Comments 76
Ни то, ни это не вариант. Что гугл может устроить подлость, что провайдер, на равных. Просто они решили потягаться за лакомый кусок.
И гуглу плевать, что роскомнадзор запретил сайт телеграмма, потому что Дуров отказался отдать ключи шифрования нашим доблестным ФСБ. И гуглу плевать, на посещение сайтов, где «не очень лестно пишут о нашей власти», а вот местные провайдеры могут и «стукануть», и вот у тебя на пороге стоят местные «сотрудники» (а не гугловские) по причине того, что ты за того проголосовал, не туда посмотрел.
Ибо если провайдеры его продавят, то гуглу будет тяжко…
В итоге, DoH как раз и обеспечивает устранение монополии провайдера на владение всего траффика пользователя.
А с цензурой в РФ он особо не поможет, ибо по доменам мало кто из провайдеров режет запрещённое для русских.
А с цензурой в РФ он особо не поможет, ибо по доменам мало кто из провайдеров режет запрещённое для русских.
Откуда такая статистика?
Есть одна старая статейка со статистикой:
DPI_IP — блокирование с использованием DPI, который проверяет блокируемый URL только на определенных IP и 80 порту.
DPI_FULL — блокирование с использованием DPI на всех IP и всех портах.
IP — блокирование по IP-адресу.
DNS_SPOOF — подделка A-записи от DNS-сервера.
DNS_REDIRECT — перенаправление DNS-запросов от не-провайдерских DNS-серверов на провайдерский.
DNS_BLOCK — блокирование не-провайдерских DNS-серверов.
ValdikSS, есть статистика по новее?
Поэтому и без пруфов.
Думаю, если нужны пруфы, то лучше у ValdikSS спрашивать.
Может Эшер ещё подскажет, но первый в этом деле более авторитетный.
Пока не запрещает.
А нет, уже запрещает.
Google не планирует предоставлять пользователям возможность выбора сервера DoH в браузере Chrome.
https://blog.chromium.org/2019/10/addressing-some-misconceptions-about.html
Добро пожаловать в уютненькое гетто.
Because we believe in user choice and user control, we have no plans to force users to change their DNS provider.
и чуть дальше:
We’re simply enabling support in Chrome for secure DoH connections if a user’s DNS provider of choice offers it.
Перевожу с политкорректного на реальный.
- Выбора у пользователей нет.
- DoH будет применяться если в прописанных текущих настройках DNS сервис его поддерживает.
- Если сервис из п.2 включён в "белый список" Google.
Если походить по связанным ссылкам из этой статьи можно даже найти e-mail, куда, если вы большой и вас любит Google, можно писать запросы на включение в этот список.
http://lists.encrypted-dns.org/scripts/wa-ENCDNS.exe?A2=ENCRYPTED-DNS;f98e120c.1910&S=
Текст явно говорит, что выбрать пользователь может только в рамках предоставляемого Google выбора.
Но вы, вероятно, можете, здесь и сейчас, развеять всю эту "конспирологию" продемонстрировав как подключить ваш собственный DoH сервер в Chrome, как это, к примеру, можно сделать в Firefox.
Ведь можете, правда?
Текст явно говорит, что выбрать пользователь может только в рамках предоставляемого Google выбора.
Текст этого не говорит. Учите английский.
We’re simply enabling support in Chrome for secure DoH connections if a user’s DNS provider of choice offers it. Chrome will check if the user’s DNS provider is among a list of participating DoH-compatible providers and if so, it will enable DoH. If the DNS provider is not on the list, Chrome won’t enable DoH and will continue to operate as it does todayЕсли выбранный пользователем DNS-провайдер работает с DoH, то он будет с ним работать, если нет, то будет работать без него.
For the experiment, we’ve intentionally kept the list small but reasonably diverse.
Here are the providers that we have selected in alphabetical order:
- Cleanbrowsing
- DNS.SB
- OpenDNS
- Quad9
Вы в точности подтвердили мой пост из трёх пунктов.
Свой DoH сервер подключить нельзя = выбора у пользователя нет.
Если вы утверждаете противоположное, милости прошу продемонстрировать эту возможность для Google Chrome, как я и просил чуть выше.
Кастомные сервера задаются через шаблоны DoH templates. Сейчас идет речь об эксперименте для небольшого числа пользователей. Если почитать документ, то станет ясно, что задача далеко не тривиальная и не решается «просто включить DoH». Тот список серверов это всего лишь автоматический юзер френдли режим (automatic), когда днс сервер в системе сверяется со списком и происходит автоматическое включение DoH, если он такое поддерживает. Стоит у вас 1.1.1.1 в системе — хром сам переключится на DoH. Когда эксперимент окажется успешно, они начнут выносить это на UI вместе с той самой опцией шаблонов, чтобы хром выбирал из пользовательского набора DoH серверов.
А добавиться в список можно здесь www.chromium.org/developers/dns-over-https Ничего искать и ходить долго по ссылкам не надо для этого.
Ещё раз. По буквам.
Свой DoH сервер включить в Chrome нельзя. Можно только предодобренный Google.
А добавиться в список можно здесь
Добавите свой (если нет, ок — мой, который уже несколько месяцев успешно работает с Firefox) DoH туда? Сомнительно...
Добавите свой (если нет, ок — мой, который уже несколько месяцев успешно работает с Firefox) DoH туда? Сомнительно...
Сомнительна идея пытаться добавить туда свой личный сервер. Вашим сервером пользуется полмира? Нет, а значит и быть в списке ему незачем, по определению. Задача этого списка сделать прозрачным включение DoH для большинства пользователей без необходимости что либо настраивать. Это требует иметь курируемый список адресов. Хотите свой добавить — милости просим в DoH templates
Ну, то есть, не только ваш английский, но и, как выяснилось, русский, какой-то совсем другой. Настолько другой, что простого экспериментального доказательства вашей правоты (и, следовательно, моего заблуждения) не будет.
Ок. Капитуляция принята.
Этот "дизайн документ" вы, судя во всему, впервые увидели в предоставленных мною ссылках.
Ещё раз, прошу продемонстрировать каким образом в Google Chrome прописать свой собственный DoH сервер (не из предодобренного списка) так, чтобы он работал.
В противном случае вы — лжец.
Ответа, впрочем, не жду...
Выше вы сказали:
А нет, уже запрещает.
Будьте так любезны, процитируйте релевантный фрагмент где вы увидели «запрещает».
Что касается «белого списка» — там же явно написано, что это в рамках эксперимента, и я даже могу понять почему список существует и ограничен — чтобы пользователь случайно не выстрелил себе в ногу, поставив там провайдера который не поддерживает DoH, со всеми вытекающими.
Рассматривать невозможность вносить свой сервер на этапе эксперимента, пока всё отлаживается, как «запрет» — это несколько притягивать за уши.
Если выйдет версия Хрома с «релизом» DoH (т.е. после окончания эксперимента), где будет жёстко ограничен «белый список» и где не будет возможности ставить свои сервера — вот тогда можно будет говорить о «запрете», хотя даже в этом случае Хром не будет единственным браузером.
Я понимаю ваше беспокойство и неверие в добрые начинания Гугля, но всё же давайте будем последовательны — на данный момент ни о каких запретах или принуждениях речи нет, и декларируются вполне адекватные намерения.
«user’s DNS provider of choice»
Конечно. Только DoH работать не будет, даже если он поддерживается но не одобрен Google. Как это обстоит, кстати, и в Android.
Вот такой "user's choice".
Спасибо, что вы увидели "белый список". Если для вас невозможность использовать DoH сервер не из предоодбренного Google списка не является запретом, то, видимо, у нас расхождения в элементарной логике.
Посмотрите выше дискуссию. Даже не знаю, что ещё можно добавить с моей стороны.
декларируются вполне адекватные намерения
Адекватные изменения сделаны в Firefox, поскольку пользователю не запрещается использовать любой желаемый DoH по его выбору. А тут, извините, пока гетто. Исключительно в целях заботы о пользователях, конечно.
Пока же вы утверждаете что отсутствие возможности сделать что-то в экспериментальном продукте является запретом. Тогда можете добавить в список запретов dig в текущих дистрибутивах — там тоже нельзя выбрать не то что свой, а вообще какой-либо DoH.
Впрочем, процитирую самого гугля:
For a first milestone, we are considering an auto-upgrade approach.
…
… this would upgrade the protocol used for DNS resolution while keeping the user’s DNS provider unchanged.
Как можно увидеть — исключительно в целях заботы о пользователях, да.
Я, кажется, понял. Без слова "запрет" в тексте отсутствие возможности сделать свой, отличный от Google, выбор для вас запретом не является.
Ну ок.
Или вы утверждаете что вас изолировали от мира, интернета и заставили пользоваться только этой бета-версией хрома, причем без права апгрейда, да ещё и пожизненно?
Впрочем, неважно. Ставьте файрфокс, я не против.
Релиза фичи еще нет, с-но, и запрета никакого нет. На данный момент официально хром не поддерживает DoH ни в каком виде, ни с белыми списками, ни без них. Вот когда поддержка появится — тогда и можно будет обсуждать наличие возможности выбрать свой сервер.
Кстати говоря, точно та же политика Google, когда пользователь не может использовать свой собственный DoT или, для любителей оверхеда — DoH, сервер, действует и на Android.
Ситуацию надо, конечно, менять на другом уровне. И вводить шифрование в протокол повсеместно
Любопытно, что за DoH топит EFF который через собственный Let's Encrypt уже, по факту, централизовал выдачу TLS-сертификатов.
Технологически препятствий нет. Практически же надо добиться чтобы корневой сертификат, которым вы будете подписывать выпускаемые таким сервисом сертификаты, был в списках доверенных в браузерах и операционных системах.
А смысл провайдеру поднимать свой DoH, если назначение DoH — скрыть от провайдера и прочих посредников запросы DNS?
Между провайдером и браузером пользователя обычно нет посредников кроме модема и ОС пользователя, причём модем обычно предоставляется самим провайдером, который и апдейты прошивки удалённо устанавливает.
Поднять-то проблем нет… но сегодня Гугл "не планирует" менять настройки DNS у пользователей, а завтра может взять и "в целях безопасности" поменять.
Вы будете смеяться, но буквально вчера Comcast включил экспериментальную поддержку DoT, а в течение недели обещает и DoH.
Впрочем, поднятых проблем это не решает.
Даешь DNS на основе блокчейн! Что бы у каждого пользователя была локальная актуальная база DNS!
Интересно, какой вообще объем у базы данных всех доменов первого уровня...
Первого?
Небольшой, их всего-то полторы тысячи.
Google (с примкнувшей к ней Mozilla)И это при том, что Mozilla начала внедрять DoH в свой браузер намного раньше, чем Google. Если на то пошло, Mozilla «примкнула» к Cloudflare, и довольно плодотворно: помимо DoH уже тестируют Firefox Private Network. Какие бы там ни были интересы у Cloudflare, но вклад в борьбу с цензурой они вносят всё больший.
«Конгресс должен поддержать системное принятие DoH, чтобы закрыть один из самых больших пробелов в приватности, оставшихся в интернете, одновременно продвигая дело свободы интернета во многих частях мира, остро нуждающихся в нём», — сказано в письме EFF.Я не понял, а какое отношение какой-то там конгресс имеет к внедрению одного из протоколов в IT?
Comcast лоббирует запрет на шифрование DNS