Comments | klink0v: DNS over HTTPS in Firefox

klink0v

DNS over HTTPS in Firefox

Aug 06, 2018 15:27

Что-то я не пойму, с чего бы в интернетах поднялся такой хай и паника на тему включённого по умолчанию DNS Resolving via HTTPS в последних версиях Firefox. Мол, теперь CloudFlare будет знать содержимое всех ваших DNS-запросов и ваши IP-адреса, так что вы отныне ни фига не анонимны и уязвимы перед американским законодательством. Я же имею сказать ( Read more... )

новости, интернетное, firefox

Comments 27

donz_ru August 6 2018, 13:03:51 UTC

Из этой же оперы - предупреждение об использовании кукизов на каждом втором сайте и иногда требования дать на это явное согласие. Смысла в этом ноль, но нельзя же оставить пользователя без дополнительной порции геморроя!

finnskij August 6 2018, 15:27:53 UTC

Или выставить "0"? (по FF-новостям к релизам - это по умолчанию, проверил - так и есть в моей последней 61.0.1)

0 - полностью отключает DoH;
1 - используется DNS или DoH, в зависимости от того, что быстрее;
2 - используется DoH по умолчанию, а DNS как запасной вариант;
3 - используется только DoH;
4 - режим зеркалирования при котором DoH и DNS задействованы параллельно.
5 - Explicitly off. Also off, but selected off by choice and not default. (смысл не могу уловить, "явно выключена, но по выбору и не умолчанию", не понимаю :)

klink0v August 6 2018, 16:23:00 UTC

Вроде как в сентябрьском (62-м) релизе они сделают по умолчанию "2" для всех, кто не поставил "5". Вот тут написано.

finnskij August 6 2018, 18:21:37 UTC

У нас админ хитрый. Есть свой файлик user.js, который периодически правится и закидывавется в папку профиля. Тут нужные настройки получаются всегда наши, а не обновлений FF :)

klink0v August 6 2018, 18:36:56 UTC

Так мартышничать необязательно. У FireFox есть штатный механизм вытягивания настроек с локального веб-сервера при запуске. Как раз для корпоративного применения.

Thread 10

pan_2 August 6 2018, 17:31:56 UTC

>>А ничего, что во всех Android-ных устройствах по умолчанию прописан "8.8.8.8" в качестве DNS? И гугол, точно такая же американская суперкорпорация знает про владельцев ведрофонов всё и даже больше. Почему-то на эту тему никто особо не парится. А в случае с Firefox-ом и CloudFlare чо-та сразу завопили.
Ну во-первых нет, иначе бы ни одно ведро не резолвило:
а) локальные имена в вай-фай сети
б) специальные имена провайдерских сервисов

>>Реальная анонимность в интернете - миф. И дело даже не в телекомах и DPI. А в том, что существует просто тонна способов отследить того или иного пользователя чисто на основании его "типичного поведения", разрешения экрана, cookie, маячков, версии ОС и браузера, JavaScript и много чего ещё.
и
>>На том же самом CloudFlare лежат горы JavaScript, картинок и прочих ресурсов, которые прилинковывают к себе бесчетное количество разнообразнейших сайтов. Что? Анонимность? Вы это серьёзно?а) не надо путать "компания активно хантит данные о вас всеми доступными кй средствами" с "вы сами ей приносите эти данные на ( ... )

klink0v August 6 2018, 18:51:33 UTC

> иначе бы ни одно ведро не резолвило
Дык "8.8.8.8" там как Failover прописан в "build.prop". Встань сетевым сниффером на WiFi-роутер и послушай какой трафик ведроид туда-сюда гоняет. Увидишь много неожиданного и интересного.

> вы сами ей приносите эти данные на голубой каёмочке
Ага, конечно. Я вот в интернеты хожу с uMatrix. Дык половина сайтов тупо не работает и ничего не показывает, пока ты не разрешишь ему подгружать всё это прилинкованное с десятков разных доменов говно.

> рассмотрим оба варианта
Вы ушли от ответа. Я спросил "какую практическую пользу". Какая разница кто куда кого редиректит во времена повсеместного использования HTTPS / SSL ?

> когда у тебя контора на 1,5 человека
У FireFox есть штатный механизм вытягивания настроек с локального веб-сервера в момент запуска, как раз для корпоративного применения на "тысячи человек".

> в режимах 1-4 (т.е. во всех, бгг) "наружу" начинают светиться внутренние адресаС чего это вдруг? Ну и опять же, даже если и будут. Какая от этого практическая польза тому, кто знает эти адреса ( ... )

pan_2 August 6 2018, 19:23:31 UTC

>>Трёхбуквенные агентства придут напрямую к провайдеру / телекому либо применят терморектальный криптоанализ. Это куда проще и быстрее.
Это когда они могут придти. На территории USoA, или EU - могут. На других территориях - нет, без сильного влезания в covert ops, что повышает риски.
А тут - пожалуйста, оно само приходит. Более того - оно приходит само даже оттуда, где никаких дырок нет

klink0v August 7 2018, 06:15:23 UTC

Это что должен быть за бизнес такой, чтобы он был бы интересен буржуйским трёхбуквенным агентствам? И чтобы они начали собирать какую-то непонятную информацию о нём посредством CloudFlare? Звучит как какая-то ненаучная фантастика.

Но если даже предположить, что такое может случиться в реальном мире, то у такого бизнеса наверняка найдутся сисадмины, которые знают как отключить эту фичу в FireFox. :-D

Thread 14

xatkaru August 6 2018, 19:38:12 UTC

> могут всплыть разные сюрпризы со всякими локальными / корпоративными ресурсами

Это основная причина, по которой я отключаю эту фичу. Плюс мне не нравится, что они ее врубают втихаря, и узнавать я об этом должна через "сарафанное радио"

pan_2 August 6 2018, 19:45:19 UTC

Проблемы будут только если split-brain, если же единое днс пространство, то локальные ресурсы будут резолвится.