Мозилла испытали DNS-over-HTTPS и решили, что все ок.

x0x0x0

HDD-drive
Пользователь
Регистрация
01.08.2019
Сообщения
29
Оценка реакций
9
Баллы
12
Информация не моя, взял с t.me/zatelecom. К теме 1 ноября


Вот что пишут:

Мы планируем постепенно разворачивать DoH в США, начиная с конца сентября. Наш план состоит в том, чтобы начать медленное включение DoH для небольшого процента пользователей, одновременно отслеживая любые проблемы, прежде чем подключать более широкую аудиторию. Если все пойдет хорошо, мы сообщим вам, когда будем готовы к 100% развертыванию.

Что это значит:

Ничего особенного. Просто все блокировки РКН превратятся в тыкву. Для обходов блокировок не понадобится ничего, кроме браузера Firefox. Блокировки по DNS не будут работать от слова совсем, ибо все запросы там будут зашифрованы. А блокировки по IP перестанут рабатать, ибо теперь можно будет тупо изменить IP заблокированного адреса и РКН об этом не узнает...

Великий и ужасный DPI здесь тоже не поможет. Ибо ну вот идет https трафик до рандомных хостов... и чо вы с ним сделаете?

Есть мнение, что как только остальные вендоры браузеров увидят, что доля Firefox растет, то все запилят эту фичу бай-дизайн.
 

crEEpEr

CD-диск
Пользователь
Регистрация
25.07.2019
Сообщения
15
Оценка реакций
2
Баллы
7
В преддверии чебурнета очень неплохая лазейка, если конечно оно до нас дойдет и они реально будут шифровать ДНС запросы от провайдера. Вот только от таргетинговой рекламы после юзанья подобных технологий нам уже не спастись.
 

carnivora

floppy-диск
Пользователь
Регистрация
28.06.2019
Сообщения
2
Оценка реакций
0
Баллы
1
почему все так радуются?
Кроме того, Mozilla сотрудничает с интернет-провайдерами в целях реализации механизмов, не позволяющих пользователям использовать DoH для обхода списков блокировок.
Подробнее: https://www.securitylab.ru/news/500888.php
 

crEEpEr

CD-диск
Пользователь
Регистрация
25.07.2019
Сообщения
15
Оценка реакций
2
Баллы
7
Как и ожидалось, ответ на имплементацию DoH в браузере Firefox воспоследовал очень быстро.

Вот и Хромиум туда же:

Уже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.

А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3. DNS.SB
4. Google
5. OpenDNS
6. Quad9
пруф: https://www.chromium.org/developers/dns-over-https

Ну, и еще раз, наверное, нужно объяснить "как это работает":

Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.

Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много: https://wiki.mozilla.org/Trusted_Recursive_Resolver

И ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут: https://habr.com/ru/company/globalsign/blog/427563/

И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.

Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.

Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.

Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
 
Верх