Pull to refresh

Comments 15

Не слышал раньше про Fastly, по крайней мере так громко…

Ох, мои бедные глазки… Как бы это развидеть?
гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно
ODoH — это прокси, не связанный с целевым преобразователем
После получения прокси-сервер пересылает запрос указанной цели. Затем цель дешифрует запрос, выдает ответ, отправляя запрос рекурсивному преобразователю
Зашифрованный запрос от клиента содержит инкапсулированный ключевой материал,
UFO just landed and posted this here
Шаг первый: создать технологию обеспечения безопасности. Шаг второй: доказать, что человек имеет право применять эту технологию.
Для тех, кто ничего не понял из статьи, цитата из черновика, из которой всё понятно:
This document describes an extension to DNS Over HTTPS (DoH) that allows hiding client IP addresses via proxying encrypted DNS transactions. This improves privacy of DNS operations by not allowing any one server entity to be aware of both the client IP address and the content of DNS queries and answers.

Непонятно почему нельзя использовать обычный http прокси?

о, одна короткая цитата на английском, понятнее чем целая статья на русском.
короче это протокол прокси для DoH, чтобы DNS сервера не знали IP клиентов, запрашивающих адрес.
Может быть, чтобы те, кто поднимают такие прокси, были уверены, что их не станут использовать как прокси вообще для всего? Ну и возможно узкая специализация позволяет организовать более быструю обработку запросов. Как мне видится, как минимум можно время сэкономить на том, что не нужно делать HTTP CONNECT и указывать куда именно ты хочешь подключиться перед тем, как вообще начинать HTTPS-подключение.

P.S. Это только предположение. Черновик дальше краткого описания не читал. Наверняка можно сказать только после детального ознакомления с тем что там предлагается.
только непонятно как добавление в схему прокси-сервера(причем такого, который не может кэшировать, потому что не знает запроса) может сокращать время запроса вдвое
Присмотритесь к графику. Оно быстрее, чем DoH через Tor, но медленнее, чем DoH напрямую.
Да все нормально. Раньше влезть в DNS запрос мог только провайдер или «третье лицо». В данном варианте все запросы/ответы будут централизованно перехватываться/
хранится.
А с новым расширением к протоколу — хранить это станет бессмысленно, потому что сам Cloudflare не сможет сказать, кто какие запросы делал: вместо пары IP-клиента\запрашиваемый-домен — будут пары IP-прокси\запрашиваемый-домен. И у владельцев прокси не спросишь — они хоть и видят IP клиентов, но не смогут видеть внутренности запроса.

На удивление неплохой ход, однако.
Если только эти прокси не будут принадлежать самой Cloudflare.
Речь идет именно про владельцев прокси.
И у владельцев прокси не спросишь — они хоть и видят IP клиентов, но не смогут видеть внутренности запроса.

А разве подмену сертификата на прокси уже отменили?
Отменили. У вас не выйдет подменить сертификат так, чтобы браузер не заметил и не отказался продолжать соединение. Поэтому и безопасно пользоваться Тором, если вы гоняете через него только HTTPS.
Sign up to leave a comment.

Other news