Как послать провайдера подальше, и включить DNS по HTTPS в любом браузере

[Radjah]

Инструкция занятная. Firefox и 5 «скинов для хромиума».

[JustDont]

Выбор браузеров, которого мы достойны.

Через несколько лет наступит очередная эра IE6, только IE6 будет называться Chromium.

[Zenitchik]

Так она уже наступила. IE5, 5.5, 6 тоже сосуществовал с парой малопопулярных браузеров.

[JustDont]

Ну да, плохо написал. Эра-то уже наступила, через несколько лет пойдёт первая волна последствий.

[Zenitchik]

Если рассуждать по аналогии, то через несколько лет начнётся следующая итерация появления «альтернативных браузеров».

[AllexIn]

Сложность браузеров невообразимо выросла. Сделать сейчас браузерный движок, который сможет вытянуть все актуальные веб технологии — задача сложная.
Поэтому как практически перестали появляться десктопные ОС, так и браузерные движки перестали появляться.

[Finesse]

Весь этот зоопарк API просто проигнорируют: текущие API станут устаревшими, на смену им придут более простые API. Это тоже было в истории с IE. jQuery снова станет актуальной.

[Gamliel_Fishkin]

удалить все устаревшие интерфейсы, а старые сайты преобразовать в новый формат (гугл с помощью своих турбо-страниц такое вполне может обеспечить). То есть гемор по поддержке старых сайтов с плеч браузеров переложить на плечи поисковиков. Да, прямые ссылки на старые сайты перестанут работать.

Это было бы удобно спецслужбам, цензорам и т. п.: чем блокировать 100500 сайтов, достаточно было бы приказать нескольким поисковикам. Разумеется, внутренне свободным людям, желающим быть людьми, а не стадом, такое не подойдёт.

[Balling]

Инструкции дерьмо, вот рабочая для chrome. Пишите в ярлыке
--enable-features="DnsOverHttps<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:Fallback/true/Templates/https%3A%2F%2Fcloudflare-dns.com%2Fdns-query", а то после обновления до 78 старье не работает.
bugs.chromium.org/p/chromium/issues/detail?id=1026201&can=1&q=Dns%20over%20https

Для этого не надо ждать пока google подключит вас, но и менять ваше dns тоже не надо в настройках windows, класс да!

Если у кого не влезает в ярлык, можно добавить переменную окружения, а в ярлык добавить просто саму переменную в знаках процентов.

[abrwalk]

У меня не завелось, пробовал через cmd и через бар totalcmd (там хватает места). Dns leak test говорит что стоят гугловые днсы (как в системе). проверял тут browserleaks.com/ip

А в Firefox-е же при включенном DoH — только один IP — Cloudflare.

[Balling]

Проверять надо тут. 1.1.1.1/help
И Fallback/true на false замените. Но наверное они ещё полную изоляцию не допилили. И в firefox у меня вообще сайт dnsleak не открывает, а в вашем сайте тоже пишет dns сервера моего провайдера (в лисе, опять таки).

[Sabubu]

Благодаря этому Chrome не перехватывает DNS-настройки ОС – это очень ответственный подход, поскольку браузер может использоваться в условиях больших предприятий.

Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей? Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH и сидеть на работе в соцсетях.

ОС пользователя обычно получает настройки DNS от авторитетного сетевого центра, коим обычно выступает провайдер. Если провайдер не хочет использовать DNS с поддержкой DoH, то у вас это и не будет работать.

Смысл DoH как раз в том, чтобы не передавать данные о посещенных сайтах провайдеру и садистам из правоохранительных органов. Гугл же сливает протест идею с полным шифрованием трафика от местных коррумпированных властей. В демократии же гарантируется тайна переписки? Ну так давайте добавим к словам на бумаге технические меры по ее обеспечению, а судьи со своими законами могут идти туда, куда им укажут пользователи.

Все критикуют реализацию DoH в Firefox потому, что браузер по умолчанию использует Cloudflare, перезаписывая настройки DNS.

В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.

Поскольку британское правительство возражает против этого, для британских пользователей эта поддержка по умолчанию включена не будет.

Слабаки.

Я сам включил в фаерфоксе DoT при первой же возможности,

[taliano]

Все нормально. Пользователи Chrome должны страдать.

[Mur81]

Почему из-за админов на никому не интересном предприятии они ухудшают продукт для пользователей?

Во-первых при чём тут админы? Вы понимаете вообще, что на предприятиях могут быть внутренние WEB-ресурсы, доступ к которым естественно через внутренний DNS?
Во-вторых что это за такие никому не интересные предприятия? Вообще как бы на предприятиях зарабатываются деньги, а люди там получают зарплату, на которую живут. Или браузер нужен только что бы котиков смотреть?
И главное в Chrome это пока реализовано на уровне экспериментальной фичи (достаточно трафик поснифать, что бы понять что сейчас это костыль). Я надеюсь, что в релизе это будет сделано по человечески, в частности будет нормально настраиваться через настройки и через GPO.

[Sabubu]

Плевать на предприятия. Пусть предприятия используют специальный браузер для предприятий (майкрософт выпустит вам такой, в крайнем случае исходники открыты, пусть админ соберет что нужно) без шифрования и протокол HTTP, а нормальным людям надо оставить шифрованный браузер.

История показывает, что коррумпированные (читай: все) правительства ведут незаконнную слежку и их невозможно привлечь к ответственности. Потому шифровать нужно все, что можно, пользуясь тем, что это пока не запрещено, а если запретят, то шифровать подпольно. Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать. Они хотят знать о вас все, а вам о них и об их доходах знать не положено. Потому шифровать свои данные от них нужно хотя бы их принципа.

А без GPO массовые пользователи вполне могут обойтись.

[Rampages]

На предприятии тоже может быть MitM атака, поэтому трафик в локальной сети должен быть тоже защищен и обойтись без шифрования не получится.

И вроде как в нашем государстве нельзя шифровать так, чтобы правительство не могло это расшифровать (ну тут без ссылок, мне влом разбираться в этом вопросе в данное время). Ну и помнится всякие АТС и коммутаторы с определенными функциями шифрования должны обязательно получить разрешение ФСБ, без ФСБ ни купишь/ни продашь.

Ну тут как бы надо понимать, что по идее правительство == люди, люди == вы. Правительство не враг. Просто есть люди в правительстве, которые злоупотребляют правами или лоббируют интересы третьих сторон, а вообще там идут те еще игры престолов.

Наверное это правительство, которые мы заслужили. Нету активной гражданской позиции, ни у меня, ни у моих знакомых/друзей/родственников, а те у кого она есть сидят в одной партии. Все привыкли к правлению Единоросов, а до этого к ком.партии.

[Garbus]

Правительство не ваши друзья. Их цель — сделать все, чтобы вы молчали, терпели, платили и работали без выходных и отдыха тот короткий промежуток времени, пока вы еще можете работать.

Открою страшный секрет — корпорации в этом пункте ничем не отличаются от правительства. И чем больше размер корпорации и её захват рынка тем сильнее это выражается.
А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?

[Sabubu]

Верно, мораль и мотивация у глав корпораций и глав правительств одинаковая. Глава компании тот же рабовладелец в душе. (Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда? Работники сами голосованием будут устанавливать режим труда, зарплату, выбирать руководство. Разумеется, не отобрать сразу, а постепенно, дав хозяину возможность выжать оставшуюся прибыль. Как с крепостными было.)

Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.

[wholeman]

Да Вы, батенька, прям коммунист. Жаль, что Хабр не для политики.)

[Garbus]

Не, коммунист получится такой себе. Пока в уравнении будут присутствовать деньги как цель и мерило успеха — коммунизм будет «ненастоящим».

Работники сами голосованием будут устанавливать режим труда

И неизменно вылезает вопрос компетентности. Работник уделяющий пол часа в неделю вопросу управления заводом, гарантированно будет хуже чем специально выделенный человек. Вот только куда будет «рулить» этот человек, самый сложный в решении вопрос.

[Gamliel_Fishkin]

Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами, не отправит вас в СИЗО, не сфальсифицирует дело и не заставит судью вынести незаконное решение.

Я далеко не марксист, но Маркс, можно сказать, ответил на Ваши слова: «ради прибыли капиталисты способны на любое преступление».

[Zenitchik]

Маркс — про моральную способность, а Sabubu — про физическую.

[Gamliel_Fishkin]

Вы думаете, у них нет технической возможности?

Четыре года назад при не вполне ясных обстоятельствах был убит один из ключевых разработчиков Linux'а. Разве это убийство не может быть выгодно некоторым софтверным гигантам, чьи сверхприбыли могут оказаться под угрозой из-за распространения Linux'а?

[wholeman]

Про это он тоже писал, что государство обслуживает интересы господствующего класса, т.е. при капитализме — тех самых корпораций. Если корпорации сочтут, что вы представляете для них опасность, они при помощи государства на вас воздействуют.

[diakin]

>Кстати, что вы думаете об отмене частной собственности на компании и >передаче управления в руки коллектива в целях улучшения условий труда?
Создай свою компанию, выведи ее в прибыль и передай в руки трудового коллектива, который будет принимать управленческие решения путем голосования. И всем будет счастье.

[firk]

Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.

В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.

[diakin]

Смысл моего ответа был в том, чтобы показать автору утопичность его предложения. Начни с простого — создай прибыльный бизнес. На этой фразе можно было бы обсуждение и закончить. Но можно еще подумать о том, что трудовой коллектив к процессу создания бизнеса не имеет отношения от слова «совсем». Цель трудового коллектива — побольше получать и поменьше работать, а не вкладываться в бизнес. Думать иначе — это утопия.
Условия труда и отношения предприятия и наемных работников регулируются действующим законодательством, социальную защиту обеспечивает государство. Задача бизнесмена -эффективно вести собственный бизнес, иначе прогоришь.

[wholeman]

Цель трудового коллектива — побольше получать и поменьше работать

Для чистильщика сортира — полностью согласен. Программисты же вполне могут вкалывать, потому что это им нравится. Если при этом лучшая работа ведёт к лучшей зарплате напрямую, без участия компании, которая отгрызает себе хороший кусок дохода, то это вообще идеал (если не учитывать риск провала, конечно).

[flx]

>Цель трудового коллектива — побольше получать и поменьше работать

В пределе ты вообще не работаешь ни секунды, ты просто делаешь то что доставляет тебе удовольствие и хорошо у тебя получается.

[wholeman]

Это всё равно работа, даже если доставляет удовольствие.

[flx]

а как тогда назвать то чем занимаются сотрудники макдональдс?
ну или любое другое трудоустройство где люди считают секунды до окончания рабочего дня?

невозможно же два принципиально разных явления называть одним словом.

[geher]

Почему принципиально разных?
Человек получает деньги за деятельность, полезную для клиентов.
Его личное отношение к деятельности рассматривать можно, и это позволит классифицировать работу по этому параметру, но общий признак таки позволяет назвать любую работу работой вне зависимости оттого, приносит ли она удовольствие, а если приносит, то весь ли рабочий день.

[wholeman]

Вообще-то можно. Но в данном случае явления принципиально отличаются только с точки зрения работника. Со стороны и процесс, и результат могут выглядеть совершенно одинаково.

[diakin]

Откуда берется «лучшая работа» без участия компании? То есть надо замутить свой бизнес и перейти из категории «трудовой коллектив» в категорию «бизнесмен». А там глядишь и до найма персонала дойдет, не самому же в офисе подметить. И зарплату персоналу платить придется… из своих доходов… А коллектив проголосует — сколько им надо.

[wholeman]

Лучшая работа возьмётся из желания получить лучший результат. Кстати, это может быть не только зарплата, но и сам результат работы (например, ПО). Схемы могут быть различными, например, некий фонд.

[flx]

ну тут вы как минимум не правы.
имеет и еще какое. и что-то похожее на управление коллективом у нас и есть…

[Sabubu]

Но разве не так же рассуждали землевладельцы в средние века? "Крестьяне только и хотят поменьше работать на барщине и побольше оставлять урожая себе. Пусть пойдут захватят новые территории, получат дворянский титул и отменяют крепостное право в своем домене сколько влезет."

Вы начнете возражать, мол, никто тебя к градообразующему предприятию цепью не привязывал, вместо работы 8 часов за станком за копейки ты можешь 12 часов в сутки катать тележки в магазине за меньшие копейки. Ну так это как возможность в Юрьев день перейти к барину подобрее.

Разве я не прав? Поясните пожалуйста.

Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата? Разве работники не лучше знают, какая зарплата им нужна?

И я не считаю себя сторонником коммунизма, не сторонник того, чтобы людей отправляли в ГУЛАГ или сажали за антисоветские разговоры.

[diakin]

Почему, например, установлена такая-то продолжительность трудового дня, или такая-то зарплата?
Чтобы защитить работников от переработки и произвола с зарплатой конечно.

Разве работники не лучше знают, какая зарплата им нужна?
Работники-то знают, но может случиться так, что в сумме хотелки превысят выручку предприятия за тот же период. И какое решение тогда примет трудовой коллектив? Как будет выходить из положения?

[firk]

Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.

[diakin]

Хорошо, отбросим мою некорректную аргументацию, хотя речь там шла о другом.
Трудовой коллектив не может управлять предприятием, потому что в рабочее время он должен работать, а не на собраниях сидеть. Думать иначе — это утопия.

[shogunkub]

Не понял, если честно, почему управляющие — не часть трудового коллектива. Да и опять же, в Швейцарии вон половину важных вопросов референдумами решают, и вроде неплохо живут. Что позволяет вам утверждать, что управление Швейцарией сложнее управления средним предприятием?

[diakin]

Директор (управляющий) это администрация предприятия, обычно она противопоставляется трудовому коллективу. Задача управляющих — обеспечить прибыльность предприятия, интересы трудового коллектива защищает обычно профсоюз. Трудовой коллектив за прибыльность предприятия не отвечает. Стратегические вопросы решает собрание акционеров или совет директоров. И то эти решения предварительно готовят и только выносят на голосование. Проведя предварительно агитацию ).

[fpir]

Я видел такое, при Горби пошла мода на выборы директоров. В общем-то это органично вписывалось в социалистическую идею. Как правило, рабочии и служащии прекрастно знали, кто какой специалист. Видел и опракидывающие выборы, когда *удака меняли на более приличного. Конечно, исселедование этого вопроса не проводил, но субективно — чаще был положительный эффект.

[geher]

Глава корпорации пришлет к вам СБ корпорации с "электрошокерами", отправит вас в подвал или сфальсифицирует доказательства вашего участия в "ограблении компании на астрономическую сумму", чтобы подать на вас в суд.
Если у него связи в спецслужбах и в суде, то может и судью попросить, и дело сфальсифицировать, и сотрудников спецслужбы приехать за вами.

[Vilgelm]

Кстати, что вы думаете об отмене частной собственности на компании и передаче управления в руки коллектива в целях улучшения условий труда?

Вы, конечно, не у меня спрашивали, но не могу пройти мимо: ничего не получится, но в итоге поменяется собственник. И этому есть доказательства, потому что нечто подобное уже происходило всего-то менее чем 30 лет назад в России, называлось ваучерная приватизация.

И это нормально, во-первых, потому что большинству людей это нафиг не сдалось, во-вторых, потому что когда все миноритарии, то к сожалению ничего не взлетит, потому что как минимум часть людей будут жить по принципу «раз я тут миноритарий, то пойду с****у пару болтов, ну а че».

[Gamliel_Fishkin]

А все эти браузеры внезапно делают за деньги. Из чистого альтруизма наверное, а совсем не с целью захвата рынка?

Акулы вроде Microsoft и Google — с целью захвата рынка, да. А, например, Mozilla? Есть акулы, но и есть и романтики.

[Vilgelm]

Не отличаются. Но корпорации, какие бы крупные они не были, по сравнению с правительствами щенки просто. Корпорация не может настолько сильно влиять на вашу жизнь (не посадит вас в тюрьму без содействия правительства), у корпораций есть конкуренты, к которым вы можете уйти и так далее. А правительство — это мегакорпорация с абсолютной властью и без конкурентов, к которым вы можете перейти (ну или по крайней мере это намного сложнее, чем купить вместо Pixel iPhone или наоборот).

[Garbus]

Ну разве кому то легче, если он потратится на судебные разборки исключительно по закону? Или внезапно оказывется что мелкие магазины в округе «кончились», а в супермаркетах продукты не особо свежие, не вызывающие энтузиазма при покупке. Или вся земля у твоего дома внезапно куплена под что-то «эпическое» и предлагают отдать за копейки?
Вариантов законного давления много, вот только и пользоваться ими легче тому у кого денег больше.

[Vilgelm]

Если у вас какой-то застройщик будет отжимать землю, то вы можете побороться. Варианты будут всякие разные, начиная от вашей смерти заканчивая тем, что вы останетесь жить где жили, а вокруг возведут кучу домов если вы не сможете договориться по цене.

Если государство у вас решило отжать землю, то тут вариант ровно один: государство ее получит, бороться бесполезно. В этом и разница.

[Garbus]

Ну это всё как сравнивать тигра за стеклом и гуляющего на свободе. Будет возможность — оба с удовольствием «поиграют» с зазвевашейся обезьяной.
P.S. Эм, что то сплошная политика пошла. Хватит пожалуй.

[Vilgelm]

Так я и не отрицаю. Я просто говорю о том, что государство — это мегакорпорация, у которой есть абсолютная власть на определенной территории и нет конкурентов на ней же. И если выбирать из двух зол, то тигр за стеклом представляет меньше опасности пока он за стеклом.

[Gamliel_Fishkin]

[Garbus]

Вот только на практике почему то рассказывают о стрельбах по мирным гражданам/школьникам, а не по чиновникам или не угодившему чем начальству…
Впрочем, СМИ не показатель, статистику по отношениям пострадавших наверняка не распространяют.

[Gamliel_Fishkin]

Есть громкие голоса, требующие запретить (не разрешать) иметь оружие всем, кроме профессиональных стрелков. Однако в результате использования автомобилей гибнет во много раз больше людей, чем в результате использования оружия. Почему же не слышно столь же громких голосов, требующих запретить вождение автомобиля всем, кроме профессиональных водителей?

Иногда преступления с использованием оружия совершаются полицейскими (милиционерами; один из примеров — Евсюков). Означает ли это, что у полицейских не должно быть оружия?

В США в одних штатах граждане могут иметь оружие, в других нет. И преступность ниже в тех американских штатах, где гражданские могут быть вооружены. Как заметил, если не ошибаюсь, Томас Джефферсон, запрет на оружие разоружает только тех людей, которые не собираются совершить преступление.

[Garbus]

Вообще, я о запрете не говорил ничего. А то можно вспомнить Японию, где запрет на удивление эффективен. Или Мексику с Африкой, где этим самым оружием почему то никак не наведут «всеобщее благополучие»…
Оружие всего лишь возможность, от воспитания и настроя общества зависит как ей могут воспользоваться.

[Xenotester]

В Японии скорее эффективен не запрет оружия, а сдержанность, привитая во время воспитания. Ну и смертная казнь через повешение за убийство. А ещё сочетание казни и близости моря может «конвертировать» некоторые убийства в пропажу без вести.

[Garbus]

Ну об этом примерно и написал. Что сдержанность — она не пистолетом в кармане образуется, а воспитанием. Я смотрю скорее со стороны случайных применений, типа играющих детей, или выпивших и решивших показать удаль.

[BiW]

Мало того, что костыль, так и в версии для Linux не поддерживается.

[rupas_k]

в плане обеспечения безопасности предприятия данные с DNS являются достаточно полезным индикатором. Поэтому фраза: " Плевать на это предприятие, пользователи будут только рады обойти фильтры с помощью DoH" не совсем корректна.

[Dr_Sigmund]

В этом и смысл, не давать DNS-данные коррумпированому провайдеру, не уважающему права человека.

Ну конечно, гораздо лучше отдать их невесть где сидящим админам какой-то американской компании. Они спать не могут, всё думают, как бы наши права посильнее уважать.

[Dr_Sigmund]

Увы, но наши провайдеры вынуждены подчиняться законодательству страны

Почему «увы» — они что, не должны ему подчиняться?

к которому (и к практике соблюдения которого) есть много вопросов

А к американским компаниям вопросов нет?

Но есть небольшое отличие: глава корпорации не пришлет к вам ФСБ с электрошокерами

Для начала, чтобы к тебе пришло ФСБ, надо им дать какой-то довольно серьёзный повод, по щелчку пальцев они не появляются. А глава американской корпорации, конечно, их прислать не может. Зато можно, выехав за границу, внезапно оказаться в местной тюрьме с перспективой выдачи дяде Сэму. Например: news.rambler.ru/articles/37391734-5-russkih-hakerov-arestovannyh-za-rubezhom

[Pavel1114]

www.youtube.com/watch?v=Dp2DfGh-QG0
Не по щелчку конечно. Но и без особых усилий. У них вроде сейчас и другой работы то нет

[Dr_Sigmund]

Даже вашей обрезанной версии достаточно, чтобы услышать про группу «Русскоязычный бандеровец», а если посмотреть чуть более полную версию этого видео, то становится понятно, что чувак — нацик-отморозок. И таким ФСБ действительно должно наносить визиты вежливости. Я, как гражданин и житель РФ, всецело это поддерживаю.

[Pavel1114]

Действительно с этим видео я ошибся. Хотя сама формулировка «по факту размещения вами комментария в социальной сети», конечно, сильная. Если он террорист, то и сажать его надо за терроризм. А за комментарий, какой бы он не был, сажать нельзя.

[Dr_Sigmund]

Если он террорист, то и сажать его надо за терроризм.

Так он пока не террорист — не зарезал никого, не взорвал ничего. Его берут именно за то, что он совершил — «публикацию сообщения экстремистской направленности в сети Интернет», или как там это описывается сухим языком протокола. И правильно делают, что берут. Во избежание.

А за комментарий, какой бы он не был, сажать нельзя.

Моё глубокое убеждение, что, в зависимости от комментария, можно и нужно. К примеру, отправкой на нары блогера Синицы я был вполне удовлетворён.

[Pavel1114]

Может быть в каких то случаях и можно было бы сажать. Но. Судебная система в России не то что бы несовершенна, но определённые проблемы у неё есть. А у правоохранителей есть планы, отчёты по раскрываемости. Завтра майору захочется закрыть вас(бизнес, обида, отчёт на конец квартала). Зайдёт на вашу страницу ВК. Найдёт там экстремизм или оскорбление чьих нибудь чувств, или неуважение чего либо. Вы можете сказать «не сможет — я порядочный гражданин и у меня такого нет». Но вы не эксперт. Эксперту будет виднее. К тому же может эту страницу они заранее подготовят. Суду вообще пары скриншотов(или фото экрана) хватит.

[Dr_Sigmund]

Что, все эти пятеро были абсолютно честными и просто святыми людьми, которых подлый дядя Сэм абсолютно рандомно обвинил в серьезных преступлениях и хочет засадить за решетку просто так? Лол. То есть, по-вашему, «наши» так ни в коем случае сделать не могут и никогда не сделают, а вот «они» — легко и регулярно. Забавный у вас bias в сознании.

Может, они в чём-то виновны, может, нет, я этого не знаю. Я знаю, что их арестовали за что-то, что они делали в сети, когда они выехали за рубеж, и что им предъявили обвинения на основании законодательства других государств. А законы бывают покруче наших — у нас тут возмущаются, когда кого-то берут за задницу за пост или коммент, а, например, в Англии по новому закону можно схлопотать пятнадцать лет за всего лишь ПРОСМОТР террористических сайтов (пруф: www.theguardian.com/uk-news/2017/oct/03/amber-rudd-viewers-of-online-terrorist-material-face-15-years-in-jail). Поэтому люди, желающие спрятать свою деятельность в сети от российского провайдера и РКН, потому что те «нарушают их права», но с готовностью предоставляющие те же самые данные какой-то американской компании, вызывают у меня искренне изумление своим эльфизмом.

[Vilgelm]

Если вы гражданин США или проживаете в США, то вам лучше отдать эти данные Яндексу или Ростелекому какому. Если вы гражданин России или проживаете в России, то вам лучше отдать эти данные Cloudflare. Все просто.

[Dr_Sigmund]

(Усмехнувшись) Ну разе что так.
«Коммерция — великая вещь: я им наше знамя, они мне своё!»

[geher]

В демократии же гарантируется тайна переписки?

На самом деле нет. Это из разных областей понятия.
В принципе, если народ решит, что тайна переписки не нужна, то в соответствии с сутью демократии она должна быть отменена.
Так что тайна переписки гарантируется не демократией, а желанием народа при демократической форме правления иметь эту самую тайну переписки.

[trueMoRoZ]

только выглядит это так, как будто все везде уже проголосовали за тотальный контроль

[geher]

Тайна переписки — это не про тотальный контроль. Это про прозрачность общества. Оно, конечно, облегчает контроль, если есть контролирующие инстанции, но все же не то.

[Anastasia_K]

всё так, с маленькой поправкой. не народ а демос. плебс, к сожалению, ничего решить не может.

[geher]

Вы путаете понятия. Демос — это именно народ. Это из Древней Греции. Он не делился по уровню достатка, умственным способностям или социальной ответственности, а определялся исключительно по происхождению (в некоторых полисах еще была процедура принятия в народ, но сути оно не меняет, потомки принятого автоматически становились частью демоса).
В демос не вкключались только рабы (ибо имущество) и "понаехали" (ибо чужие).

Плебс — это вообще не про демос. Это уже из Древнего Рима, где выделили группы людей по социальному признаку. Тут могу ошибаться, но вроде в плебс включали как граждан (демос), так и всякий сброд без гражданства, а к всадникам и патрициям, которые определяли жизнь Рима, относили уже только граждан с определенным положением в обществе.

[Dr_Sigmund]

не давать DNS-данные коррумпированому провайдеру

А что такое «коррумпированный провайдер»? Это который взятки берёт или даёт? Меня аж любопытство взяло.

[deepblack]

не работает без напильника, а жаль.

Not available on your platform. (x86_64 GNU/Linux)

Spoiler header

[chupasaurus]

dnscrypt-proxy v2 под вашу платформу доступен до всей истории с добавлением в браузеры поддержки DoH.

[jonie]

так ведь у вас поди там настроен (обыкновенно, например у десктоп версии убунты последних лет) NetworkManager, который использует systemd-resolved, который как бы поддерживает DoH уже давно. Ну а хром, соотвественно, использует локальный dns сервер (на локальном хосте), и трафик не утекает в интернеты между ним и dns сервером (нет смысла там tls делать особенно). Не?

[Mur81]

На выходных только ковырялся с DoH в Chrome, хотелось понять как оно работает. То что я увидел снифером наводит на мысли, что это пока больше похоже на костыли чем на законченное рабочее решение.

[Dukat]

включить DNS по HTTPS в любом браузере

Эх, ожидал какое-то браузеро-независимое решение, а тут только перечисление наиболее (?) распространённых браузеров…

[n0isy]

Firefox 70.0.1 включил сам эту фичу (РФ). Я ещё с утра подумал, почему торренты стали работать без прокси. Получается РосКомНадзор поломан. И будет опять банить Cloudflare…

[dartraiden]

7-zip.org

7-zip.org попадает в заблокированный диапазон IP-адресов, DoH тут даже теоретически не способен помочь.

7-zip.org is not blocked

but may be filtered by IP:
159.65.89.65

Mass blocked resource!

/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 159.65.0.0/16

Через DoH вы получите сведения о том, что 7-zip.org резолвится в 159.65.89.65, а дальше запрос к этому IP будет зарезан провайдером.

[moviq]

интересно, открыл без проблем

[KeyJoo]

Без проблем — могут все мобильные операторы связи.
А вот чтобы победить провайдера включаю vpn в опере )

[moviq]

А я не через мобильного, а через «стационарного»

[spirit1984]

То же самое, не позволяет зайти ни на что заблокированное. Очевидно, потому что надо подключать еще esni, а он по умолчанию не активируется при обновление.

[List1]

тоже включен по умолчанию, но торренты без прокси не работают. провайдер ТТК

[Danis98]

Хочу вас обрадовать, вам очень повезло с провайдером. В России большинство провайдеров блокирую по SNI, а не по DNS, что делает DoH довольно бесполезной примочкой для обычного пользователя и уж точно никак не спасает от РосКомНадзора.

[JustDont]

eSNI в файрфоксе тоже включается.

[dakuan]

Включаться-то он включается, да только кто его поддерживает кроме Cloudflare?

[ValdikSS]

См. habr.com/ru/company/globalsign/blog/468445/#comment_20660735

[fpir]

Да, но некоторые делают это комплексно, и по SNI, и подкидывая не валидные DNS ответы, и, до кучи, перехватывая весь трафик по 53 порту.

[moviq]

Интерсно, у меня по этой причине короткие ссылки всё время с длинной гугл капчей вываливаются? Задолбался разгадывать светофоры, автобусы и гидранты.

[danfe]

Я ещё с утра подумал, почему торренты стали работать без прокси.

Погодите, а разве их когда-то блокировали в России? Сколько ни качаю-раздаю, всё напрямую работает (Питер, Ростелеком). Другое дело, что заблокированы многие трекеры и поисковики, но для 99% не-private торрентов знания info-хэша (btih, который рано или поздно просочится в DHT) вполне достаточно, а они щедро разбросаны по зеркалам/кэшам и проиндексированы поисковиками.

[Ark_V]

А какие из DNS использовать кроме Cloudflare, и что б доверять можно было и как это проверять?

[Revertis]

В Firefox используется прослойка от Мозиллы. Мне кажется, Мозилле можно доверять.

[Mur81]

Что за прослойка? Cloudflare там используется по умолчанию.

[Revertis]

Домены мозилловские.

[Mur81]

Она при старте резолвит (через классический UDP 53) домен mozilla.cloudflare-dns.com. Получает в ответ айпишники с корыми потом работает уже по TCP 443.
Где тут присутствуют мозилловские домены не пойму.
Кстати Chrom, будучи настроенным на Cloudflare, поступает точно так же, но только резолвит уже chrome.cloudflare-dns.com.
Причём примечательно, что айпишники отдаваемые по mozilla.cloudflare-dns.com и chrome.cloudflare-dns.com разные.
Это наводит на некоторые мысли. Скажем о разнице в реализации протоколов в Хроме и Файрфоксе (впрочем возможно это для каких-то других целей сделано).
А ещё в Хроме нельзя непосредственно указать с каким провайдером DNS ему работать. А ещё там прозрачный откат до классического DNS. И другие любопытные вещи снифером можно подсмотреть.
Файрфокс подробно не изучал но, то что сейчас в Хроме сделано это даже бетой назвать с трудом можно.

[Revertis]

Я вижу такое в about:config:

network.trr.uri	https://mozilla.cloudflare-dns.com/dns-query

Сниффером не смотрел, но предполагаю, что этот адрес используется для всех запросов. Айпишники принадлежат CF, но подозреваю, что это некие сервера Мозиллы, не уверен, впрочем.

[dartraiden]

Нет, это оборудование Cloudflare. Mozilla со своей стороны гарантирует, что Cloudflare ценит приватность пользователей Firefox и обещает периодически проверять, как она там блюдётся.

[Balling]

Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24

[Gamliel_Fishkin]

Предпочитаю направлять DNS-запросы через SOCKS-прокси. Собственный SOCKS-прокси на VPS.

[n0isy]

1. Опять же — вопрос «кому отправлять». 8.8.8.8?
2. Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?
Речь о минимальных телодвижениях в пользу анонимности.

[Gamliel_Fishkin]

вопрос «кому отправлять». 8.8.8.8?

Есть censurfridns.dk и подобные службы.

Если поднят сокс, то почему бы и не весь блокированный/чувствительный к подмене трафик через него и не пустить?

Именно так. Точнее, помимо SOCKS-прокси у меня есть и HTTP-прокси.

Речь о минимальных телодвижениях в пользу анонимности.

Провайдеру тоже доверять не надо, но чем CloudFlare лучше?

[Balling]

Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24

[Gamliel_Fishkin]

Это проект регионального интернет регистратора (APNIC), Cloudflare просто выполняет проект. 1.1.1.1 принадлежит APNIC. bgp.he.net/net/1.1.1.0/24

Цитирую страницу, на которую я сослался выше:
Cloudflare publicly commits to a "pro-user privacy policy" and the deletion of all personally identifiable data after 24 hours, but you never know where your data ends up at the end of the day. <…> all DNS requests are seen by Cloudflare and in turn also by any government agency that has legal right to request data from Cloudflare. <…> If there is anything wrong with your government (for instance corruption, collusion or fraud) and you have information to publish about it, the government will be able to trace you down. This puts any whistleblower at risk.

[Balling]

Это bullshit. Поймите, RIR не очень себя офишируют. Но нет, cloudfare не сможет ничего предъявить, данные удаляются в течение 24-48 часов, они находятся под перекрестным аудитом от RIR и ООН. Это глобальный проект. Вы себе даже не представляете, какой там уровень.

[ZuOverture]

Это называется «алфавитный порядок».

[rajven]

Провайдерам глубоко начхать на этот DoH. У провайдера стоит DPI которому пофиг куда вы ходите за DNS. Единственный способ пройти DPI — туннель за бугор. А DNS хоть обшифруйтесь — ничего это не даст.

[Andrusha]

Единственный способ пройти DPI — туннель за бугор.

В том-то и дело, что нет. Например вот или более современный вариант, к тому же относящийся к содержимому статьи.

[rajven]

Пассивный DPI не видел ни разу. А активный DPI из тех, на которые я напарывался, пропускал только на сайты, играющиеся окном. Но, опять же — сколько администраторов серверов решат сделать такую фишку? Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке. Хотя, может года за 3 оно и приживётся. Посмотрим. Но, это такая себе палка о двух концах — ничего не мешает регулирующим органам начать блочить по ip. Кто там пострадает из невиновных их не колышет.

[Andrusha]

Esni так же врядли пойдёт в широкие массы. Ну, только если хостеры начнут настраивать клиентам в обязательном порядке.

Или просто Google объявит, что N версия Chrome будет показывать уведомления в адресной строке о том, что сайт без eSNI небезопасен, а начиная с версии N+2 такие сайты перестанут открываться. И всё.

[Rampages]

Encryped SNI и DNS over HTTPS в паре могут хоть как-то частично обойти DPI (Deep Packet Inspection), ну по крайней затруднить ISP'ам доступ к вашим запросам.

[rajven]

Ну — мало кто его настроил пока. Большинство владельцев сайтов просто забьёт.
Да и идея хорошая, но опасная. Как показала практика, запрещающим органам глубоко насрать на блокировки непричастных. Будут снова банить подсетями. www.7-zip.org вон который год в бане за экстремизм. И ничё.

[Rampages]

Ну по крайней мере провайдеры не будут собирать с тебя статистику по доменам и запросам к DNS, хотя может быть какие-нибудь крутые анализаторы пакетов от каких-нибудь Positive Technologies, FortiGate, Checkpoint и других что-то могут...

[vis_inet]

www.7-zip.org

у меня открывается нормально…

[rajven]

Он в бане по ip c 13.04.2018. Вам повезло с провайдером…

[vis_inet]

Ростелеком

[rajven]

У них от региона зависит. Где-то стоит нормальный DPI, где-то вообще только squid до сих пор. Контора государственная, им пофиг на штрафы и РКН.

[rajven]

Сайт в блокировке по ip. Смена протокола ничего давать не должна. Если у вас открывается через https — значит провайдер чхать хотел на РКН и штрафы и использует только блокировку по http через какой-нить squid. Ну — чисто чтобы можно было сказать, что она у них вообще есть.

[rajven]

Ну это же легко проверяется:
host www.7-zip.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
www.7-zip.org has address 159.65.89.65

Идёте на сайт blocklist.rkn.gov.ru, вбиваете этот адрес в строку поиска и получаете:

rkn

[vanyaindigo]

Те, кто за Cloudflare, получают настроенный eSNI включенным по-умолчанию. Ставьте свой домен за Cloudflare и сможете открыть его спокойно в Firefox с включенным eSNI без туннеля (как пример: rutracker.nl/forum/index.php открывается, а rutracker.org/forum/index.php не).

[firk]

На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.

Rampages у меня лимит на комменты в сутки, отвечу в этом

То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.

Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.

Ну и вроде как encrypted не равно «отсутствие читаемого».

Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.

[Rampages]

То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.

Но encrypted SNI о идее уже больше к приватности имеет отношение.

Ну и вроде как encrypted не равно «отсутствие читаемого».

Может что-то где-то упускаю, просто не эксперт в этой области.

[vp7]

Основная фишка ESNI в другом.

В какой-то момент на одном IP адресе окажется SuperBlockedDomain.com и google.com и перед фильтровальщиками трафика встанет серьёзная проблема — заблокировать по IP и превратить в тыкву десятки миллионов телефонов или нарушить правила блокировки и разрешить этому IP работать.
Вместо google.com может быть любой другой ключевой ресурс с блокировкой которого у пользователей начнёт ломаться чуть меньше, чем всё.

И тогда можно уже будет только угрожать на уровне "либо вы выносите этот домен со своего IP адреса, либо мы блокируем интернет в своей стране".

[vanyaindigo]

В том-то и дело, что хотят блокировать все, как в Иране, но пока не могут.

[Rampages]

Ну могут выпустить очередной тупой закон а-ля «распространять интернет браузеры с предустановленным российским расширением, которые будет проверять контент на экстремизм, CP или что-либо еще, что может оказаться не в ваших интересах.»

[ValdikSS]

отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе

Сейчас на многих DPI использование ESNI считается за отсутствие SNI, и производятся блокировки по IP-адресу. ESNI снижает доступность сайтов на многих провайдерах.

ntc.party/t/esni-encrypted-sni/68

[ValdikSS]

См. ntc.party/t/esni-encrypted-sni/68

[genuimous]

Ничего не понял. Не удалось прочитать DNS-запрос, и что с того? Следующим будет установление HTTPS-соединения с условным хабром, которое однозначно идентифицируется. Поясните кто-нибудь сценарий реального использования фичи.

[Asparagales]

Это перевод иностранной статьи. Там, за границей, тоже блокируют сайты и делают это в основном путем перехвата, блокировки или подмены DNS-запросов. Вот иностранцам этот способ поможет. Можно, конечно, заблокировать DoH-сервер, но для этого нужно решение суда.

[in_heb]

DOH это только начало. Следующий шаг это eSNI, который пока на стадии экспериментов
И да, кроме http/https есть и другие протоколы (хотя их трафик мал по сравнению с веб)
Ну и что самое важное, многие системы анализа (например, для таргетированной оффлайн рекламы или отслеживание посещений сайтов-конкурентов) анализирует лишь dns, для анализа sni им надо допиливатт софт, менять схему включения и т.п. От таких умников (поверьте мне, их много), doh спасает

[kvalter]

telegram.org заблочен по айпи… как ты мог на него зайти? Я включил в хроме и все также без впн не заходит…

[AlexBin]

Как послать провайдера подальше

Поменяйте заголовок на «Как послать РКН ...»
Или вы думаете, провайдер горит желанием блокировать сайты? Провайдеры тоже жертвы, которые несут от этой системы финансовые потери.

[trueMoRoZ]

они просто ещё не научились продавать проснифанные данные)

[Anastasia_K]

крупные вполне себе научились, гуглить по «программатик».

[extremeEXIT]

РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди. Да-да, именно те, которые ежедневно проходят мимо вас.
Идеальный заголовок был бы: «Как починить людей позволяющих творить такой беспредел в своём государстве-доме ...»

[AlexBin]

РКН тоже подневольны. Они вынуждены исполнять законы, которые издали депутаты, которых выбрали люди.

Вам легко говорить, вы, судя по всему, ничего кроме телевизора не смотрите.

[extremeEXIT]

Скорее по стектрейсу прошёл действительно до бага, который рушит наш интернет.

[AlexBin]

Скорее по стектрейсу прошёл

Ага, а потом вы проснулись

[Zenitchik]

которых выбрали люди.

Которым было не из кого выбирать, и они выбрали наименее одиозных.

[Gamliel_Fishkin]

которых выбрали люди.

Которым было не из кого выбирать, и они выбрали наименее одиозных.

+1. «Не важно как голосуют, важно как считают голоса».

[wataru]

РКН тоже подневольны. Они вынуждены исполнять законы,

Во время "блокировки" телеграмма они творили полный беспредел, который даже по текущим драконовским законам совершенно незаконен.
Там не подневольные люди, а самые настоящие вредители и дилетанты, бегущие впереди репрессивной машины.

которые издали депутаты, которых выбрали люди.

Это очень спорный вопрос. Больше похоже, что их выбрал волшебник Чуров и компания.
Тут не столько массовые махинации на самих выборах, сколько тупо недопуск любой не одобренной партии до выборов.

[extremeEXIT]

они творили полный беспредел

Я эту деятельность РКН не поддерживаю. Но хочу перевести ваше внимание на причину вызывающую эти действия. Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.

Это очень спорный вопрос.

Согласен, вопрос спорный. Почему подавляющее большинство населения не спорит с результатами выборов? Не защищает свой выбор от обмана? Мне кажется, это такая молчаливая поддержка. Или другим словами Чуров выбрал, а население пассивно молчаливо поддержало. Результат этой поддержки — разрушение нашего общего интернета.

[wataru]

Причина — это наличие закона.

Будьте добры, ткните меня, несознательного, мордой в место в законе, где написано:

• что можно блокировать подсети.
• что можно вносить подсети в "резиновое" постановление прокуратуры задним числом.
• что РКН может в автоматическом режиме блочить прокси телеграмма.

Почему подавляющее большинство населения не спорит с результатами выборов?

Большинство не спорит, потому что это слишком большие риски и затраты энергии. Некоторый процент, все-таки, попытался спорить. Результат — репрессивные законы и показательные абсурдные уголовные дела. И все эти законы о блокировках — это как раз реакция на тот небольшой, но не ничтожный процент несогласных.

Могу еще привести аналогию: Допустим, у вас угнали автомобиль. Но вы ведь могли бы организовать поисковый отряд, найти свой авто в другом городе и отбить его у бандитов. Но если вы этого не сделали — значит разрешаете бандитам ездить на вашем авто, так что ли? Это в точности ваш аргумент приложенный к немного другому преступлению.

Выбор или одобрение — это совершенно другого порядка действия, нежели отсутствие активной борьбы с властью. Отождествлять их нельзя.

[extremeEXIT]

место в законе, где написано

я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые, чтобы закон можно было разворачивать куда угодно. И что подобные законы иногда ещё называют рамочным.
Всё самое интересное начинается в подзаконных актах. То есть исполнитель (в нашем случае — РКН) сам себе придумывает правила по которым и будет исполнять закон.
Что с этим делать? Всячески добиваться отмены закона.

Могу еще привести аналогию

Хорошая аналогия. Что мы с вами как минимум сделаем? Напишем заявление об угоне.
Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг до тех пор пока результаты выборов не отменят (+ помощь поддерживающим общественным организациям).
Предполагаю (поправьте если не так), что для вас — это одно/двух/трех-кратное посещение подобного митинга.
Тем самым мы расходимся во мнениях.

[wataru]

я думаю вы в курсе, что формулировки в таких антинародных законах очень расплывчатые

Ну ткните меня в такую расплывчатую формулировку наконец-то! Закон писали ничего не понимающие в этом люди. Они, хоть и пытались расплывчато все написать, про необходимость блокировки подсетей они не подозревали. Когда это стало понятно в ситуации с телеграмом, ни законы, ни подзаконные акты не позволяли это делать. Но РКН это не остановило.

Что мы с вами как минимум сделаем? Напишем заявление об угоне.

Это аналогично ворчанию на кухне/в интернете.

Для меня аналогия с написанием заявления об угоне — это еженедельный поход на мирный согласованный митинг

Напомнить вам, что митинг на болотной был согласован? Тем не менее менты сделали все, что бы устроить беспорядки и репрессии.

Сейчас же людей на согласованных митингах избивают, людей задерживают и сажают за одиночные пикеты и ломают людям ноги за пробежку на месте, где через несколько часов будет согласованный митинг.

По персональным рискам, затратам времени и сил, ваши походы на митинг могли бы сравнится с написанием заявления об угоне только если бы в отделении полиции каждый день похищали и избивали случайно зашедших, вешали на них нераскрытые преступления или просто обворовывали до трусов.

[Zenitchik]

с результатами выборов

Потому что не в результатах выборов дело. Претензия к исходным данным выборов, из которых можно сделать только такой выбор, который получился.

[extremeEXIT]

В этом году, да, к исходным данным. В 2011 к результатам. В ответ на митинги 2011 года всё это постепенно и завертелось с закручиванием гаек в интернете. До 2011 года на регулирование информации в интернете всем было пофигу.

[Zenitchik]

В 2011

Тоже выбирать было не из кого.

[xdimquax]

Проще сказать, когда и где было.

[Gamliel_Fishkin]

В 1991?

[xdimquax]

Причина — это наличие закона. Нет закона — нет необходимости, что либо блокировать.

Это причина блокировать, но не причина ломать. Это повод. Повод для организаций, подобных РКН, поломать Интернет, чем они и занимаются, прикрываясь благими намерениями.

[vanyaindigo]

Честные бы уже давным давно ушли из этого гадюшника. Нет, там остались только конченые мудаки и мрази.

[vanyaindigo]

Провайдеры, особенно крупные, вась-вась с государством, так что им пофиг на ваши страдания от их блокировок. И логика там как раз другая: лучше сделать то, чего просит РКН/ФСБ/ФНС/и т.д. по списку, чтобы проблем не было.

[AlexBin]

Провайдеры, особенно крупные, вась-вась с государством

Не «особенно», а «только» крупные, и то не все, не надо искажать действительность.

им пофиг на ваши страдания от их блокировок

А я где-то говорил, что провайдеры переживают за пользователей?

И логика там как раз другая

А другая это какая? Процитируйте, где я описывал «другую» логику?

Я сказал, что провайдеры — жертвы. Поясняю! Они вынуждены ставить себе DPI, способный фильтровать такое количество трафика, потребляя дополнительное электричество, места в стойках и бесперебойниках + охлаждение, при этом любезно добавляя еще один потенциальный узел отказа и дополнительные latency в качество соединения. И никакого пряника там нет, только кнут: за каждую пропущенную ссылку штраф, емнип в районе 50к.

И DPI — это еще не все требования и оборудование, которые вынуждены соблюдать честные региональные или городские провайдеры, чтоб их не утопили в штрафах, и не отобрали лицензию.

Разумеется, все эти наказания не коснутся ростелекома, а напротив, он за свою нагло бездарную работу еще и премии получит.

[vanyaindigo]

Угу, «жертвы», которые подмахивают ФСБ/РКН/АП. Видимо, жертвы со стокгольмским синдромом.

[AlexBin]

подмахивают

Вы видимо не понимаете разницу между сексом и изнасилованием.

[Rampages]

Да, когда бред с РКН только начался, заставили всех провайдеров любого уровня соблюдать, иначе штрафы. У нашей организации была лицензия на оказание услуг связи, но мы уже давно их не оказывали, а по закону надо было каждый день с ЭЦП заходить на сайт РКН и скачивать/обновлять список запрещенных сайтов, даже если услуги не оказываются. Маразм.

Сейчас не знаю как там у них все устроено, но провайдеры подневольные люди. Может есть какая-то ассоциация провайдеров, где какой-нибудь «заинтересованный» президент ассоциации будет отстаивать их права на политической арене, но толку будет мало.

У нас кстати хотели ПАО «Ростелеком» запихать в реестр недобросовестных поставщиков (РНП), за не выполнение обязательств по контракту ФЗ-44, а там как вы знаете если юр. лицо попадает в РНП, то все афилированные лица и учредители попадают в РНП и после этого не могут участвовать в гос. тендерах сколько-то лет. Не получилось запихать, Ростелеком и дальше не выполняет обязательства по контракту, зато звонил министр из Москвы. Вместо 100 мбит/сек ПАО Ростелеком дает 4 мбит/сек, спасибо государству за отличную политическую машину, как только начали пытаться запихать в РНП, реакция из Москвы последовала немедленная.

[vanyaindigo]

Мелкие локальные может и подневольные, только трафик их присоединен к крупным (МТС, Мегафон, Билайн, Ростелеком, ЭР-Телеком), а уж они-то с государством не будут спорить. Даже, если их будут резать, они просто в очередной раз повысят тарифы для абонентов.

[Viceroyalty]

После включения опции в Chrome стали загружаться быстрее, с чего бы это… может потому что у меня старый роутер?

[Fullmoon]

А вот такой вопрос — как DoH/DoT будет стыковаться с DNS-адблоком, к примеру PiHole?

UPD: Всё уже давно решено, например, тут же на хабре: https://habr.com/ru/post/468621/

[Sir3x]

Только вот вопрос опять же про контроль со стороны провайдеров — а сам траффик с каких адресов/портов будет поступать к клиенту?
Если есть весь дамп траффика то определить куда ходил пользователь вроде как не трудно. Согласен, что сложно будет понять зачем — но факт присутствия на запрещенных сайтах отследить можно. Или я что то не понимаю?

[andreymal]

Если на одном IP сотни и тысячи сайтов (как например в случае с Cloudflare и shared-хостингами), то напрямую определить конкретный посещаемый сайт из этих тысяч уже не получится (при наличии eSNI)

[Quber]

Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?

[Gamliel_Fishkin]

Не нашел инфу о поддержке DOH в браузере TOR… можете что то прояснить?

Он там не нужен. Tor работает как локальный SOCKS5-прокси, весь трафик Tor-броузера (в том числе DNS) идёт через него.

Tor можно указать в качестве SOCKS5-прокси и в других программах: если это Tor в составе Tor-броузера, то 127.0.0.1:9150 (работает только когда запущен Tor-броузер), а если Tor как отдельное приложение, то 127.0.0.1:9050. Но в некоторых программах этого недостаточно; в частности, связка «любой другой броузер плюс Tor» не может заменить Tor-броузер.

[wholeman]

Я правильно понял, что при использовании DoH DNS-запросы скрываются от провайдера и локальных спецслужб и передаются Мозилле/Гуглу/Клаудфлэю (и, возможно, соответствующим спецслужбам)?

[Anastasia_K]

да. но они «клянутся, что эти данные использовать не будут. честно-честно. включайте»

[wholeman]

Ну, я-то, если и включу, то свой сервис поднимать буду, потому что у меня в интранете всё по именам, например, управление душем на даче. А вот большинство так не сделают, а воспользуются дефолтным. Хороший ход, чтобы забрать всё себе.

[Zenitchik]

А зачем интранету торчать в интернет?

[wholeman]

Он туда не торчит. Мои DNS-сервера находятся в интранете, поэтому через DoH от Гугла со товарищи недоступны. Чтобы ими пользоваться придётся и DoH свой делать. Либо (если есть возможность) настраивать, что пойдёт через DoH, а что обычным путём. Это может быть сложнее.

[goldrobot]

>управление душем на даче по интернету
Офтоп, но я не могу не спросить зачем?

[wholeman]

Интранет, а не интернет, то есть внутренняя сеть, недоступная извне. Нагрев до заданной температуры и управление светом через веб-морду. Поскольку душ этот представляет собой сарай с бочкой в дальнем углу сада, удалённое управление очень удобно.

[xdimquax]

Пригоден ли такой душ для использования зимой?

[kvalter]

Ладно, я включил DoH в Chrome. А как дальше потестить? Нужно ждать пока на "другой стороне" его тоже установят? Например, на рутрекере

[Biga]

Другая сторона — это DNS сервер. Используйте любой из поддерживающих технологию. Например, неоднократно упомянутый в статье 1.1.1.1.
DNS-сервер вернёт браузеру ip-адрес рутрекера и, если этот ip не заблокирован провайдером, рутрекер откроется в браузере.

[terebenkov]

Не все провайдеры блокируют по dns запросам. у нас например, в случае с рутрэкером идет проверка по sni. Включение esni позволяет обойти блокировку rutracker.nl

[3adnica]

видимо не всё так просто… поставил dns 1.1.1.1 включил в ff ensi, но все равно получаю заглушку, только теперь от другого провайдера.

[JustDont]

Точно включили? Что показывает https://www.cloudflare.com/ssl/encrypted-sni/?

[3adnica]

Всё нормально, просто я туповат — пытался в него зайти по http )

[vanyaindigo]

Инструкция занятная, но совершенно не соответствует заголовку: провайдерские DPI уже давно не смотрят в DNS, а анализируют SNI. И пока не будет повсеместного внедрения eSNI, никто никуда без VPN провайдеров не пошлет.

[xdimquax]

Да если и будет, то блокировки по IP никто не отменял. Уже даже тех, что есть, достаточно для того, чтобы заводить трактор прокси или VPN.

[AndreyYu]

Объясните, пожалуйста, почему даже если включен в Opera DoH режим и сервис проверки DoH от Cloudfare говорит, что всё ок, при заходе на заблокированные ресурсы выдаёт страницу блокировки от провайдера? Получается, что режим полу-рабочий, что ли или надо ещё какие-то манипуляции на ПК совершить?

[vanyaindigo]

Потому, почему я объяснил в комментарии выше.

[JustDont]

Если у человека выдаёт страницу блокировки — у него настройка неправильная, а ваши объяснения не в тему. С корректно настроенным DoH вы в лучшем случае увидите ошибку разрыва связи (если провайдер из тех, кто уже смотрит в SNI), но никак не страницу-заглушку.

[vanyaindigo]

Да что вы говорите)) Ну-ну)
Вы увидите заглушку даже с корректно настроенным eSNI в браузере, если сам сайт его не поддерживает. Все зависит от настроек DPI у оператора.

[JustDont]

Раз уж вы лучший хакер на деревне — может подскажете, как именно вам провайдер подделает ответ сервера по https, и покажет что-то левое?

[vanyaindigo]

Очень легко: читает IP и SNI и перенаправляет на заглушку) Вот, кстати, пример с МГТС:

[JustDont]

Еще раз: для этого провайдеру нужно подделать ответ сервера. В противном случае ваш браузер никуда не пойдет, MITM придумали не вчера и не в РКН. То, что у вас нарисовано на скриншоте — работает на http, где нет никакой возможности проверить, кто вам и что отдаёт по протоколу. Но не на https.

[vanyaindigo]

Значит браузер идет по http, и при чем тут неправильная настройка DoH?

[JustDont]

https:// в начале адреса написать не пробовали, не?
Или включить в браузере поход по https по умолчанию.

[vanyaindigo]

Так ты сам на вопрос не отвечаешь, а другим советуешь.

[Groosha]

Провайдер билайн. Почему-то включение DoH через Cloudflare не помогает. Рутрекер не открывается, изображения на Лурке тоже, всё редиректится на blackhole.beeline

Я буду обновлять комментарии перед написанием. Кажется, вот ответ.

[SergioPredatore]

Включил в Opera, но эффекта никакого не заметил, как не ходило на зоблоченные ресурсы, так и не ходит.

[vanyaindigo]

Блин, оно и не даст вам возможности обходить блокировки! Оно скроет только DNS-трафик от анализа. Все.

[General_Failure]

Насколько я понял, зависит от типа блокировки. Если по IP, то не поможет. А если только по URL, то провайдер запрашиваемый вами адрес не увидит и заблокировать не сможет.

По крайней мере у меня линька открылась с помощью только этой галочки.

[xdimquax]

Не увидит, если включён eSNI вместе с DoH, например, в Firefox.

[ivan4th]

С одной стороны, вроде как, приятно роскомнадзор на чём-то повертеть, с другой стороны, им же пофиг. Ну, из-за DoH и eSNI через какое-то время все железки с DPI станут бесполезной тратой госденег. Ну, просто поблочат по IP кучу лишнего. Но ведь им же пофиг. Они и сейчас не особо парятся. Например, вот, на клауд-провайдере VScale тыркал чуть-чуть Kubernetes — хотел просто поднять Calico на тестовом кластере:

root@cs747313:~# kubectl apply -f https://docs.projectcalico.org/v3.8/manifests/calico.yaml
The connection to the server docs.projectcalico.org was refused - did you specify the right host or port?
root@cs747313:~# ping docs.projectcalico.org
PING calico.netlify.com (167.99.129.42) 56(84) bytes of data.
^C
--- calico.netlify.com ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

root@cs747313:~# nc -v 167.99.129.42 443
nc: connect to 167.99.129.42 port 443 (tcp) failed: Connection refused

Что такое? Ах ну да, конечно, смотрим бота usher2:

167.99.129.42 is blocked

Mass blocked resource!

/n_888246 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
as subnet 167.99.0.0/16

/n_1252396 ФНС 2-6-20/2017-12-21-990-АИ 2017-12-22
as ip 167.99.129.42

️ /n_998882 Роспотребнадзор 49718 2018-06-21
as ip 167.99.129.42

️ /n_1285532 суд 2-50 2018-03-05
as ip 167.99.129.42

Вот такая цифровая экономика, да. Они и белые списки-то введут, не моргнув глазом.

[Gamliel_Fishkin]

Мой комп:

$ ping -4nqc 2 docs.projectcalico.org
PING calico.netlify.com (134.209.226.211) 56(84) bytes of data.

--- calico.netlify.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 3ms
rtt min/avg/max/mdev = 32.102/32.420/32.739/0.365 ms
$ ping -6nqc 2 docs.projectcalico.org
PING docs.projectcalico.org(2a03:b0c0:3:e0::32e:b001) 56 data bytes

--- docs.projectcalico.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 35.162/35.613/36.064/0.451 ms

VPS:

$ ping -4nqc 2 docs.projectcalico.org
PING calico.netlify.com (167.99.137.12) 56(84) bytes of data.

--- calico.netlify.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 39.799/42.725/45.651/2.926 ms
$ ping -6nqc 2 docs.projectcalico.org
PING docs.projectcalico.org(2a03:b0c0:3:d0::d19:7001) 56 data bytes

--- docs.projectcalico.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 3ms
rtt min/avg/max/mdev = 40.511/40.515/40.519/0.004 ms

Может быть, с Vscale что-то не так?

[flx]

S stands for «Security» in DoH.

www.youtube.com/watch?v=LYosersEBoM

[AlexandrBu]

Включил DOH на Pi-hole (через cloudflared) — MGTS ничего не изменилось :(
Причем они на заблокированных сайтах показывают свою yandex рекламу — вот с этим скотством хотел бороться…

[vanyaindigo]

С этим скотством надо бороться, настраивая VPN, а не DoH включать.