это делает DNS-трафик пользователя невидимым для сторонних наблюдателей за сетью, например, провайдеров. Однако если пользователи обожают DoH и считают его благом для конфиденциальности, провайдеры и производители средств кибербезопасности его ненавидят.

Британский провайдер назвал Mozilla «интернет-злодеем» за планы компании по внедрению DoH, а группу лоббистов от Comcast уличили в подготовке документа касательно DoH, который они планируют представить законотворцам Британии, надеясь предотвратить более широкое распространение протокола.

Однако, время уже может быть упущено. Редакция в течение недели связалась с производителями основных веб-браузеров, чтобы узнать об их будущих планах касательно DoH, и все они планируют внедрять протокол в том или ином виде.

Как включить DoH в любом браузере


Вот, что нам известно на сегодня по поводу планов производителей браузеров, связанных с DoH, и о том, как пользователи могут включить DoH в любом браузере.

Brave


«Мы очень хотим реализовать его», — сказал нам Том Лоуэнталь, менеджер продукта из Brave for Privacy & Security.

Однако у команды Brave пока нет точных сроков внедрения DoH. Они занимаются другими улучшениями, связанными с приватностью. К примеру, на этой неделе компания выпустила обновление, улучшающее распознавание скриптов, отслеживающих действия пользователей. На горизонте маячит версия Brave 1.0, и команде нужно сконцентрироваться на её выходе. Но DoH в Brave будет.

«Реализация DoH – это гораздо больше, чем простая техническая задача. Нам нужно решить, какие разумные и защитные установки мы можем включить по умолчанию для большинства людей, не задумывающихся о настройке DNS – но так, чтобы мы ничего не сломали у тех людей и организаций, что тщательно подошли к подстройке своих программ», — сказал Лоуэнталь.

Поскольку Brave основан на открытом проекте Chromium, в нём есть поддержка DoH. Однако команда пока не настроила эту поддержку. В коде она есть, но включается так, как это придумала команда авторов Google Chrome. Включить DoH в Brave можно, перейдя на следующий URL:

brave://flags/#dns-over-https



Chrome


Google Chrome стал вторым браузером после Firefox, добавившим поддержку DoH. Её можно включить, перейдя по следующему URL:

chrome://flags/#dns-over-https



По-умолчанию DoH не включено для всех. Сейчас Google проводит ограниченный эксперимент с небольшим количеством пользователей, чтобы проверить, как DoH покажет себя при реальном использовании.

Поддержка DoH в Chrome отличается от Firefox, по-умолчанию перенаправляющего DoH-трафик на Cloudflare. Браузер после включения протокола будет отправлять DNS-запросы на всё те же сервера, что и ранее. Если у выбранного сервера окажется интерфейс с поддержкой DoH, тогда Chrome зашифрует DNS-трафик и отправит его на тот же DNS-сервер по протоколу DoH.

Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

На текущий момент DoH в Chrome работает так:

  • Пользователь вводит URL сайта в браузере.
  • Chrome получает данные по DNS-серверу ОС.
  • Он проверяет, есть ли этот сервер в белом списке одобренных серверов с поддержкой DoH.
  • Если да, Chrome отправляет зашифрованный DNS-запрос на интерфейс этого сервера.
  • Если нет, Chrome отправляет обычный DNS-запрос к этому серверу.

Поэтому у пользователя существует риск так и не воспользоваться протоколом DoH. ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

Однако есть два способа обойти это и заставить Chrome использовать DoH постоянно и вне зависимости от настроек DNS вашего провайдера.

Во-первых, можно воспользоваться обучающим материалом по принудительному включению поддержки DoH в Chrome. Во-вторых, пользователь может настроить DNS-сервер с поддержкой DoH в своей ОС. Его можно выбрать из списка, и это гарантированно будет работать в Chrome.

Edge


В следующем году Microsoft планирует выпустить новую версию браузера Edge на основе кода Chromium. Представитель Microsoft сообщил нам, что компания поддерживает DoH, но точные планы не раскрывает. Однако, версия Edge на основе Chromium уже поддерживает DoH. Её можно включить, перейдя по URL:

edge://flags/#dns-over-https



Это включит поддержку DoH, но она будет работать только, если ваш компьютер использует DNS с поддержкой DoH – чего в 99% случаев не происходит. Чтобы принудительно включить DoH в Edge, вы можете воспользоваться инструкцией из следующего поста в блоге одного из программистов Edge. Адрес сервера Cloudflare можно заменить на любой другой сервер DoH, который можно выбрать по ссылке. После соответствующей настройки, Edge способен работать с DoH.



Firefox


Mozilla стала пионером этого протокола совместно с Cloudflare. Поддержка DoH уже есть в стабильных версиях Firefox. Её можно включить в настройках в разделе «Настройки сети».



Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

Однако это значение можно поменять, прописав любой сервер с DoH. Из всех браузеров, поддержка протокола в Firefox реализована лучше всего, а настроить её легче всего – в основном потому, что разработчики имели с ней дело дольше остальных.

Сейчас браузер уже включает поддержку DoH по умолчанию для всех пользователей США. Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

В прошлом Mozilla не гарантировала включение DoH по умолчанию в других странах. Однако, поскольку поддержка протокола уже есть в стабильной версии браузера, пользователю остаётся лишь включить её, и всё будет работать.

Opera


Opera уже встроила поддержку DoH. По умолчанию она выключена, но её можно включить в любой момент, и всё будет работать без дополнительных шагов.

Разработчики Opera используют модуль для работы с DoH сходный с тем, что используется в Firefox, и не оставляют всё на откуп провайдерам, как Chrome. Весь трафик браузера сейчас идёт через резолвер 1.1.1.1 от Cloudflare.

Мы не нашли способа поменять его на другой, но, по крайней мере, DoH в Opera работает. Однако работать с VPN он не будет – если вам нужен DoH, то его придётся отключить.

Чтобы включить DoH в Opera, зайдите сюда:

opera://flags/opera-doh



Safari


Нет данных. Разработчики Safari обычно опаздывают на все вечеринки по добавлению новых возможностей, а Apple недавно вкладывалась в конфиденциальность пользователей, поэтому есть все шансы, что у Safari появится поддержка DoH.

Vivaldi


Представитель Vivaldi сказал, что поддержка DoH связана с реализацией Chrome. Пользователи могут включить её, перейдя по следующему URL:

vivaldi://flags/#dns-over-https



Однако поскольку DoH в Vivaldi работает так же, как в Chrome, он не будет шифровать DNS-запросы, если пользователь использует DNS-сервер, указанный в ОС, и не поддерживающий шифрование.

Скорее всего, придётся добавить в настройки DNS вашей ОС один из серверов, поддерживающий DoH, чтобы эта функция заработала в Vivaldi, и использовать его постоянно. Мы смогли добиться этого, прописав в настройках DNS-сервер 1.1.1.1.

Представитель Vivaldi сказал, что в будущем поддержка DoH в браузере может поменяться, в зависимости от того, как Google будет изменять поддержку протокола в Chromium.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:



Комментарии (201):

  1. Radjah
    /#20954380 / +1

    Инструкция занятная. Firefox и 5 «скинов для хромиума».

    • JustDont
      /#20954452

      Выбор браузеров, которого мы достойны.

      Через несколько лет наступит очередная эра IE6, только IE6 будет называться Chromium.

      • Zenitchik
        /#20955108

        Так она уже наступила. IE5, 5.5, 6 тоже сосуществовал с парой малопопулярных браузеров.

        • JustDont
          /#20955132

          Ну да, плохо написал. Эра-то уже наступила, через несколько лет пойдёт первая волна последствий.

          • Zenitchik
            /#20955208 / +1

            Если рассуждать по аналогии, то через несколько лет начнётся следующая итерация появления «альтернативных браузеров».

            • AllexIn
              /#20955596 / +9

              Сложность браузеров невообразимо выросла. Сделать сейчас браузерный движок, который сможет вытянуть все актуальные веб технологии — задача сложная.
              Поэтому как практически перестали появляться десктопные ОС, так и браузерные движки перестали появляться.

              • Finesse
                /#20958354

                Весь этот зоопарк API просто проигнорируют: текущие API станут устаревшими, на смену им придут более простые API. Это тоже было в истории с IE. jQuery снова станет актуальной.

                • epishman
                  /#20958516

                  Нету там зоопарка, все последние апи логичны и юзабельны. Максимум что можно сделать — удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.
                  Если рассматривать кардинально новые подходы к интерфейсу — я знаю только Flutter, но он пока зело убог, подходит только для мобильников, там нет даже CSS, зато есть ад вложенных колбэков, и как на нем будет выглядеть верстка нормального сайта — пока не представляю.

                  • Gamliel_Fishkin
                    /#20960812

                    удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.
                    Это было бы удобно спецслужбам, цензорам и т. п.: чем блокировать 100500 сайтов, достаточно было бы приказать нескольким поисковикам. Разумеется, внутренне свободным людям, желающим быть людьми, а не стадом, такое не подойдёт.

                    • epishman
                      /#20960962

                      При чем тут это. Мы говорили об устаревших веб-стандартах. Есть куча сайтов умерших людей и компаний, и заботиться об их существовании должно общество — либо превращая браузер в легаси, либо обновляя их разметку принудительно.

    • Balling
      /#20957620 / +2

      Инструкции дерьмо, вот рабочая для chrome. Пишите в ярлыке
      --enable-features="DnsOverHttps<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:Fallback/true/Templates/https%3A%2F%2Fcloudflare-dns.com%2Fdns-query", а то после обновления до 78 старье не работает.
      bugs.chromium.org/p/chromium/issues/detail?id=1026201&can=1&q=Dns%20over%20https

      Для этого не надо ждать пока google подключит вас, но и менять ваше dns тоже не надо в настройках windows, класс да!

      Если у кого не влезает в ярлык, можно добавить переменную окружения, а в ярлык добавить просто саму переменную в знаках процентов.

      • abrwalk
        /#20961974

        У меня не завелось, пробовал через cmd и через бар totalcmd (там хватает места). Dns leak test говорит что стоят гугловые днсы (как в системе). проверял тут browserleaks.com/ip

        А в Firefox-е же при включенном DoH — только один IP — Cloudflare.

        • Balling
          /#20961980

          Проверять надо тут. 1.1.1.1/help
          И Fallback/true на false замените. Но наверное они ещё полную изоляцию не допилили. И в firefox у меня вообще сайт dnsleak не открывает, а в вашем сайте тоже пишет dns сервера моего провайдера (в лисе, опять таки).

  2. Sabubu
    /#20954438 / +1

    Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

    Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей? Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH и сидеть на работе в соцсетях.


    ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

    Смысл DoH как раз в том, чтобы не передавать данные о посещенных сайтах провайдеру и садистам из правоохранительных органов. Гугл же сливает протест идею с полным шифрованием трафика от местных коррумпированных властей. В демократии же гарантируется тайна переписки? Ну так давайте добавим к словам на бумаге технические меры по ее обеспечению, а судьи со своими законами могут идти туда, куда им укажут пользователи.


    Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

    В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.


    Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

    Слабаки.


    Я сам включил в фаерфоксе DoT при первой же возможности,

    • taliano
      /#20954884

      Все нормально. Пользователи Chrome должны страдать.

    • Mur81
      /#20955380 / +7

      Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей?

      Во-первых при чём тут админы? Вы понимаете вообще, что на предприятиях могут быть внутренние WEB-ресурсы, доступ к которым естественно через внутренний DNS?
      Во-вторых что это за такие никому не интересные предприятия? Вообще как бы на предприятиях зарабатываются деньги, а люди там получают зарплату, на которую живут. Или браузер нужен только что бы котиков смотреть?
      И главное в Chrome это пока реализовано на уровне экспериментальной фичи (достаточно трафик поснифать, что бы понять что сейчас это костыль). Я надеюсь, что в релизе это будет сделано по человечески, в частности будет нормально настраиваться через настройки и через GPO.

      • Sabubu
        /#20956338 / +8

        Плевать на предприятия. Пусть предприятия используют специальный браузер для предприятий (майкрософт выпустит вам такой, в крайнем случае исходники открыты, пусть админ соберет что нужно) без шифрования и протокол HTTP, а нормальным людям надо оставить шифрованный браузер.


        История показывает, что коррумпированные (читай: все) правительства ведут незаконнную слежку и их невозможно привлечь к ответственности. Потому шифровать нужно все, что можно, пользуясь тем, что это пока не запрещено, а если запретят, то шифровать подпольно. Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать. Они хотят знать о вас все, а вам о них и об их доходах знать не положено. Потому шифровать свои данные от них нужно хотя бы их принципа.


        А без GPO массовые пользователи вполне могут обойтись.

        • Rampages
          /#20956978 / +1

          На предприятии тоже может быть MitM атака, поэтому трафик в локальной сети должен быть тоже защищен и обойтись без шифрования не получится.

          И вроде как в нашем государстве нельзя шифровать так, чтобы правительство не могло это расшифровать (ну тут без ссылок, мне влом разбираться в этом вопросе в данное время). Ну и помнится всякие АТС и коммутаторы с определенными функциями шифрования должны обязательно получить разрешение ФСБ, без ФСБ ни купишь/ни продашь.

          Ну тут как бы надо понимать, что по идее правительство == люди, люди == вы. Правительство не враг. Просто есть люди в правительстве, которые злоупотребляют правами или лоббируют интересы третьих сторон, а вообще там идут те еще игры престолов.

          Наверное это правительство, которые мы заслужили. Нету активной гражданской позиции, ни у меня, ни у моих знакомых/друзей/родственников, а те у кого она есть сидят в одной партии. Все привыкли к правлению Единоросов, а до этого к ком.партии.

        • Garbus
          /#20957568 / +1

          Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать.

          Открою страшный секрет — корпорации в этом пункте ничем не отличаются от правительства. И чем больше размер корпорации и её захват рынка тем сильнее это выражается.
          А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?

          • Sabubu
            /#20958760 / +2

            Верно, мораль и мотивация у глав корпораций и глав правительств одинаковая. Глава компании тот же рабовладелец в душе. (Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда? Работники сами голосованием будут устанавливать режим труда, зарплату, выбирать руководство. Разумеется, не отобрать сразу, а постепенно, дав хозяину возможность выжать оставшуюся прибыль. Как с крепостными было.)


            Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.

            • wholeman
              /#20959356

              Да Вы, батенька, прям коммунист. Жаль, что Хабр не для политики.)

              • Garbus
                /#20959692 / +1

                Не, коммунист получится такой себе. Пока в уравнении будут присутствовать деньги как цель и мерило успеха — коммунизм будет «ненастоящим».

                Работники сами голосованием будут устанавливать режим труда

                И неизменно вылезает вопрос компетентности. Работник уделяющий пол часа в неделю вопросу управления заводом, гарантированно будет хуже чем специально выделенный человек. Вот только куда будет «рулить» этот человек, самый сложный в решении вопрос.

            • Gamliel_Fishkin
              /#20960854

              Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
              Я далеко не марксист, но Маркс, можно сказать, ответил на Ваши слова: «ради прибыли капиталисты способны на любое преступление».

              • Zenitchik
                /#20961032 / +1

                Маркс — про моральную способность, а Sabubu — про физическую.

                • Gamliel_Fishkin
                  /#20961182 / -1

                  Вы думаете, у них нет технической возможности?

                  Четыре года назад при не вполне ясных обстоятельствах был убит один из ключевых разработчиков Linux'а. Разве это убийство не может быть выгодно некоторым софтверным гигантам, чьи сверхприбыли могут оказаться под угрозой из-за распространения Linux'а?

                  • Whuthering
                    /#20961204

                    Сверхприбыли софтверных гигантов? Да софтверные гиганты (Google, Oracle, IBM, и многие другие) на Linux и его экосистеме наоборот очень хорошо зарабатывают. И даже те, что были резко против (Microsoft), тоже начали вполне успешно развивать бизнес в эту сторону.

                    Мёрдока жалко, конечно, вот только что-то незаметно, что его кончина как-то серьезно затормозила развитие Linux и Debian. Если уж строить козни, то задумавшим все это стоило бы сотню самых активных контрибьюторов на тот свет отправить, иначе все как-то бессмысленно выходит.

                    Честное слово, как будто мы не на Хабре, а на форуме зрителей РенТВ.

                    Ну и в целом, разговор все-таки немного о разном у вас. Влияние иностранных «гигантов» за пределами их стран все-таки очень сильно ограничено (если не включать фантазии в стиле шпионских романов), а вот своих отечественных органов — наоборот, не ограничено практически ничем. И чтобы пострадать от них и сломать себе жизнь, не нужно быть каким-то видным активистом, достаточно просто случайно попасть под руку.

                • wholeman
                  /#20961380 / +1

                  Про это он тоже писал, что государство обслуживает интересы господствующего класса, т.е. при капитализме — тех самых корпораций. Если корпорации сочтут, что вы представляете для них опасность, они при помощи государства на вас воздействуют.

            • diakin
              /#20960928 / +4

              >Кстати, что вы думаете об отмене частной собственности на компании и >передаче управления в руки коллектива в целях улучшения условий труда?
              Создай свою компанию, выведи ее в прибыль и передай в руки трудового коллектива, который будет принимать управленческие решения путем голосования. И всем будет счастье.

              • firk
                /#20961724

                Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
                Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.


                В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.

                • diakin
                  /#20962284

                  Смысл моего ответа был в том, чтобы показать автору утопичность его предложения. Начни с простого — создай прибыльный бизнес. На этой фразе можно было бы обсуждение и закончить. Но можно еще подумать о том, что трудовой коллектив к процессу создания бизнеса не имеет отношения от слова «совсем». Цель трудового коллектива — побольше получать и поменьше работать, а не вкладываться в бизнес. Думать иначе — это утопия.
                  Условия труда и отношения предприятия и наемных работников регулируются действующим законодательством, социальную защиту обеспечивает государство. Задача бизнесмена -эффективно вести собственный бизнес, иначе прогоришь.

                  • wholeman
                    /#20962476

                    Цель трудового коллектива — побольше получать и поменьше работать
                    Для чистильщика сортира — полностью согласен. Программисты же вполне могут вкалывать, потому что это им нравится. Если при этом лучшая работа ведёт к лучшей зарплате напрямую, без участия компании, которая отгрызает себе хороший кусок дохода, то это вообще идеал (если не учитывать риск провала, конечно).

                    • flx
                      /#20964714 / +1

                      >Цель трудового коллектива — побольше получать и поменьше работать

                      В пределе ты вообще не работаешь ни секунды, ты просто делаешь то что доставляет тебе удовольствие и хорошо у тебя получается.

                      • wholeman
                        /#20965630

                        Это всё равно работа, даже если доставляет удовольствие.

                        • flx
                          /#20967348

                          а как тогда назвать то чем занимаются сотрудники макдональдс?
                          ну или любое другое трудоустройство где люди считают секунды до окончания рабочего дня?

                          невозможно же два принципиально разных явления называть одним словом.

                          • geher
                            /#20969914

                            Почему принципиально разных?
                            Человек получает деньги за деятельность, полезную для клиентов.
                            Его личное отношение к деятельности рассматривать можно, и это позволит классифицировать работу по этому параметру, но общий признак таки позволяет назвать любую работу работой вне зависимости оттого, приносит ли она удовольствие, а если приносит, то весь ли рабочий день.

                  • flx
                    /#20964710

                    ну тут вы как минимум не правы.
                    имеет и еще какое. и что-то похожее на управление коллективом у нас и есть…

                  • Sabubu
                    /#20965074 / +2

                    Но разве не так же рассуждали землевладельцы в средние века? "Крестьяне только и хотят поменьше работать на барщине и побольше оставлять урожая себе. Пусть пойдут захватят новые территории, получат дворянский титул и отменяют крепостное право в своем домене сколько влезет."


                    Вы начнете возражать, мол, никто тебя к градообразующему предприятию цепью не привязывал, вместо работы 8 часов за станком за копейки ты можешь 12 часов в сутки катать тележки в магазине за меньшие копейки. Ну так это как возможность в Юрьев день перейти к барину подобрее.


                    Разве я не прав? Поясните пожалуйста.


                    Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Разве работники не лучше знают, какая зарплата им нужна?


                    И я не считаю себя сторонником коммунизма, не сторонник того, чтобы людей отправляли в ГУЛАГ или сажали за антисоветские разговоры.

                  • firk
                    /#20965770

                    Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
                    Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
                    И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.

            • fpir
              /#20962750

              Я видел такое, при Горби пошла мода на выборы директоров. В общем-то это органично вписывалось в социалистическую идею. Как правило, рабочии и служащии прекрастно знали, кто какой специалист. Видел и опракидывающие выборы, когда *удака меняли на более приличного. Конечно, исселедование этого вопроса не проводил, но субективно — чаще был положительный эффект.

            • geher
              /#20965574 / +1

              Глава корпорации пришлет к вам СБ корпорации с "электрошокерами", отправит вас в подвал или сфальсифицирует доказательства вашего участия в "ограблении компании на астрономическую сумму", чтобы подать на вас в суд.
              Если у него связи в спецслужбах и в суде, то может и судью попросить, и дело сфальсифицировать, и сотрудников спецслужбы приехать за вами.

            • Vilgelm
              /#20966346 / +1

              Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда?

              Вы, конечно, не у меня спрашивали, но не могу пройти мимо: ничего не получится, но в итоге поменяется собственник. И этому есть доказательства, потому что нечто подобное уже происходило всего-то менее чем 30 лет назад в России, называлось ваучерная приватизация.

              И это нормально, во-первых, потому что большинству людей это нафиг не сдалось, во-вторых, потому что когда все миноритарии, то к сожалению ничего не взлетит, потому что как минимум часть людей будут жить по принципу «раз я тут миноритарий, то пойду с****у пару болтов, ну а че».

          • Gamliel_Fishkin
            /#20960834

            А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?
            Акулы вроде Microsoft и Google — с целью захвата рынка, да. А, например, Mozilla? Есть акулы, но и есть и романтики.

          • Vilgelm
            /#20966354 / +2

            Не отличаются. Но корпорации, какие бы крупные они не были, по сравнению с правительствами щенки просто. Корпорация не может настолько сильно влиять на вашу жизнь (не посадит вас в тюрьму без содействия правительства), у корпораций есть конкуренты, к которым вы можете уйти и так далее. А правительство — это мегакорпорация с абсолютной властью и без конкурентов, к которым вы можете перейти (ну или по крайней мере это намного сложнее, чем купить вместо Pixel iPhone или наоборот).

      • BiW
        /#20956606

        Мало того, что костыль, так и в версии для Linux не поддерживается.

    • rupas_k
      /#20955422 / +1

      в плане обеспечения безопасности предприятия данные с DNS являются достаточно полезным индикатором. Поэтому фраза: " Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH" не совсем корректна.

    • Dr_Sigmund
      /#20956648 / -4

      В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.


      Ну конечно, гораздо лучше отдать их невесть где сидящим админам какой-то американской компании. Они спать не могут, всё думают, как бы наши права посильнее уважать.

      • Whuthering
        /#20960186 / +4

        Увы, но наши провайдеры вынуждены подчиняться законодательству страны, к которому (и к практике соблюдения которого) есть много вопросов.
        Выше вон уже написали:

        Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.
        Замените «главу корпорации» на «какую-то американскую компанию», и комментарий станет полностью акутальным для вашего высказывания.

        • Dr_Sigmund
          /#20962110

          Увы, но наши провайдеры вынуждены подчиняться законодательству страны

          Почему «увы» — они что, не должны ему подчиняться?
          к которому (и к практике соблюдения которого) есть много вопросов

          А к американским компаниям вопросов нет?
          Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами

          Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод, по щелчку пальцев они не появляются. А глава американской корпорации, конечно, их прислать не может. Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom

          • Pavel1114
            /#20962194

            www.youtube.com/watch?v=Dp2DfGh-QG0
            Не по щелчку конечно. Но и без особых усилий. У них вроде сейчас и другой работы то нет

            • Dr_Sigmund
              /#20963512

              Даже вашей обрезанной версии достаточно, чтобы услышать про группу «Русскоязычный бандеровец», а если посмотреть чуть более полную версию этого видео, то становится понятно, что чувак — нацик-отморозок. И таким ФСБ действительно должно наносить визиты вежливости. Я, как гражданин и житель РФ, всецело это поддерживаю.

              • Pavel1114
                /#20964520

                Действительно с этим видео я ошибся. Хотя сама формулировка «по факту размещения вами комментария в социальной сети», конечно, сильная. Если он террорист, то и сажать его надо за терроризм. А за комментарий, какой бы он не был, сажать нельзя.

                • Dr_Sigmund
                  /#20965860

                  Если он террорист, то и сажать его надо за терроризм.

                  Так он пока не террорист — не зарезал никого, не взорвал ничего. Его берут именно за то, что он совершил — «публикацию сообщения экстремистской направленности в сети Интернет», или как там это описывается сухим языком протокола. И правильно делают, что берут. Во избежание.
                  А за комментарий, какой бы он не был, сажать нельзя.

                  Моё глубокое убеждение, что, в зависимости от комментария, можно и нужно. К примеру, отправкой на нары блогера Синицы я был вполне удовлетворён.

                  • Pavel1114
                    /#20966088 / +1

                    Может быть в каких то случаях и можно было бы сажать. Но. Судебная система в России не то что бы несовершенна, но определённые проблемы у неё есть. А у правоохранителей есть планы, отчёты по раскрываемости. Завтра майору захочется закрыть вас(бизнес, обида, отчёт на конец квартала). Зайдёт на вашу страницу ВК. Найдёт там экстремизм или оскорбление чьих нибудь чувств, или неуважение чего либо. Вы можете сказать «не сможет — я порядочный гражданин и у меня такого нет». Но вы не эксперт. Эксперту будет виднее. К тому же может эту страницу они заранее подготовят. Суду вообще пары скриншотов(или фото экрана) хватит.

          • Whuthering
            /#20963582

            Почему «увы» — они что, не должны ему подчиняться?
            Как я уже сказал, к этому самому законодательству и практике его применения есть очень много вопросов. Поэтому «Увы».
            А к американским компаниям вопросов нет?
            Вопросы есть и к тем и к тем, вот только вопросы разные, и последствия их для граждан тоже разные. Как вы сами отметили, если вы осознанно на «их» территорию не приедете, то они до вас вообще не смогут дотянуться, даже если вдруг по какой-то невероятной причине захотят.
            Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод
            Например, основать успешный бизнес и не поделиться, или просто перейти в жизни дорогу какому-нибудь «уважаемому человеку». А кроме спецслужб у нас есть еще и другие силовые структуры, и в их случае достаточно желания выслужиться должностного лица и случайного невезения гражданина.
            Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom
            Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.

            • Dr_Sigmund
              /#20963908 / -2

              Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.

              Может, они в чём-то виновны, может, нет, я этого не знаю. Я знаю, что их арестовали за что-то, что они делали в сети, когда они выехали за рубеж, и что им предъявили обвинения на основании законодательства других государств. А законы бывают покруче наших — у нас тут возмущаются, когда кого-то берут за задницу за пост или коммент, а, например, в Англии по новому закону можно схлопотать пятнадцать лет за всего лишь ПРОСМОТР террористических сайтов (пруф: www.theguardian.com/uk-news/2017/oct/03/amber-rudd-viewers-of-online-terrorist-material-face-15-years-in-jail). Поэтому люди, желающие спрятать свою деятельность в сети от российского провайдера и РКН, потому что те «нарушают их права», но с готовностью предоставляющие те же самые данные какой-то американской компании, вызывают у меня искренне изумление своим эльфизмом.

      • Vilgelm
        /#20966356 / +2

        Если вы гражданин США или проживаете в США, то вам лучше отдать эти данные Яндексу или Ростелекому какому. Если вы гражданин России или проживаете в России, то вам лучше отдать эти данные Cloudflare. Все просто.

        • Dr_Sigmund
          /#20968712

          (Усмехнувшись) Ну разе что так.
          «Коммерция — великая вещь: я им наше знамя, они мне своё!»

    • geher
      /#20957782 / +6

      В демократии же гарантируется тайна переписки?

      На самом деле нет. Это из разных областей понятия.
      В принципе, если народ решит, что тайна переписки не нужна, то в соответствии с сутью демократии она должна быть отменена.
      Так что тайна переписки гарантируется не демократией, а желанием народа при демократической форме правления иметь эту самую тайну переписки.

      • trueMoRoZ
        /#20958372 / +2

        только выглядит это так, как будто все везде уже проголосовали за тотальный контроль

        • geher
          /#20961170

          Тайна переписки — это не про тотальный контроль. Это про прозрачность общества. Оно, конечно, облегчает контроль, если есть контролирующие инстанции, но все же не то.

      • Anastasia_K
        /#20959012 / +2

        всё так, с маленькой поправкой. не народ а демос. плебс, к сожалению, ничего решить не может.

        • geher
          /#20961166 / +1

          Вы путаете понятия. Демос — это именно народ. Это из Древней Греции. Он не делился по уровню достатка, умственным способностям или социальной ответственности, а определялся исключительно по происхождению (в некоторых полисах еще была процедура принятия в народ, но сути оно не меняет, потомки принятого автоматически становились частью демоса).
          В демос не вкключались только рабы (ибо имущество) и "понаехали" (ибо чужие).


          Плебс — это вообще не про демос. Это уже из Древнего Рима, где выделили группы людей по социальному признаку. Тут могу ошибаться, но вроде в плебс включали как граждан (демос), так и всякий сброд без гражданства, а к всадникам и патрициям, которые определяли жизнь Рима, относили уже только граждан с определенным положением в обществе.

    • Dr_Sigmund
      /#20962114 / +2

      не давать DNS-данные коррумпированому провайдеру

      А что такое «коррумпированный провайдер»? Это который взятки берёт или даёт? Меня аж любопытство взяло.

  3. Andrew_Pinkerton
    /#20954464

    не работает без напильника, а жаль.

    Not available on your platform. (x86_64 GNU/Linux)

    Spoiler header
    image

    • chupasaurus
      /#20954584

      dnscrypt-proxy v2 под вашу платформу доступен до всей истории с добавлением в браузеры поддержки DoH.

    • jonie
      /#20959358

      так ведь у вас поди там настроен (обыкновенно, например у десктоп версии убунты последних лет) NetworkManager, который использует systemd-resolved, который как бы поддерживает DoH уже давно. Ну а хром, соотвественно, использует локальный dns сервер (на локальном хосте), и трафик не утекает в интернеты между ним и dns сервером (нет смысла там tls делать особенно). Не?

  4. Mur81
    /#20954856

    На выходных только ковырялся с DoH в Chrome, хотелось понять как оно работает. То что я увидел снифером наводит на мысли, что это пока больше похоже на костыли чем на законченное рабочее решение.

  5. Dukat
    /#20954902

    включить DNS по HTTPS в любом браузере

    Эх, ожидал какое-то браузеро-независимое решение, а тут только перечисление наиболее (?) распространённых браузеров…

  6. n0isy
    /#20954952

    Firefox 70.0.1 включил сам эту фичу (РФ). Я ещё с утра подумал, почему торренты стали работать без прокси. Получается РосКомНадзор поломан. И будет опять банить Cloudflare…

    • AbstractGaze
      /#20955378 / +1

      А что за провайдер? У меня ростелеком блочит с включенным doh в Firefox 70.0.1 и торрент и 7-zip.org

      • dartraiden
        /#20956614

        7-zip.org
        7-zip.org попадает в заблокированный диапазон IP-адресов, DoH тут даже теоретически не способен помочь.
        7-zip.org is not blocked

        but may be filtered by IP:
        159.65.89.65

        Mass blocked resource!

        /n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
        as subnet 159.65.0.0/16

        Через DoH вы получите сведения о том, что 7-zip.org резолвится в 159.65.89.65, а дальше запрос к этому IP будет зарезан провайдером.

        • moviq
          /#20957074

          интересно, открыл без проблем

          • KeyJoo
            /#20957614

            Без проблем — могут все мобильные операторы связи.
            А вот чтобы победить провайдера включаю vpn в опере )

            • moviq
              /#20961348

              А я не через мобильного, а через «стационарного»

      • spirit1984
        /#20965184

        То же самое, не позволяет зайти ни на что заблокированное. Очевидно, потому что надо подключать еще esni, а он по умолчанию не активируется при обновление.

    • List1
      /#20955424

      тоже включен по умолчанию, но торренты без прокси не работают. провайдер ТТК

    • Danis98
      /#20955426 / +2

      Хочу вас обрадовать, вам очень повезло с провайдером. В России большинство провайдеров блокирую по SNI, а не по DNS, что делает DoH довольно бесполезной примочкой для обычного пользователя и уж точно никак не спасает от РосКомНадзора.

      • fpir
        /#20962778

        Да, но некоторые делают это комплексно, и по SNI, и подкидывая не валидные DNS ответы, и, до кучи, перехватывая весь трафик по 53 порту.

    • moviq
      /#20957070

      Интерсно, у меня по этой причине короткие ссылки всё время с длинной гугл капчей вываливаются? Задолбался разгадывать светофоры, автобусы и гидранты.

    • danfe
      /#20959128

      Я ещё с утра подумал, почему торренты стали работать без прокси.
      Погодите, а разве их когда-то блокировали в России? Сколько ни качаю-раздаю, всё напрямую работает (Питер, Ростелеком). Другое дело, что заблокированы многие трекеры и поисковики, но для 99% не-private торрентов знания info-хэша (btih, который рано или поздно просочится в DHT) вполне достаточно, а они щедро разбросаны по зеркалам/кэшам и проиндексированы поисковиками.

  7. Ark_V
    /#20955326

    А какие из DNS использовать кроме Cloudflare, и что б доверять можно было и как это проверять?

    • Revertis
      /#20955846 / -1

      В Firefox используется прослойка от Мозиллы. Мне кажется, Мозилле можно доверять.

      • Mur81
        /#20955906

        Что за прослойка? Cloudflare там используется по умолчанию.

        • Revertis
          /#20955944

          Домены мозилловские.

          • Mur81
            /#20956026

            Она при старте резолвит (через классический UDP 53) домен mozilla.cloudflare-dns.com. Получает в ответ айпишники с корыми потом работает уже по TCP 443.
            Где тут присутствуют мозилловские домены не пойму.
            Кстати Chrom, будучи настроенным на Cloudflare, поступает точно так же, но только резолвит уже chrome.cloudflare-dns.com.
            Причём примечательно, что айпишники отдаваемые по mozilla.cloudflare-dns.com и chrome.cloudflare-dns.com разные.
            Это наводит на некоторые мысли. Скажем о разнице в реализации протоколов в Хроме и Файрфоксе (впрочем возможно это для каких-то других целей сделано).
            А ещё в Хроме нельзя непосредственно указать с каким провайдером DNS ему работать. А ещё там прозрачный откат до классического DNS. И другие любопытные вещи снифером можно подсмотреть.
            Файрфокс подробно не изучал но, то что сейчас в Хроме сделано это даже бетой назвать с трудом можно.

            • Revertis
              /#20956166

              Я вижу такое в about:config:

              network.trr.uri	https://mozilla.cloudflare-dns.com/dns-query
              Сниффером не смотрел, но предполагаю, что этот адрес используется для всех запросов. Айпишники принадлежат CF, но подозреваю, что это некие сервера Мозиллы, не уверен, впрочем.

              • dartraiden
                /#20956640

                Нет, это оборудование Cloudflare. Mozilla со своей стороны гарантирует, что Cloudflare ценит приватность пользователей Firefox и обещает периодически проверять, как она там блюдётся.

                • Balling
                  /#20959208

                  Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24

  8. Gamliel_Fishkin
    /#20955680

    Предпочитаю направлять DNS-запросы через SOCKS-прокси. Собственный SOCKS-прокси на VPS.

    • n0isy
      /#20956354

      1. Опять же — вопрос «кому отправлять». 8.8.8.8?
      2. Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
      Речь о минимальных телодвижениях в пользу анонимности.

      • Gamliel_Fishkin
        /#20956802

        вопрос «кому отправлять». 8.8.8.8?
        Есть censurfridns.dk и подобные службы.

        Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
        Именно так. Точнее, помимо SOCKS-прокси у меня есть и HTTP-прокси.

        Речь о минимальных телодвижениях в пользу анонимности.
        Провайдеру тоже доверять не надо, но чем CloudFlare лучше?

        • Balling
          /#20959218

          Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24

          • Gamliel_Fishkin
            /#20960946 / +2

            Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24
            Цитирую страницу, на которую я сослался выше:
            Cloudflare publicly commits to a "pro-user privacy policy" and the deletion of all personally identifiable data after 24 hours, but you never know where your data ends up at the end of the day. <…> all DNS requests are seen by Cloudflare and in turn also by any government agency that has legal right to request data from Cloudflare. <…> If there is anything wrong with your government (for instance corruption, collusion or fraud) and you have information to publish about it, the government will be able to trace you down. This puts any whistleblower at risk.

            • Balling
              /#20960982 / -2

              Это bullshit. Поймите, RIR не очень себя офишируют. Но нет, cloudfare не сможет ничего предъявить, данные удаляются в течение 24-48 часов, они находятся под перекрестным аудитом от RIR и ООН. Это глобальный проект. Вы себе даже не представляете, какой там уровень.

      • sumanai
        /#20956908 / +1

        1. Опять же — вопрос «кому отправлять». 8.8.8.8?

        Всегда можно поднять свой сервер, который будет сам ходить на авторитарные и кешировать результаты.

  9. brizing
    /#20955936

    Странно, что Brave вначале списка)

    • ZuOverture
      /#20956398 / +3

      Это называется «алфавитный порядок».

  10. rajven
    /#20956394

    Провайдерам глубоко начхать на этот DoH. У провайдера стоит DPI которому пофиг куда вы ходите за DNS. Единственный способ пройти DPI — туннель за бугор. А DNS хоть обшифруйтесь — ничего это не даст.

    • Andrusha
      /#20957056 / +1

      Единственный способ пройти DPI — туннель за бугор.
      В том-то и дело, что нет. Например вот или более современный вариант, к тому же относящийся к содержимому статьи.

      • rajven
        /#20957250

        Пассивный DPI не видел ни разу. А активный DPI из тех, на которые я напарывался, пропускал только на сайты, играющиеся окном. Но, опять же — сколько администраторов серверов решат сделать такую фишку? Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке. Хотя, может года за 3 оно и приживётся. Посмотрим. Но, это такая себе палка о двух концах — ничего не мешает регулирующим органам начать блочить по ip. Кто там пострадает из невиновных их не колышет.

        • Andrusha
          /#20957290

          Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке.
          Или просто Google объявит, что N версия Chrome будет показывать уведомления в адресной строке о том, что сайт без eSNI небезопасен, а начиная с версии N+2 такие сайты перестанут открываться. И всё.

          • sumanai
            /#20957656

            Скорее уж сайты без eSNI будут понижаться в поисковой выдаче.

    • Rampages
      /#20957060

      Encryped SNI и DNS over HTTPS в паре могут хоть как-то частично обойти DPI (Deep Packet Inspection), ну по крайней затруднить ISP'ам доступ к вашим запросам.

      • rajven
        /#20957206

        Ну — мало кто его настроил пока. Большинство владельцев сайтов просто забьёт.
        Да и идея хорошая, но опасная. Как показала практика, запрещающим органам глубоко насрать на блокировки непричастных. Будут снова банить подсетями. www.7-zip.org вон который год в бане за экстремизм. И ничё.

        • Rampages
          /#20957400

          Ну по крайней мере провайдеры не будут собирать с тебя статистику по доменам и запросам к DNS, хотя может быть какие-нибудь крутые анализаторы пакетов от каких-нибудь Positive Technologies, FortiGate, Checkpoint и других что-то могут...

        • vis_inet
          /#20958488

          www.7-zip.org
          у меня открывается нормально…

          • rajven
            /#20958658

            Он в бане по ip c 13.04.2018. Вам повезло с провайдером…

            • vis_inet
              /#20958678

              Ростелеком

              • rajven
                /#20958786

                У них от региона зависит. Где-то стоит нормальный DPI, где-то вообще только squid до сих пор. Контора государственная, им пофиг на штрафы и РКН.

        • awolfman
          /#20959186

          Странно, у меня он почему-то открывается нормально через https.
          Возможно стоит установить HTTPS Everywhere, чтобы он требовал от сайта работу по https.

          На мобилке rutracker.nl выдает сайт заглушку типа заблокирован по решению суда и бла-бла-бла.
          Включил в Мозилле DoH и вуаля открывается нормально.

          • rajven
            /#20960444 / +1

            Сайт в блокировке по ip. Смена протокола ничего давать не должна. Если у вас открывается через https — значит провайдер чхать хотел на РКН и штрафы и использует только блокировку по http через какой-нить squid. Ну — чисто чтобы можно было сказать, что она у них вообще есть.

            • awolfman
              /#20961138

              Тогда получается, что 5-ть разных провайдеров из которых два сотовых и один Ростелеком, чихать хотели на РКН и штрафы.

              • rajven
                /#20967286

                Ну это же легко проверяется:
                host www.7-zip.org 8.8.8.8
                Using domain server:
                Name: 8.8.8.8
                Address: 8.8.8.8#53
                Aliases:
                www.7-zip.org has address 159.65.89.65

                Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:

                rkn
                image

        • vanyaindigo
          /#20959748 / -1

          Те, кто за Cloudflare, получают настроенный eSNI включенным по-умолчанию. Ставьте свой домен за Cloudflare и сможете открыть его спокойно в Firefox с включенным eSNI без туннеля (как пример: rutracker.nl/forum/index.php открывается, а rutracker.org/forum/index.php не).

      • firk
        /#20957322 / +1

        На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
        А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.


        Rampages у меня лимит на комменты в сутки, отвечу в этом


        То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.

        Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.


        Ну и вроде как encrypted не равно «отсутствие читаемого».

        Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.

        • Rampages
          /#20957376

          То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.


          Но encrypted SNI о идее уже больше к приватности имеет отношение.


          Ну и вроде как encrypted не равно «отсутствие читаемого».


          Может что-то где-то упускаю, просто не эксперт в этой области.

        • vp7
          /#20958536

          Основная фишка ESNI в другом.


          В какой-то момент на одном IP адресе окажется SuperBlockedDomain.com и google.com и перед фильтровальщиками трафика встанет серьёзная проблема — заблокировать по IP и превратить в тыкву десятки миллионов телефонов или нарушить правила блокировки и разрешить этому IP работать.
          Вместо google.com может быть любой другой ключевой ресурс с блокировкой которого у пользователей начнёт ломаться чуть меньше, чем всё.


          И тогда можно уже будет только угрожать на уровне "либо вы выносите этот домен со своего IP адреса, либо мы блокируем интернет в своей стране".

          • vanyaindigo
            /#20959404

            В том-то и дело, что хотят блокировать все, как в Иране, но пока не могут.

          • Rampages
            /#20962244

            Ну могут выпустить очередной тупой закон а-ля «распространять интернет браузеры с предустановленным российским расширением, которые будет проверять контент на экстремизм, CP или что-либо еще, что может оказаться не в ваших интересах.»

        • konchok
          /#20960158 / +1

          Фильтровальщики смотрят шире и запрещают продажу устройств без русского софта. А там наверняка будет и нужный коренной https сертификат добавленный в систему. Эти SNI просто мелочи когда можно любого подозрительного просто через себя проксировать. /Да, я знаю про certificate pinning итд/

        • ValdikSS
          /#20962136

          отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе

          Сейчас на многих DPI использование ESNI считается за отсутствие SNI, и производятся блокировки по IP-адресу. ESNI снижает доступность сайтов на многих провайдерах.

          ntc.party/t/esni-encrypted-sni/68

      • Whuthering
        /#20960196

        Некоторые провайдерские DPI начали таких хитрозадых с DoH+eSNI рубить целиком и полностью. Т.е. IP вы отрезолвить смогли, зашифровать хостнейм смогли, провайдер видит, что вы подключаетесь к IP, на котором висит какой-то из заблокированных ресурсов, но не может понять, пытаетесь вы зайти именно на этот сайт, или на какой-то соседствующий с ним — и поэтому от греха подальше дропает подключение полностью.

  11. genuimous
    /#20957202 / +1

    Ничего не понял. Не удалось прочитать DNS-запрос, и что с того? Следующим будет установление HTTPS-соединения с условным хабром, которое однозначно идентифицируется. Поясните кто-нибудь сценарий реального использования фичи.

    • Asparagales
      /#20957380 / +3

      Это перевод иностранной статьи. Там, за границей, тоже блокируют сайты и делают это в основном путем перехвата, блокировки или подмены DNS-запросов. Вот иностранцам этот способ поможет. Можно, конечно, заблокировать DoH-сервер, но для этого нужно решение суда.

    • in_heb
      /#20957920

      DOH это только начало. Следующий шаг это eSNI, который пока на стадии экспериментов
      И да, кроме http/https есть и другие протоколы (хотя их трафик мал по сравнению с веб)
      Ну и что самое важное, многие системы анализа (например, для таргетированной оффлайн рекламы или отслеживание посещений сайтов-конкурентов) анализирует лишь dns, для анализа sni им надо допиливатт софт, менять схему включения и т.п. От таких умников (поверьте мне, их много), doh спасает

  12. brizing
    /#20957438

    Успешно зашел на сайт Telegram…

    • kvalter
      /#20958720

      telegram.org заблочен по айпи… как ты мог на него зайти? Я включил в хроме и все также без впн не заходит…

  13. AlexBin
    /#20957452 / +3

    Как послать провайдера подальше

    Поменяйте заголовок на «Как послать РКН ...»
    Или вы думаете, провайдер горит желанием блокировать сайты? Провайдеры тоже жертвы, которые несут от этой системы финансовые потери.

    • trueMoRoZ
      /#20958378

      они просто ещё не научились продавать проснифанные данные)

      • Anastasia_K
        /#20959152 / +1

        крупные вполне себе научились, гуглить по «программатик».

    • extremeEXIT
      /#20958426 / -4

      РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди. Да-да, именно те, которые ежедневно проходят мимо вас.
      Идеальный заголовок был бы: «Как починить людей позволяющих творить такой беспредел в своём государстве-доме ...»

      • AlexBin
        /#20958564 / +2

        РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди.

        Вам легко говорить, вы, судя по всему, ничего кроме телевизора не смотрите.

        • extremeEXIT
          /#20958820

          Скорее по стектрейсу прошёл действительно до бага, который рушит наш интернет.

          • AlexBin
            /#20958900 / +1

            Скорее по стектрейсу прошёл

            Ага, а потом вы проснулись

      • Zenitchik
        /#20959674 / +2

        которых выбрали люди.

        Которым было не из кого выбирать, и они выбрали наименее одиозных.

        • Gamliel_Fishkin
          /#20960978

          которых выбрали люди.
          Которым было не из кого выбирать, и они выбрали наименее одиозных.
          +1. «Не важно как голосуют, важно как считают голоса».

      • wataru
        /#20959714 / +5

        РКН тоже подневольны. Они вынуждены исполнять законы,

        Во время "блокировки" телеграмма они творили полный беспредел, который даже по текущим драконовским законам совершенно незаконен.
        Там не подневольные люди, а самые настоящие вредители и дилетанты, бегущие впереди репрессивной машины.


        которые издали депутаты, которых выбрали люди.

        Это очень спорный вопрос. Больше похоже, что их выбрал волшебник Чуров и компания.
        Тут не столько массовые махинации на самих выборах, сколько тупо недопуск любой не одобренной партии до выборов.

        • extremeEXIT
          /#20959812

          они творили полный беспредел
          Я эту деятельность РКН не поддерживаю. Но хочу перевести ваше внимание на причину вызывающую эти действия. Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.
          Это очень спорный вопрос.
          Согласен, вопрос спорный. Почему подавляющее большинство населения не спорит с результатами выборов? Не защищает свой выбор от обмана? Мне кажется, это такая молчаливая поддержка. Или другим словами Чуров выбрал, а население пассивно молчаливо поддержало. Результат этой поддержки — разрушение нашего общего интернета.

          • wataru
            /#20960092 / +3

            Причина — это наличие закона.

            Будьте добры, ткните меня, несознательного, мордой в место в законе, где написано:


            • что можно блокировать подсети.
            • что можно вносить подсети в "резиновое" постановление прокуратуры задним числом.
            • что РКН может в автоматическом режиме блочить прокси телеграмма.

            Почему подавляющее большинство населения не спорит с результатами выборов?

            Большинство не спорит, потому что это слишком большие риски и затраты энергии. Некоторый процент, все-таки, попытался спорить. Результат — репрессивные законы и показательные абсурдные уголовные дела. И все эти законы о блокировках — это как раз реакция на тот небольшой, но не ничтожный процент несогласных.


            Могу еще привести аналогию: Допустим, у вас угнали автомобиль. Но вы ведь могли бы организовать поисковый отряд, найти свой авто в другом городе и отбить его у бандитов. Но если вы этого не сделали — значит разрешаете бандитам ездить на вашем авто, так что ли? Это в точности ваш аргумент приложенный к немного другому преступлению.


            Выбор или одобрение — это совершенно другого порядка действия, нежели отсутствие активной борьбы с властью. Отождествлять их нельзя.

            • extremeEXIT
              /#20960378 / +1

              место в законе, где написано
              я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые, чтобы закон можно было разворачивать куда угодно. И что подобные законы иногда ещё называют рамочным.
              Всё самое интересное начинается в подзаконных актах. То есть исполнитель (в нашем случае — РКН) сам себе придумывает правила по которым и будет исполнять закон.
              Что с этим делать? Всячески добиваться отмены закона.

              Могу еще привести аналогию
              Хорошая аналогия. Что мы с вами как минимум сделаем? Напишем заявление об угоне.
              Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг до тех пор пока результаты выборов не отменят (+ помощь поддерживающим общественным организациям).
              Предполагаю (поправьте если не так), что для вас — это одно/двух/трех-кратное посещение подобного митинга.
              Тем самым мы расходимся во мнениях.

              • wataru
                /#20960670 / +2

                я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые

                Ну ткните меня в такую расплывчатую формулировку наконец-то! Закон писали ничего не понимающие в этом люди. Они, хоть и пытались расплывчато все написать, про необходимость блокировки подсетей они не подозревали. Когда это стало понятно в ситуации с телеграмом, ни законы, ни подзаконные акты не позволяли это делать. Но РКН это не остановило.


                Что мы с вами как минимум сделаем? Напишем заявление об угоне.

                Это аналогично ворчанию на кухне/в интернете.


                Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг

                Напомнить вам, что митинг на болотной был согласован? Тем не менее менты сделали все, что бы устроить беспорядки и репрессии.


                Сейчас же людей на согласованных митингах избивают, людей задерживают и сажают за одиночные пикеты и ломают людям ноги за пробежку на месте, где через несколько часов будет согласованный митинг.


                По персональным рискам, затратам времени и сил, ваши походы на митинг могли бы сравнится с написанием заявления об угоне только если бы в отделении полиции каждый день похищали и избивали случайно зашедших, вешали на них нераскрытые преступления или просто обворовывали до трусов.

          • Zenitchik
            /#20960280 / +1

            с результатами выборов

            Потому что не в результатах выборов дело. Претензия к исходным данным выборов, из которых можно сделать только такой выбор, который получился.

            • extremeEXIT
              /#20960414

              В этом году, да, к исходным данным. В 2011 к результатам. В ответ на митинги 2011 года всё это постепенно и завертелось с закручиванием гаек в интернете. До 2011 года на регулирование информации в интернете всем было пофигу.

          • xdimquax
            /#20964742 / +2

            Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.

            Это причина блокировать, но не причина ломать. Это повод. Повод для организаций, подобных РКН, поломать Интернет, чем они и занимаются, прикрываясь благими намерениями.

      • vanyaindigo
        /#20959772 / +6

        Честные бы уже давным давно ушли из этого гадюшника. Нет, там остались только конченые мудаки и мрази.

    • vanyaindigo
      /#20959434

      Провайдеры, особенно крупные, вась-вась с государством, так что им пофиг на ваши страдания от их блокировок. И логика там как раз другая: лучше сделать то, чего просит РКН/ФСБ/ФНС/и т.д. по списку, чтобы проблем не было.

      • AlexBin
        /#20959568 / +1

        Провайдеры, особенно крупные, вась-вась с государством
        Не «особенно», а «только» крупные, и то не все, не надо искажать действительность.

        им пофиг на ваши страдания от их блокировок
        А я где-то говорил, что провайдеры переживают за пользователей?

        И логика там как раз другая
        А другая это какая? Процитируйте, где я описывал «другую» логику?

        Я сказал, что провайдеры — жертвы. Поясняю! Они вынуждены ставить себе DPI, способный фильтровать такое количество трафика, потребляя дополнительное электричество, места в стойках и бесперебойниках + охлаждение, при этом любезно добавляя еще один потенциальный узел отказа и дополнительные latency в качество соединения. И никакого пряника там нет, только кнут: за каждую пропущенную ссылку штраф, емнип в районе 50к.

        И DPI — это еще не все требования и оборудование, которые вынуждены соблюдать честные региональные или городские провайдеры, чтоб их не утопили в штрафах, и не отобрали лицензию.

        Разумеется, все эти наказания не коснутся ростелекома, а напротив, он за свою нагло бездарную работу еще и премии получит.

        • vanyaindigo
          /#20959606

          Угу, «жертвы», которые подмахивают ФСБ/РКН/АП. Видимо, жертвы со стокгольмским синдромом.

          • AlexBin
            /#20959640 / +1

            подмахивают
            Вы видимо не понимаете разницу между сексом и изнасилованием.

      • Rampages
        /#20962320 / +2

        Да, когда бред с РКН только начался, заставили всех провайдеров любого уровня соблюдать, иначе штрафы. У нашей организации была лицензия на оказание услуг связи, но мы уже давно их не оказывали, а по закону надо было каждый день с ЭЦП заходить на сайт РКН и скачивать/обновлять список запрещенных сайтов, даже если услуги не оказываются. Маразм.

        Сейчас не знаю как там у них все устроено, но провайдеры подневольные люди. Может есть какая-то ассоциация провайдеров, где какой-нибудь «заинтересованный» президент ассоциации будет отстаивать их права на политической арене, но толку будет мало.

        У нас кстати хотели ПАО «Ростелеком» запихать в реестр недобросовестных поставщиков (РНП), за не выполнение обязательств по контракту ФЗ-44, а там как вы знаете если юр. лицо попадает в РНП, то все афилированные лица и учредители попадают в РНП и после этого не могут участвовать в гос. тендерах сколько-то лет. Не получилось запихать, Ростелеком и дальше не выполняет обязательства по контракту, зато звонил министр из Москвы. Вместо 100 мбит/сек ПАО Ростелеком дает 4 мбит/сек, спасибо государству за отличную политическую машину, как только начали пытаться запихать в РНП, реакция из Москвы последовала немедленная.

        • vanyaindigo
          /#20962384

          Мелкие локальные может и подневольные, только трафик их присоединен к крупным (МТС, Мегафон, Билайн, Ростелеком, ЭР-Телеком), а уж они-то с государством не будут спорить. Даже, если их будут резать, они просто в очередной раз повысят тарифы для абонентов.

  14. Viceroyalty
    /#20957758

    После включения опции в Chrome стали загружаться быстрее, с чего бы это… может потому что у меня старый роутер?

    • Whuthering
      /#20960202

      либо у вашего провайдера был тормознутый DNS-сервер :)

  15. Fullmoon
    /#20957768

    А вот такой вопрос — как DoH/DoT будет стыковаться с DNS-адблоком, к примеру PiHole?


    UPD: Всё уже давно решено, например, тут же на хабре: https://habr.com/ru/post/468621/

  16. Sir3x
    /#20957994 / +1

    Только вот вопрос опять же про контроль со стороны провайдеров — а сам траффик с каких адресов/портов будет поступать к клиенту?
    Если есть весь дамп траффика то определить куда ходил пользователь вроде как не трудно. Согласен, что сложно будет понять зачем — но факт присутствия на запрещенных сайтах отследить можно. Или я что то не понимаю?

    • andreymal
      /#20958316

      Если на одном IP сотни и тысячи сайтов (как например в случае с Cloudflare и shared-хостингами), то напрямую определить конкретный посещаемый сайт из этих тысяч уже не получится (при наличии eSNI)

  17. Quber
    /#20958084

    Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?

    • Gamliel_Fishkin
      /#20961068

      Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?
      Он там не нужен. Tor работает как локальный SOCKS5-прокси, весь трафик Tor-броузера (в том числе DNS) идёт через него.

      Tor можно указать в качестве SOCKS5-прокси и в других программах: если это Tor в составе Tor-броузера, то 127.0.0.1:9150 (работает только когда запущен Tor-броузер), а если Tor как отдельное приложение, то 127.0.0.1:9050. Но в некоторых программах этого недостаточно; в частности, связка «любой другой броузер плюс Tor» не может заменить Tor-броузер.

  18. wholeman
    /#20958526 / +4

    Я правильно понял, что при использовании DoH DNS-запросы скрываются от провайдера и локальных спецслужб и передаются Мозилле/Гуглу/Клаудфлэю (и, возможно, соответствующим спецслужбам)?

    • Anastasia_K
      /#20959156 / +1

      да. но они «клянутся, что эти данные использовать не будут. честно-честно. включайте»

      • wholeman
        /#20959466

        Ну, я-то, если и включу, то свой сервис поднимать буду, потому что у меня в интранете всё по именам, например, управление душем на даче. А вот большинство так не сделают, а воспользуются дефолтным. Хороший ход, чтобы забрать всё себе.

        • Zenitchik
          /#20959688

          А зачем интранету торчать в интернет?

          • wholeman
            /#20960004

            Он туда не торчит. Мои DNS-сервера находятся в интранете, поэтому через DoH от Гугла со товарищи недоступны. Чтобы ими пользоваться придётся и DoH свой делать. Либо (если есть возможность) настраивать, что пойдёт через DoH, а что обычным путём. Это может быть сложнее.

        • goldrobot
          /#20960704 / +1

          >управление душем на даче по интернету
          Офтоп, но я не могу не спросить зачем?

          • wholeman
            /#20961358

            Интранет, а не интернет, то есть внутренняя сеть, недоступная извне. Нагрев до заданной температуры и управление светом через веб-морду. Поскольку душ этот представляет собой сарай с бочкой в дальнем углу сада, удалённое управление очень удобно.

            • xdimquax
              /#20964770

              Пригоден ли такой душ для использования зимой?

  19. kvalter
    /#20958702

    Ладно, я включил DoH в Chrome. А как дальше потестить? Нужно ждать пока на "другой стороне" его тоже установят? Например, на рутрекере

    • Biga
      /#20959014

      Другая сторона — это DNS сервер. Используйте любой из поддерживающих технологию. Например, неоднократно упомянутый в статье 1.1.1.1.
      DNS-сервер вернёт браузеру ip-адрес рутрекера и, если этот ip не заблокирован провайдером, рутрекер откроется в браузере.

      • terebenkov
        /#20959196 / +1

        Не все провайдеры блокируют по dns запросам. у нас например, в случае с рутрэкером идет проверка по sni. Включение esni позволяет обойти блокировку rutracker.nl

        • 3adnica
          /#20960090

          видимо не всё так просто… поставил dns 1.1.1.1 включил в ff ensi, но все равно получаю заглушку, только теперь от другого провайдера.

  20. vanyaindigo
    /#20959194 / +1

    Инструкция занятная, но совершенно не соответствует заголовку: провайдерские DPI уже давно не смотрят в DNS, а анализируют SNI. И пока не будет повсеместного внедрения eSNI, никто никуда без VPN провайдеров не пошлет.

    • xdimquax
      /#20962342

      Да если и будет, то блокировки по IP никто не отменял. Уже даже тех, что есть, достаточно для того, чтобы заводить трактор прокси или VPN.

  21. AndreyYu
    /#20959244

    Объясните, пожалуйста, почему даже если включен в Opera DoH режим и сервис проверки DoH от Cloudfare говорит, что всё ок, при заходе на заблокированные ресурсы выдаёт страницу блокировки от провайдера? Получается, что режим полу-рабочий, что ли или надо ещё какие-то манипуляции на ПК совершить?

    • vanyaindigo
      /#20959284

      Потому, почему я объяснил в комментарии выше.

      • JustDont
        /#20960484

        Если у человека выдаёт страницу блокировки — у него настройка неправильная, а ваши объяснения не в тему. С корректно настроенным DoH вы в лучшем случае увидите ошибку разрыва связи (если провайдер из тех, кто уже смотрит в SNI), но никак не страницу-заглушку.

        • vanyaindigo
          /#20960914

          Да что вы говорите)) Ну-ну)
          Вы увидите заглушку даже с корректно настроенным eSNI в браузере, если сам сайт его не поддерживает. Все зависит от настроек DPI у оператора.

          • JustDont
            /#20960932 / +1

            Раз уж вы лучший хакер на деревне — может подскажете, как именно вам провайдер подделает ответ сервера по https, и покажет что-то левое?

            • vanyaindigo
              /#20960996

              Очень легко: читает IP и SNI и перенаправляет на заглушку) Вот, кстати, пример с МГТС:
              image

              • JustDont
                /#20961206 / +1

                Еще раз: для этого провайдеру нужно подделать ответ сервера. В противном случае ваш браузер никуда не пойдет, MITM придумали не вчера и не в РКН. То, что у вас нарисовано на скриншоте — работает на http, где нет никакой возможности проверить, кто вам и что отдаёт по протоколу. Но не на https.

                • vanyaindigo
                  /#20961256 / -1

                  Значит браузер идет по http, и при чем тут неправильная настройка DoH?

                  • JustDont
                    /#20961480

                    https:// в начале адреса написать не пробовали, не?
                    Или включить в браузере поход по https по умолчанию.

                    • vanyaindigo
                      /#20961520

                      Так ты сам на вопрос не отвечаешь, а другим советуешь.

              • awolfman
                /#20961552

                У вас в запросе http, это случайно?

  22. Groosha
    /#20959474 / +1

    Провайдер билайн. Почему-то включение DoH через Cloudflare не помогает. Рутрекер не открывается, изображения на Лурке тоже, всё редиректится на blackhole.beeline


    Я буду обновлять комментарии перед написанием. Кажется, вот ответ.

  23. SergioPredatore
    /#20959864

    Включил в Opera, но эффекта никакого не заметил, как не ходило на зоблоченные ресурсы, так и не ходит.

    • vanyaindigo
      /#20959916 / +1

      Блин, оно и не даст вам возможности обходить блокировки! Оно скроет только DNS-трафик от анализа. Все.

      • General_Failure
        /#20960000

        Насколько я понял, зависит от типа блокировки. Если по IP, то не поможет. А если только по URL, то провайдер запрашиваемый вами адрес не увидит и заблокировать не сможет.

        По крайней мере у меня линька открылась с помощью только этой галочки.

        • xdimquax
          /#20962332

          Не увидит, если включён eSNI вместе с DoH, например, в Firefox.

  24. ivan4th
    /#20961568

    С одной стороны, вроде как, приятно роскомнадзор на чём-то повертеть, с другой стороны, им же пофиг. Ну, из-за DoH и eSNI через какое-то время все железки с DPI станут бесполезной тратой госденег. Ну, просто поблочат по IP кучу лишнего. Но ведь им же пофиг. Они и сейчас не особо парятся. Например, вот, на клауд-провайдере VScale тыркал чуть-чуть Kubernetes — хотел просто поднять Calico на тестовом кластере:


    root@cs747313:~# kubectl apply -f https://docs.projectcalico.org/v3.8/manifests/calico.yaml
    The connection to the server docs.projectcalico.org was refused - did you specify the right host or port?
    root@cs747313:~# ping docs.projectcalico.org
    PING calico.netlify.com (167.99.129.42) 56(84) bytes of data.
    ^C
    --- calico.netlify.com ping statistics ---
    1 packets transmitted, 0 received, 100% packet loss, time 0ms
    
    root@cs747313:~# nc -v 167.99.129.42 443
    nc: connect to 167.99.129.42 port 443 (tcp) failed: Connection refused

    Что такое? Ах ну да, конечно, смотрим бота usher2:


    167.99.129.42 is blocked


    Mass blocked resource!


    /n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
    as subnet 167.99.0.0/16


    /n_1252396 ФНС 2-6-20/2017-12-21-990-АИ 2017-12-22
    as ip 167.99.129.42


    ? /n_998882 Роспотребнадзор 49718 2018-06-21
    as ip 167.99.129.42


    ? /n_1285532 суд 2-50 2018-03-05
    as ip 167.99.129.42


    Вот такая цифровая экономика, да. Они и белые списки-то введут, не моргнув глазом.

    • Gamliel_Fishkin
      /#20961810

      Мой комп:

      $ ping -4nqc 2 docs.projectcalico.org
      PING calico.netlify.com (134.209.226.211) 56(84) bytes of data.
      
      --- calico.netlify.com ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 3ms
      rtt min/avg/max/mdev = 32.102/32.420/32.739/0.365 ms
      $ ping -6nqc 2 docs.projectcalico.org
      PING docs.projectcalico.org(2a03:b0c0:3:e0::32e:b001) 56 data bytes
      
      --- docs.projectcalico.org ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 2ms
      rtt min/avg/max/mdev = 35.162/35.613/36.064/0.451 ms

      VPS:
      $ ping -4nqc 2 docs.projectcalico.org
      PING calico.netlify.com (167.99.137.12) 56(84) bytes of data.
      
      --- calico.netlify.com ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 2ms
      rtt min/avg/max/mdev = 39.799/42.725/45.651/2.926 ms
      $ ping -6nqc 2 docs.projectcalico.org
      PING docs.projectcalico.org(2a03:b0c0:3:d0::d19:7001) 56 data bytes
      
      --- docs.projectcalico.org ping statistics ---
      2 packets transmitted, 2 received, 0% packet loss, time 3ms
      rtt min/avg/max/mdev = 40.511/40.515/40.519/0.004 ms

      Может быть, с Vscale что-то не так?

  25. flx
    /#20961702

    S stands for «Security» in DoH.

    www.youtube.com/watch?v=LYosersEBoM

  26. AlexandrBu
    /#20968286

    Включил DOH на Pi-hole (через cloudflared) — MGTS ничего не изменилось :(
    Причем они на заблокированных сайтах показывают свою yandex рекламу — вот с этим скотством хотел бороться…