The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome для Android включена поддержка DNS-over-HTTPS

03.09.2020 10:50

Компания Google объявила о начале поэтапного включения режима "DNS поверх HTTPS" (DoH, DNS over HTTPS) для пользователей Chrome 85, использующих платформу Android. Режим будет включаться постепенно, охватывая всё больше пользователей. Ранее в Chrome 83 началось включение DNS-over-HTTPS для пользователей настольных систем.

DNS-over-HTTPS будет автоматически активирован для пользователей, в настройках которых указаны DNS-провайдеры, поддерживающие данную технологию (для DNS-over-HTTPS используется тот же провайдер, который применялся для DNS). Например, если у пользователя в системных настройках указан DNS 8.8.8.8, то в Chrome будет активирован DNS-over-HTTPS сервис Google ("https://dns.google.com/dns-query"), если DNS - 1.1.1.1, то DNS-over-HTTPS сервис Cloudflare ("https://cloudflare-dns.com/dns-query") и т.п.

Для того чтобы исключить проблемы с резолвингом корпоративных интранет сетей DNS-over-HTTPS не применяется при определении использования браузера в централизованно управляемых системах. DNS-over-HTTPS также отключается при наличии систем родительского контроля. В случае сбоев в работе DNS-over-HTTPS предусмотрена возможность отката настроек на обычный DNS. Для управления работой DNS-over-HTTPS в настройки браузера добавлены специальные опции, позволяющие отключить DNS-over-HTTPS или выбрать другого провайдера.

Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://blog.chromium.org/2020...)
  2. OpenNews: Компания Mozilla представила третьего провайдера DNS-over-HTTPS для Firefox
  3. OpenNews: Утечка поисковых ключей через DNS в Firefox и Chrome
  4. OpenNews: Релиз Chrome 83
  5. OpenNews: Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS
  6. OpenNews: DNS over HTTPS отключен по умолчанию в порте Firefox для OpenBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53652-doh
Ключевые слова: doh, dns, https, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:27, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Да что мне эта DoH, когда реклама там не режется и нет поддержки плагинов
     
     
  • 2.19, гугель (?), 14:49, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    так это и не тебе, это мне!
     
     
  • 3.34, Odalist (?), 18:59, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О пещерные боги, куда мы катимся!!??? Хром везде.... Тайлинг уже не нужен он только для избранных...
     
     
  • 4.48, КО (?), 06:18, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так щас почти на любой сайт зайдешь, эта хрень да лезет
     
  • 2.20, Аноним (20), 15:05, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > нет поддержки плагинов
    > смартфоны

    Не, я конечно понимаю, что нынешние смартфоны мощнее настольных ПК 90-ых. Но они не мощнее настольных ПК нулевых. Поэтому такую монструозную штуку, как "плагины" (did you mean "расширения"?) на мобилы тянуть очень рано.

    Рекламу можно резать другими средствами. Например, реализовав движок AdBlock непосредственно на C++ и вкомпилив его в мобильный хром. Уже реализовано и вкомпилено BTW, но тебе на мобилы подавай именно реализацию на... JavaScript. [genius_meme.jpg]

     
     
  • 3.30, Аноним (30), 17:07, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >нынешние смартфоны мощнее настольных ПК 90-ых. Но они не мощнее настольных ПК нулевых

    Уж таки и не мощнее P-III и AthlonXP, которые были одноядерными к тому же?

     
     
  • 4.69, Аноним (69), 12:55, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ядра 15 века не мощнее ядер 17-ого.
     
  • 3.42, Аноним (42), 22:22, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Глупости. В Firefox для Android прекрасно работает uBlock и ничего не тормозит. А телефон у меня за 10 тысяч (RN7), наверное у любого школьника не хуже.
     
  • 3.47, AleksK (ok), 06:17, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В мобильном FF прекрасно работает ublock. А где же в мобильном chrome резалка рекламы?
     
  • 3.61, Ordu (ok), 16:31, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Например, реализовав движок AdBlock непосредственно на C++ и вкомпилив его в мобильный хром.

    Чувак, послушай сюда, и не говори, что не слышал. Основной принцип оптимизации кода -- это "профайлинг проводится до оптимизации". Когда ты оптимизируешь там, где не нужно, ты тратишь ресурсы впустую, лучше бы помастурбировал, больше пользы было бы.

    Прежде чем говорить, что блокировка ресурсов на js тормозит, пойди и проверь, тормозит ли она или нет. То есть, понятно, она будет выполняться медленнее чем то же самое написанное на C++, но если это медленнее -- это разница между 0.01ms и 1ms на страницу под завязку набитую ссылками с кучей рекламных, то поверь мне, никто никогда не заметит этой разницы. Если руки чешутся оптимизировать, то пойди оптимизируй что-нибудь другое.

    > Уже реализовано и вкомпилено BTW, но тебе на мобилы подавай именно реализацию на... JavaScript. [genius_meme.jpg]

    Естественно. Разные реализации разные, среди js'овых реализаций есть не зависящие от гугла или от других, заинтересованных в доставке рекламы.

     
  • 2.27, Аноним (27), 16:48, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Андроид это как раз к тем, кто постоянно кричит о зондах, привате и большом брате в ветках про браузеры.
    Кам хиа на андроид, господа. Давайте пpocтитутkу оденем в школьную форму.
     

  • 1.2, Аноним (2), 11:40, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Гугл опять делает всё через одно место. Если юзер в настройках САМ задал 8.8.8.8, то логично что он а) понимает что делает б) хочет чтобы использовался именно 8.8.8. Если бы он хотел использовать "https://dns.google.com/dns-query" он бы так и прописал.

    Но гуглу виднее и он делает опцию под названием "Да, я действительно хочу использовать тот ДНС сервер что я перед этим тебе уже указал, а не тот что ты мне впариваешь"

     
     
  • 2.13, Аноним (13), 12:56, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, своременный смартфон де-факто уже не ваше устройство, а вендорское.
    И вендор делает со своим устройством все, что считает нужным. Вам остается либо согласиться, либо перейти на что-то другое (LineageOS/кнопочную звонилку/уличные таксофоны).
     
     
  • 3.17, пох. (?), 14:43, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Слышь, гугль, ну так может ты за _свое_ устройство хотя бы сам и платить будешь?

    Вообще-то неплохо бы еще и за свой интернет, а то с твоим google wire обсдачка вышла.

    > LineageOS/кнопочную звонилку/уличные таксофоны

    уп-с.... да поняли мы, поняли, господин.

     
  • 2.21, OpenEcho (?), 15:14, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Если юзер в настройках САМ задал 8.8.8.8, то логично что он а) понимает что делает б) хочет чтобы использовался именно 8.8.8.

    От того что юзер "понимает и хочет" - это не значит что ему это позволенно интернет провайдером.

    Проблема то  в том, что есть провайдеры, которые перекрывают доступ ну любой 53-й порт кроме их собственного шпионо-ДНС и единственный способ резолвить в этом случае через криптованный ХТТП трафик.

    Ну а гугля, как обычно, быстро подсуетился и понес "добро" в массы уже не на уровне провайдера а глобально

     

  • 1.6, Аноним (6), 12:20, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    расскажите плиз чем это хорошо в борьбе с роскомпозором?

    они могли перехватывать запросы к DNS и подменять ответы? а теперь не могут?

    как с ними бороться? положим у меня есть сервер и приложение. в приложение встраиваю DNS-over-HTTPS выходит получаю правильные ip от DNS, но ip то-же можно блокировать. Выходит постоянно меняю ip на DNS? какой тут алгоритм?

     
     
  • 2.8, Аноним (2), 12:31, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо это работает только если блочат/подменяют ДНС но не трогают ИП
     
     
  • 3.12, Аноним (13), 12:47, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    То есть в откровенно нищих банановых демократиях.

    В этой стране даже небольшие провайдеры Мусохранска уже давно поставили DPI.

    А вот то, что пользователь не сможет блокировать трекеры и рекламщиков через использование своего DNS - выглядит как конечная цель всей этой возни. После того, как 90% хомячков перейдут на DoH, поддержку plain DNS можно будет и удалить. Как небезопасную.

     
     
  • 4.18, гугель (?), 14:48, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну почему же - в мурзиле мы вам ее оставим.

    Надо будет трижды подпрыгнуть, два раза при этом хлопнув в ладоши, откроется волшебная ссылка, куда надо ввести пароль разлочки показываемый на 1/10 секунды только при установке мазилы, чтобы появился доступ к волшебному файлу политики, в нем легко и просто разблокируете обработку prefs.js, там введете пять скрытых преференсов, которые возьмете хрен знает где, и вот - у вас работает общесистемный ресолвер.

    Правда, в следующей версии порядок действий будет уже немного другой, чтобы вам не скучать.

     
  • 4.22, Аноним (22), 15:19, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И в богатых демократиях В Великобритании цензурят по DNS, поэтому там так вспол... большой текст свёрнут, показать
     
     
  • 5.50, Аноним (13), 09:59, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И чем для продвинутого юзера установка локального (или удаленного) DoH резолвера с фильтрацией сложнее установки plain резолвера с фильтрацией?

    Установить-то вы можете, только кто вам даст его использовать?
    Забота о безопасности пользователя - это прежде всего блокирование "недоверенных" DoH-провайдеров.

     
  • 4.24, Аноним (24), 15:45, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В этой стране применяют и то, и другое. И третье.

    Зачастую схема такая: шлём фейковый DNS-ответ и одновременно работает DPI. А если DPI не смогла понять, что это за трафик, врубается жёсткая и тупая блокировка по IP.

     
     
  • 5.29, Аноним (27), 16:51, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вы из какой страны? Вы какаете там где живёте? Это кредо?
     
     
  • 6.33, Аноним (22), 18:34, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вы какаете там где живёте?

    А вы какаете не в квартире/доме? Канализация зло, предпочитаете туалет на улице с выгребной ямой?
    И в чем суть вопроса? Где аноним какал на страну? Он описал схему блокировок. Это описание пачкает страну?

     
     
  • 7.44, Аноним (44), 23:36, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А как какать?
     
  • 4.39, Аноним (39), 20:38, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если ты про pi-hole то уже и так не может. Даже без DoH. В приложениях уже защиты dns гугла и не важно какой у тебя днс поэтому здесь необходим роутер который редиректит весь 53 порт на себя. Во многих роутерах уже есть такое кстати. Так что pi-hole и её альтернативы без настроенного роутера уже давно бесполезны.
     
  • 2.9, Аноним (13), 12:38, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  расскажите плиз чем это хорошо в борьбе с роскомпозором?

    Нет, только с бриткомпозором https://www.opennet.ru/opennews/art.shtml?num=51046

    Ну а если серьезно, то достаточно заблокировать соединения на DoH-провайдеров и...
    > В случае сбоев в работе DNS-over-HTTPS предусмотрена возможность отката настроек на обычный DNS

     

     
     
  • 3.14, Аноним (6), 13:18, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ага заблокировать 8.8.8.8, ну удачи им че
     
     
  • 4.15, Аноним (15), 13:25, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем им блокировать свой митм?
     
  • 4.51, Аноним (13), 10:05, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ага заблокировать 8.8.8.8, ну удачи им че

    Если заблокировать HTTPS и оставить DNS - все будет норм.

     

  • 1.23, Аноним (23), 15:36, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще фиолетово. Браузер бы лучше нормальный сделали выкинув всякую ерунду.

    А так то лазить по web с мобилы - ну такое....

     
  • 1.25, rvs2016 (ok), 15:58, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > если у пользователя в системных настройках указан DNS 8.8.8.8,
    > то в Chrome будет активирован DNS-over-HTTPS сервис Google

    Так. Теперь надо срочно валить все эти 8.8.8.8 из списка серверов, чтобы не напороться на этот DoH.
    Указывал раньше эти 8.8.8.8 в качестве сильно запасных серверов, но теперь надо будет обходиться без них.

     
     
  • 2.38, Аноним (39), 20:33, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Давно пора и не только гугловые.
     
  • 2.52, nebularia (ok), 10:08, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И что же плохого в DoH? Про приватность DNS гугла сейчас не будем, он и так уже добавлен в список серверов.
     
     
  • 3.60, rvs2016 (ok), 16:01, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И что же плохого в DoH? Про приватность DNS гугла сейчас не
    > будем, он и так уже добавлен в список серверов.

    Да-да. Дело не в приватности, а том, сломается доступ к ресурсам интранета, если на запросы об адресах из сети 192.168.0.0/24 ответы начнут давать какие-то левые серваки в случае если браузер начнёт запросы DNS слать не в порядке, установленным в системе (сперва на свои сервера имён, а только потом на запасные чужие), а сразу на левые сервера.

    Доступ-то к ресурсам интранета может сломаться и без DoH, если свои сервера имён заглючат. Но это ситуация нештатная, которая требует какого-то внимания - ручного или автоматического для исправления. А тут на тебе - какой-то браузер самовольно начнёт слать запросы DNS куда попало.

     

  • 1.26, rvs2016 (ok), 16:03, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > DNS-over-HTTPS не применяется при определении
    > использования браузера в централизованно управляемых системах

    Ну это, конечно, хорошо.
    Вот я единолично и централизовано настраиваю все хосты нашей локальной сети.
    Плохо только то, что я не знаю - каким способом Чром узнает о том, что у меня в локальной сети настройки делаются централизованно? Кстати - а как Чром это узнает? Я же Гуглу об этом заявление не писал.

     
  • 1.35, Спарта (?), 20:24, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Утечек... За всех думают, неся типа добро в массы... Шпионы хреновы)) Звучит смешно. Утечки есть всегда и остается лишь решить кому и куда слить инфу куда ты ходишь. Лично я предпочитаю сливать это своему провайдеру. Да и нет никакой разницы.
     
     
  • 2.56, Xasd6 (?), 11:06, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Лично я предпочитаю сливать это своему провайдеру

    ну да, ну ду, ведь когда свои бьют по яйцам это же приятнее чем... чем когда... чем когда чужие... чем когда чужие НЕ бьют вообще (ээээ... так! СТОП!)

     
  • 2.65, Аноним (-), 00:12, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и провайдеры подтянулись ))
    Ну да, вам кошерно мониторить хомяуов
    Как же без вас?
     

  • 1.36, Аноним (39), 20:29, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Неужели так много народу режет рекламу и телеметрию по dns что у гугла так бомбануло?
    И ещё, тем кто советует всякие ublock/adblock хочу напомнить что браузер тут вообще не причём, в приложениях собирается куда больше инфы чем с браузера. Так что пока без своего dns никак. Особенно в крупных сетях где от 50 и больше компов.
     
  • 1.37, Соня Мармеладова (?), 20:33, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все правильно. Сейчас посодют весь мир на гугель и на анбэшный cloudflare, а потом скажут: вы хотели децентрализации инета? Рутовых dns? Ну держите. Ах это уже не используется? Ну звиняйте.
     
     
  • 2.41, kusb (?), 21:49, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://resolve.local

    /etc/hosts/
    doh.prism.bigdata.claster.nsa.gov resolve.local

     

  • 1.40, kusb (?), 21:27, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    I need http/s over dns
     
  • 1.43, anonymous yet another (?), 22:26, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS

    Ммда... "Пора покончить с этими разношёрстными MITM, MITM должен быть один, настоящий, проверенный, надёжный; MITM, которому ты доверяешь".

     
     
  • 2.45, Аноним (39), 00:31, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати не получится у них ничего. Если включать doh то это очень медленно, лаги и тормоза заметят все. А если ещё больше народу подключат то вообще угробят все. Пилят сук на котором сидят и не могут наконец смирится с тем что их трекеры и Аналитики уже давно ни у кого не резолвятся. Вот и бесятся. Не приятно им.
     
     
  • 3.57, Xasd6 (?), 11:10, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > это очень медленно

    но почему?

     
  • 3.66, Аноним (-), 00:13, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно ))
    Скоростной вы наш
    Вот так прям и заметят?
     

  • 1.46, Аноним (46), 03:25, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Почему DNS over HTTPS, а не DNS over TLS?
    Второй ведь проще в разы
    И по факту просто прикрытый SSL DNS сервер, свой поднять за 5 минут можно проксируя трафик тем же Nginx
    Второй какой-то лишний overhead
    Пример - у меня роутер keenetic и поддерживает оба клиента, так с DOH время задержки в 2-3 раза дольше чем с DOT и я использую DNS over TLS в итоге на сервера Google и Cloudflare и весьма доволен, нет увеличения времени резолвинга в отличие от DoH
    Также, отмечу, что у 1.1.1.1 есть сервер в России в отличие от 8.8.8.8
     
     
  • 2.58, Xasd6 (?), 11:15, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну потому что экономия на спичках -- в ущерб надёжности.

    ты так рассуждаешь будто во время открытия web-страницы у тебя кроме DNS-ресолвинга ни чего больше не происходит. :-)

    ды пусть он будет хоть в 10 раз медленее, главное чтобы в итоге он выполнил бы свою задачу.

    и так сложилось что https-запросы сейчас гарантированно работают в любых Интернетах -- как стандарт де факто.

    а всё остальное (протоколы/порты) может не работать это на усмотрение степени упоротости интернет-провайдера

     
  • 2.59, Xasd6 (?), 11:17, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Также, отмечу, что у 1.1.1.1 есть сервер в России в отличие от 8.8.8.8

    и как эту информацию использовать? у нас вообще-то тут глобальная сеть -- нам в чём техническая разница на каком государстве расположен хост?

    или это опять про скорость?

     
  • 2.67, Аноним (-), 00:14, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что dnscrypt лучше
     

  • 1.71, Аноним (71), 11:14, 06/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    блин вот не понимаю зачем пихать в браузер если оно уже есть в ОС android (правда по умолчанию не включено)? ну а также есть в винде и в том же кинетике и микротике.  да, в андроиде по умолчнаию не включено плюс появляются заметные тормоза (зачем они сделали этот DoH а не DoT непонятно)
     
     
  • 2.72, 123 (??), 04:56, 07/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже включено в последних андройдах по умолчанию.
    А зарезали после крупного форса pi-hole на реддите где народ массово ставит блокировки по dns. В СНГ по этому поводу очень мало инфы, отсюда народ и не понимает зачем и почему все это происходит.

    Только вот сам DoH сервер окажется в первые сутки во всех блеклистах. До него то резолв пойдёт обычным dns.

    Но смузихлебы из гугла пока пока этого не понимают.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру