DNS over HTTPS in Firefox

[klink0v]

Что-то я не пойму, с чего бы в интернетах поднялся такой хай и паника на тему включённого по умолчанию DNS Resolving via HTTPS в последних версиях Firefox. Мол, теперь  CloudFlare будет знать содержимое всех ваших DNS-запросов и ваши IP-адреса, так что вы отныне ни фига не анонимны и уязвимы перед американским законодательством. Я же имею сказать

Comments

[pan_2]

>>А ничего, что во всех Android-ных устройствах по умолчанию прописан "8.8.8.8" в качестве DNS? И гугол, точно такая же американская суперкорпорация знает про владельцев ведрофонов всё и даже больше. Почему-то на эту тему никто особо не парится. А в случае с Firefox-ом и CloudFlare чо-та сразу завопили.
Ну во-первых нет, иначе бы ни одно ведро не резолвило:
а) локальные имена в вай-фай сети
б) специальные имена провайдерских сервисов

>>Реальная анонимность в интернете - миф. И дело даже не в телекомах и DPI. А в том, что существует просто тонна способов отследить того или иного пользователя чисто на основании его "типичного поведения", разрешения экрана, cookie, маячков, версии ОС и браузера, JavaScript и много чего ещё.
и
>>На том же самом CloudFlare лежат горы JavaScript, картинок и прочих ресурсов, которые прилинковывают к себе бесчетное количество разнообразнейших сайтов. Что? Анонимность? Вы это серьёзно?а) не надо путать "компания активно хантит данные о вас всеми доступными кй средствами" с "вы сами ей приносите эти данные на

[klink0v]

> иначе бы ни одно ведро не резолвило
Дык "8.8.8.8" там как Failover прописан в "build.prop". Встань сетевым сниффером на WiFi-роутер и послушай какой трафик ведроид туда-сюда гоняет. Увидишь много неожиданного и интересного.

> вы сами ей приносите эти данные на голубой каёмочке
Ага, конечно. Я вот в интернеты хожу с uMatrix. Дык половина сайтов тупо не работает и ничего не показывает, пока ты не разрешишь ему подгружать всё это прилинкованное с десятков разных доменов говно.

> рассмотрим оба варианта
Вы ушли от ответа. Я спросил "какую практическую пользу". Какая разница кто куда кого редиректит во времена повсеместного использования HTTPS / SSL ?

> когда у тебя контора на 1,5 человека
У FireFox есть штатный механизм вытягивания настроек с локального веб-сервера в момент запуска, как раз для корпоративного применения на "тысячи человек".

> в режимах 1-4 (т.е. во всех, бгг) "наружу" начинают светиться внутренние адресаС чего это вдруг? Ну и опять же, даже если и будут. Какая от этого практическая польза тому, кто знает эти адреса

[pan_2]

>>Трёхбуквенные агентства придут напрямую к провайдеру / телекому либо применят терморектальный криптоанализ. Это куда проще и быстрее.
Это когда они могут придти. На территории USoA, или EU - могут. На других территориях - нет, без сильного влезания в covert ops, что повышает риски.
А тут - пожалуйста, оно само приходит. Более того - оно приходит само даже оттуда, где никаких дырок нет

[klink0v]

Это что должен быть за бизнес такой, чтобы он был бы интересен буржуйским трёхбуквенным агентствам? И чтобы они начали собирать какую-то непонятную информацию о нём посредством CloudFlare? Звучит как какая-то ненаучная фантастика.

Но если даже предположить, что такое может случиться в реальном мире, то у такого бизнеса наверняка найдутся сисадмины, которые знают как отключить эту фичу в FireFox. :-D

[pan_2]

>>чтобы он был бы интересен буржуйским трёхбуквенным агентствам

[pan_2]

>>наверняка найдутся сисадмины, которые знают как отключить эту фичу в FireFox
И да, https://klink0v.livejournal.com/481775.html?thread=3079151#t3079151
;)

[pan_2]

>>Ну я бы не сказал, что прям "втихаря"
См. коммент рядом - бурлит только у тех, кто в курсе. Это где-то 1-2% пользователей Лисы.
При этом - жаль у меня ссылки не осталось, есть куча народу, которые уверенны, что это функция останется опциональной. Зная попен сорс вообще, и Мозиллу в частности, уж не говоря о том что "Firefox does not yet use DoH by default." (s) - это будет включено осенью/в конце года.

[pan_2]

>>Вы ушли от ответа. Я спросил "какую практическую пользу". Какая разница кто куда кого редиректит во времена повсеместного использования HTTPS / SSL

[klink0v]

Здрасти-мордасти! CDP носит чисто справочный характер. А все цепочки X509-сертификатов в конечном итоге упираются в CA, который лежит локально (на жёстком диске, флешке и т.п.). Если бы работа SSL действительно настолько зависела бы от DNS, то ей была бы грош цена. Подучите матчасть, дяденька.

[pan_2]

Ну во-первых не локально, а в списке Trusted Root CA.
Во-вторых - на свете нет публичных сертификатов для веба выданых Root CA, всегда выдача идёт через Issuing CA, а вот они как раз могут не быть в системе, и для них идёт построение цепочки.
В-третьих, я не стал вдаваться в технические нюансы конкретно этой атаки, она - как пример что можно сделать. В конце-концов, случаи выдачи валидных сертификатов (и тыренья валидных) для левых дел - известны, так что построение доверенной цепочки - не так уж сложно. А вот направить клиента в нужное русло раньше можно было только действуя на последней миле, а вот с помощью DoH, находящегося в нужных руках - гораздо проще.

[klink0v]

Господин pan_2, не позорьтесь пожалуйста. И не пишите всякую совсем уж откровенную ерунду. Я уже понял, что вы вообще не в теме как работают механизмы X509. Если захотите продолжить предметный спор - будьте добры всё-таки изучить основные принципы X509. А эти и прочие ваши фантазии насчёт китайских шпионов мне комментировать уже не хочется. С теориями заговора можете податься на какое-нибудь телевизионное ток-шоу, там это любят.

[pan_2]

Ну да, куда уж мне, яж сертификаты только вчера увидел, 1T/2T только в фантазиях разворачивал, ага.

И можете считать теорией заговора что угодно, практика от этого не изменится - все постоянно ищут лазейки куда залезть. Специально для вас есть даже статья Chinese intelligence activity abroad, рекомендую ознакомиться, сколько людей с "теориями заговора".

И да, кроме CDP есть ещё и CRL, куда более важный для потдверждения валидности предявленного сертификата.

[klink0v]

Не знаю где вы там что разворачивали. Я делаю свои выводы на основании того, что вы пишете здесь и сейчас.

Насчет CRL вопрос интересный. С одной стороны, он точно так же подписывается CAшкой и имеет ограниченный срок действия (обычно около суток), так что взять и подделать его не получится. С другой стороны, как будет действовать браузер, когда не дождется ответа от CRL-сервера? Мои наблюдения показывают, что потупит-потупит, да и пропустит. Но всё равно такие атаки - что-то на уровне фантастики. Слишком много звёзд должны сойтись в одном месте. Ну и да, по большей части нонче в реальном мире от CRL уже отказались в пользу Stapled OCSP.

[pan_2]

>>пишете здесь и сейчас.
Это всегда ключевое, потому что даже старуху бывает порнуха. В смысле поднимаю лапки, цдп ненужен, сервер отдаёт цепочку сам и всё такое.

>>С другой стороны, как будет действовать браузер, когда не дождется ответа от CRL-сервера?
Зависит от браузера, потому что если используется системный certificate services, то это касается ОС целиком. Для вин* как раз стандартное поведение - проигнорировать, Поданс хорошо это расписывал.

>>Слишком много звёзд должны сойтись в одном месте
Да на самом деле нафиг не нужны такие сложности. Напомню, что истории с Реалтековским сертификатом уже 8 лет - раз, а два - когда ЦС под колпаком (а тот же Верисайн ловили на тёмных делишках), то даже нет необходимости морочиться со звёздами, просто приходишь и получаешь сертификат и ключик - всё, заруливай трафик на себя, читай плейн-текст. В этих условиях даже 2FA во многих случаях не поможет никак, опять-таки - будет иллюзия безопасности, вместо безопасности.