| 1.1, Аноним (1), 11:33, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности
А в чем ошибка была, собственно?
| | |
| |
| 2.9, Аноним (9), 11:44, 31/01/2024 [^] [^^] [^^^] [ответить]
| +15 +/– |
Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY. Они параллельно пилят отечественный изолированный DNS (НСДИ, национальная система доменных имён), видимо ключи c ним перепутали. Но подробностей что у них случилось пока нет, лишь общие отписки.
| | |
| |
| |
| 4.77, Ананий (?), 13:10, 31/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Причем тут СПО и зачем что-то пилить?
Косплеить корневой сервер можно хоть на MS Шиндовс
Все и так готово к своим доменным именам.
Делаешь свой корневой сервер, пилишь там свои зоны с поэтессами и настраиешь свой комплюктер на взаимодействие с ним.
Все тоже самое, но в масштабах государства.
Если захотят прозрачно, то из-за этих ваших днс-секов и днс-офер-хттп клаудфларесеков - не получится. А так заворачивать 8.8.8.8 на свои научились уже давно.
| | |
|
| 3.36, Аноним (36), 12:15, 31/01/2024 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY.
Похоже, у них там свой набор верхних корневых днс-серверов. Его ключом и подписали. Но выдали в запросах с общепринятых корневых, а не со своих. Ждать осталось недолго, когда теневая система заменит основную. Шифрование/сертификаты - там всему можно перестать доверять уже сейчас.
| | |
| 3.37, Аноним (37), 12:15, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>видимо ключи c ним перепутали
А какой смысл использовать разные ключи?
| | |
| 3.52, нах. (?), 12:44, 31/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.
Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.
| | |
| |
| 4.54, Аноним (54), 12:49, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Но поскольку это кого надо НСДИ
Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пока не зависит, поэтому прошло почти незаметно.
| | |
| |
| 5.55, нах. (?), 12:52, 31/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Еще как уже зависят. Просто тебе об этом не доложат.
Просто поскольку он сам себе корень - его дернуть можно было без шума и пыли. Ну а насколько оно нечаянно получилось (те кто переключили свои ресолверы на НСДИ вряд ли сегодня отключат) - это вот вопрос к товарищмайору. Но у нас с тобой не те звания чтоб нам донесли ответ.
| | |
| |
| 6.85, San (??), 13:24, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Докладываю: ни один провайдер долго не проработает, если его днс-серверы не будут подключены к НСДИ. Могу утверждать, как сотрудник провайдера выполнявший данные требования на днс-серверах нашей компании.
| | |
| |
| 7.86, нах. (?), 13:27, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А чего тут тогда все у всех навернулось? Они ж там всепачинили через пять минут после того как кто-то умный показал на ошибку.
Где-то что-то ты привираешь. Как они могут проверить что и куда у тебя там подключено? Роспозоровская коробка этого не умеет, никаких "ежедневных выгрузок" (где тоже смешно потому что проверяется что ты их скачал а не куда именно засунул) и вроде никаких очевидных способов.
| | |
|
|
|
| 4.154, Аноним (154), 15:08, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.
Быстренько? Да он минут 20 косплеил под всех отвечая на всё SRVFAIL. А потом там додумались или отключить валидацию или подсунуть свой ключ.
А корень .ru просто за DDoSили резолверы, которые тыкались во все прописанные в зоне адреса, получали подписанный ответ, проверяли, выкидывали и так по кругу.
>Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.
Да не, это хорошо. Представляю, сколько лавок вспомнило, что умный админ таки нужен, а не "Петрович из отдела продаж настроил, он умеет".
| | |
|
|
| 2.39, Bonjovi (?), 12:20, 31/01/2024 [^] [^^] [^^^] [ответить]
| –6 +/– |
Здесь все намного проще. Перед выборами шaтaют не только интернет, но и сотовую сеть. У меня и еще нескольких соседей последнюю неделю МТС жестко сбоил (отключалась симка, пропадала связь, либо не работал мобильный инет). Читал, что на днях к опcоcам пришли в гости cилoвики и опять что-то там "модернизировали". Видимо, готовятся к неким событиям ближайшего будущего... Так что впереди нас ждет еще много интересного...
| | |
|
| |
| 2.57, Ivan_83 (ok), 12:53, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
 +1
DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натянул.
У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких проблем с инетом не было.
Некоторые провайдеры тоже додумались что так можно починить, остальные просто жевали сопли и не понимали что происходит и что делать.
| | |
| |
| |
| 4.75, Ivan_83 (ok), 13:08, 31/01/2024 [^] [^^] [^^^] [ответить] | +2 +/– | Нет Это когда то ходили байки что можно отравить кеш резолвера посылая ему пост... большой текст свёрнут, показать | | |
|
| 3.88, нах. (?), 13:30, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> +1
> DNSSec для конечных потребителей устарел с тех пор как гугл всех на
> https натянул.
да он и раньше-то нахрен был не нужен. Очередная диверсия от профессоров далеких от реальности и не пользующихся компьюктором, на денежки которые все равно нельзя было потратить на гостинницу в Майами (а вот тут стало можно - мы соберем в ней конференцию по DNSSEC!)
> У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких
> проблем с инетом не было.
а там точно нет каких glue records которые просто перестали отдаваться?
| | |
| |
| 4.94, Ivan_83 (ok), 13:37, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я не дебажил.
Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как работало так и продолжило.
Насколько я понял проблема была в том, что для зоны ru ответы всех DNS серверов второго+ уровня стали дропатся как не валидные из за DNSSec.
А раз он у некоторых был отключён то для них ничего не поменялось.
| | |
| |
| 5.136, нах. (?), 14:48, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Я не дебажил.
> Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как
> работало так и продолжило.
а там на диске нет кэша gtld ?
> Насколько я понял проблема была в том, что для зоны ru ответы
> всех DNS серверов второго+ уровня стали дропатся как не валидные из
> за DNSSec.
там вопрос в том чтоб . тебе glue records отдал - а то он же полезет (или нет?!) проверять в зону ru, ой, ключ неправильный, нибуду нихачю натебе servfail
| | |
| |
| 6.159, Ivan_83 (ok), 15:21, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
На диске вроде никаких кешей нет, только рутовые сервера и может их ключи.
DNSSec у меня выключен:
module-config: "iterator"
(если бы включён был то это "validator iterator"), поэтому никаких ошибок в принципе нет и не будет.
| | |
| |
| 7.202, fuggy (ok), 19:28, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время как остальных dnssec защитил от возможной подмены. Безопасность уровня: я отключил антивирус, а то он пищит и мешает файлы открывать.
| | |
| |
| |
| 9.244, Sem (??), 18:40, 01/02/2024 [^] [^^] [^^^] [ответить] | +/– | Твоя безопасность - это твое дело Никто не должен тебе ничего доказывать ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.243, suffix (ok), 16:55, 01/02/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну не скажите.
Допустим у Вас очень большое количество пользователей ведут переписку по email. Руководство озаботилось шифрованием переписки и выбрало для этого s/mime. Ну получили Вы сертификаты s/mime на каждый email адрес. И как теперь распространить это по всей огромной толпе пользователей ? А сертификаты ещё и менять периодически надо !
Всем пользователям устанавливается Thunderbird и плагин к нему Great DANE for Thunderbird, а все сертификаты s/mime помещаются в DNS записи SMIMEA. И всё будет проверяться, шифроваться автоматом у всех и менять сертификаты легко - достаточно запись SMIMEA изменить. Разумеется чтобы это надёжно работало эти записи SMIMEA в DNS должны быть подписаны DNSSEC.
| | |
| |
| 4.255, Аноним (255), 20:06, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> очень большое количество пользователей ведут переписку по email
Бывает.
> Всем пользователям устанавливается Thunderbird и плагин
Не бывает. У всех пользователей уже стоит Outlook, в котором шифрование емейлов из коробки.
| | |
|
|
|
| 1.3, Карлос Сношайтилис (ok), 11:38, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Причины инцидента в зоне RU пока не детализированы
Свидетельство канарейки?
> временно отключив в настройках своих резолверов верификацию через DNSEC
Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся
| | |
| |
| 2.27, keydon (ok), 11:58, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 > Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся
И по http ходить на всякий случай. Вдруг он тоже сломается.
| | |
| |
| 3.35, rvs2016 (ok), 12:08, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > И по http ходить на всякий случай
Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу, а пользователи сайтов не разбираются в том, что эту помойку в сайты наталкивает Ростелеком и обвиняют в этом хозяев сайтов. Приходится использовать https.
Да и когда по требованию РКН сайт блокируют, то на месте http-сайта появляется фишинговая страница с информацией о блокировке сайта (если блокируют порчей отдаваемого с веб-сервера потока, а не заменой ip-адреса сервера в его зоне), а через https такая страница появляться наверно ж не должна (не проверял, ибо после перевода сайтов на httpы их по требованиям РКН не блокировали у нас уж).
| | |
| |
| 4.41, Бывалый смузихлёб (?), 12:24, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
По http вроде бы как можно было заблокировать конкретную страницу, на которой и содержится нарушение, т.е сам ресурс мог оставаться вполне доступным
Тогда как с https - вообще всё нафиг рубится
| | |
| |
| 5.43, rvs2016 (ok), 12:30, 31/01/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Да Можно заблокировать только одну страницу И РКН в своём требовании к провайд... большой текст свёрнут, показать | | |
| |
| 6.92, Бывалый смузихлёб (?), 13:36, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Тогда как с https - вообще всё нафиг рубится
> А с https всё отрубится как, если с веб-сервера к клиенту будет
> идти https-поток, в который никто не сможет вставить спам о том,
> что "страница заблокирована по решению тра ля ля"?
> Это вот если они для блокировки в зоне подменят ip-адреса веб-сервера, то
> на своём подставном веб-сервере, конечно, напишут про то, что "заблокирована тра
> ля ля".
Они порой ничего не пишут - страница тупо не открывается, падая по превышению времени ожидания
| | |
|
|
| 4.80, Ананий (?), 13:16, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу
Лол, таким еще кто-то занимается?
Помню пяток лет назад этим сначала стали промышлять билайны-мтс, пихая ссыль на личный кабинет, потом местячковые провайдеры уже с рекламой. Но и те и другие быстро огребли, да еще насладились радостными отзывами в тех поддержку, из-за чего через пару месяцев прекратили безобразничать.
| | |
| |
| 5.96, rvs2016 (ok), 13:39, 31/01/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Ага Занимаются да притом ещё как После того, как мы наши сайты на https перекл... большой текст свёрнут, показать | | |
| |
| 6.107, Maxim Chirkov (ok), 14:04, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 > Опеннетовские страницы, бывает, из rss открываю, и на страницах Опеннета в таких случаях тоже замечаю
Можете точнее написать в каких RSS остаются ссылки на http? Я вроде очень давно везде переделал только на https, но может где-то пропустил. HTTP на opennet должен оставаться только при прямом входе на внутренние страницы, в остальных случаях должно перебрасывать на HTTPS.
Разбор подстановки рекламы от ростелекома: https://opennet.ru/52444
| | |
| 6.114, Аноним (114), 14:22, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
У меня так opennet в закладках оставался как http. После переустановки ос сначала удивлялся, что за дичь лезет, потом посмотрел, что это от ростелекома подарки
| | |
| 6.280, Анонимщик (?), 10:45, 03/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
На http сайт сейчас еще постараться надо, чтобы зайти. Все хромо-клоны верещат как резаные при открытии http.
| | |
|
| 5.222, Аноним (222), 22:27, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как постоянный пользователь Мегафона подтверждаю, тоже регулярно вставляет рекламу в http.
| | |
|
|
| 3.61, Ivan_83 (ok), 12:55, 31/01/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
У меня мой сайт только по http, https есть но там самоподписной сертификат.
Нет смысла ложится под американцев в плане доступности.
| | |
| |
| 4.91, нах. (?), 13:35, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> У меня мой сайт только по http, https есть но там самоподписной
> сертификат.
> Нет смысла ложится под американцев в плане доступности.
У тебя уже ж есть не легший под американцев аналоговнеимеющей браузер который не покажет при этом пустое место или вообще СТРАШНУЮ СТРАНИЦУ ПОЛНУЮ НЕВЕДОМОЙ ХРЕНИ вместо сайта?
Или твой сайт такое ненужно что еще и к паблик интернету вообще не подключен?
| | |
| |
| 5.95, Ivan_83 (ok), 13:38, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Подключён, и иногда на него даже кто то попадает :)
Но в целом там странное и мало кому нужное :)
| | |
| |
| 6.125, нах. (?), 14:41, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Подключён, и иногда на него даже кто то попадает :)
> Но в целом там странное и мало кому нужное :)
ну так с тем же успехом мог бы и вообще его выключить, надежно, безопастно, днс ниннуна.
Большинство-то держит свой сервер чтобы либо поделиться с кем-то информацией, либо коготу...э...поделить.
Мне, любимому, для себя и ftp хватит (и я его адрес кстати помню без всякого dns)
| | |
| |
| 7.156, Ivan_83 (ok), 15:11, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Я тоже чтобы поделится.
В своё время послал хубр и перетащил всё к себе.
Но это весьма специфичная инфа, думаю максимум 10к людям в год такое надо.
Я слишком много переезжал и долго сидел на динамическом IP чтобы помнить IP :)
И уже давно по IPv6 тоже доступен.
| | |
|
|
|
| 4.97, rvs2016 (ok), 13:45, 31/01/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Ну когда пользователям на http-сайте пишешь про то, что, дескать, тоарищи, помой... большой текст свёрнут, показать | | |
| |
| 5.124, Ivan_83 (ok), 14:40, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
У меня нет такой проблемы, а проблемы абонентом ростелекома меня не волнуют, впрочем и я им тоже не нужен :)
Но вы похоже не очень во всём разбираетесь, ибо помойку ростелека можно было заблочить на уровне браузеров, просто добавив нужные заголовки в ответ.
| | |
| |
| 6.184, rvs2016 (ok), 18:23, 31/01/2024 [^] [^^] [^^^] [ответить] | +/– | Какие заголовки надо с веб-сервера отправить вместе со страницей в браузер польз... большой текст свёрнут, показать | | |
|
| 5.128, нах. (?), 14:43, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
кстати, когда я увидел таки единственный раз (правда не ростелек а мегафон) на любимом опеннете - я даже не сразу понял, что это неправильная реклама.
Потому что она очень аккуратно была всунута вместо рекламы опеннета - на то же место или рядышком (но спалились потому что та заблочена ублоком... ну ок, добавил еще и эту тоже)
Т.е. пострадавших на самом деле вообще было ровно ноль.
| | |
|
|
|
|
| 1.4, Аноним (4), 11:40, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Надуюсь подробный публичный отчет будет по инциденту. Не очень красиво получилось.
| | |
| |
| |
| 3.47, Бывалый смузихлёб (?), 12:33, 31/01/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
На днях( кажись, в минувшую пятницу. Ночь-раннее утро ) примерно так же отвалились забугорные ресурсы
Вообще нифига не отрывалось но дзен работал
Примечательно, что вообще никто не заметил
Нынче - ru-сайты
Уж было думал что провайдер халтурит
Но ему повезло. На этот раз
> Он будет, но вам его не покажут. Если вы не с той стороны социума, конечно
Дело не в сторонах социума, а в наличии смысла
Какой толк от того что аноним узнает точные детали ?
Ну пожмёт плечами, скажет "ну ок" и что, он что ли в след. раз будет прибегать исправлять падение сети ?
| | |
| 3.131, нах. (?), 14:44, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Он будет, но вам его не покажут. Если вы не с той
> стороны социума, конечно
да, у товарищмайора-то на столе лежит, учения по мягкому принуждению на переключение на национальный чебурнет выполнены успешно, результат достигнут, количество запросов выросло на столько-то... но нам он его, увы, не покажет.
| | |
|
| 2.46, Аноним (46), 12:33, 31/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Надуюсь подробный публичный отчет
Это должен быть не отчет, а процесс! Ибо - повреждение критической инфраструктуры.
| | |
| |
| 3.233, Аноним (233), 05:19, 01/02/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали | | |
|
|
| |
| 2.14, Аноним (4), 11:48, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Фигасебе списочек там. В какую интересно номинацию попадет.
Мне очень зашла "Long DNSSEC outages".
| | |
|
| 1.7, Аноним (7), 11:42, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Вчера половина рунета отвалилась, да. Затронуло в основном пользователей DoH, остальным можно подсовывать любой левый трафик под видом настоящего.
| | |
| |
| 2.40, Random (??), 12:23, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Отключил временно DNSSEC на домашнем сервере, всё заработало.
| | |
| 2.64, Ivan_83 (ok), 12:58, 31/01/2024 [^] [^^] [^^^] [ответить]
| –5 +/– |
Потому что DoH/DoT и публичные 8.8.8.8 и пр аналоги держат те же дятлы которые не отключают DNSsec, в итоге результат их использования в лучшую сторону не отличался.
Притом локальные провайдеры некоторые додумались DNSSec отключить или он у них был выключен и у их пользователей всё работало.
| | |
| |
| 3.76, Аноним (7), 13:09, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот год назад вроде мега отвалилась, сейчас какие-то бесполезные сайты в рунете. Стоит ли отключать из-за очередного человеческого фактора dnssec? Это чтобы добавить ещё человеческого фактора в ситуацию, видимо, да?
| | |
| |
| |
| 5.93, Аноним (7), 13:36, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А зачем его включать когда большая часть трафика под TLS?
Чтобы не подменяли сайты на подконтрольные. Толку от tls, когда сертификаты часто совершенно левые? Как много пользователей вручную следит за внезапными сменами сертификатов на любимых сайтах? Я вот припоминаю несколько случаев, когда сертификаты с сайтами таким образом подменяли в РФ.
| | |
| |
| 6.99, Ivan_83 (ok), 13:47, 31/01/2024 [^] [^^] [^^^] [ответить] | +/– | Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпус... большой текст свёрнут, показать | | |
| |
| 7.104, Аноним (7), 13:51, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты ещё скажи митм никому не интересен, а последние 10 лет нам всем приснились. Все технологии давно отработаны.
| | |
| 7.117, Ананий (?), 14:32, 31/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | пойсон атаки подразумевают некого внешнего злыдня, а если злыдень - это провайде... большой текст свёрнут, показать | | |
| |
| |
| 9.245, Sem (??), 18:48, 01/02/2024 [^] [^^] [^^^] [ответить] | +/– | И какие защиты от спуффинга вы в вашем рекурсере применяли Расскажите, раз вы т... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.188, fuggy (ok), 18:53, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Как хорошо что есть личный локальный ресолвер.
Причём тут DoH. Зависит от оператора кто настроил валидацию dnssec, четыре восьмёрки, например включена валидация.
| | |
| |
| 3.192, Аноним (7), 19:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Четыре восьмёрки первыми начали подменять трафик в своё время, осадочек остался. Ну и, главная проблема, они регулярно отваливаются. То домены третьего уровня отвалятся, то просто лежат.
| | |
| |
| 4.205, Аноним (255), 19:39, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Да-да, и проблема сто процентов в Гугле, а не в твоём провайдере, который 8.8.8.8 прямо у себя на роутере завернул себе на 192.168.0.2, ага.
Комменты на опеннет даже смешнее «Смехопанорамы».
| | |
| |
| 5.206, Аноним (7), 19:50, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
О чём и речь. А что смешного тебе? Думаешь, в твоей стране такого не случится? Могу тебя расстроить, большинство стран начали оперативно перенимать опыт. Практически сразу.
| | |
| |
| 6.216, Аноним (255), 21:23, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
В моей стране принято соблюдать законы, регулятор не имеет доступа к инфраструктуре, а ISP без судебного постановления пальцем не пошевелит. Да и с постановлением не факт — успешно оспаривали и будут дальше оспаривать любую тупую полицейскую херню. Для того лоеры на зарплате и нужны.
| | |
| |
| 7.227, Аноним (7), 00:47, 01/02/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Даже если так, времени жить в мире розовых пони у тебя буквально до следующей локальной движухи. Наслаждайся пока, но готовься к сюрпризам.
| | |
| |
| 8.254, Аноним (255), 20:04, 01/02/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Понимаю, что для мордорцев это мир розовых пони Только вот я в этом мире розовы... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| |
| 2.18, Аноним (4), 11:52, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion или ipv6 адрес сайта.
| | |
| |
| 3.22, Аноним (28), 11:55, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты же на сайты, которые посещаешь, не вручную домены набираешь, а по закладкам, автодополнению, строке поиска заходишь?
| | |
| |
| 4.30, Аноним (4), 12:01, 31/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
50 на 50, если домен знаю наизусть то могу себе позволить нажать ctrl+T и начать его писать (скажем первые 4-6 символов), далее Enter.. но это не типичное поведение для большинства пользователей, да.
типично: закладки, для "любимых" сайтов и ввод названия, части домена в поиск для не столь любимых
| | |
| |
| 5.32, 12yoexpert (ok), 12:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
 а я чёт закладками никогда не пользовался, в ff по ним абсолютно неюзабельный поиск
| | |
| |
| 6.83, Аноним (83), 13:20, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
* в начале строки и ищет по букмаркам. Еще есть неплохая фишка с keywords, можно сделать шорткаты для самых нужных.
| | |
|
|
| 4.38, rvs2016 (ok), 12:16, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ты же на сайты, которые посещаешь,
> не вручную домены набираешь,
> а по закладкам, автодополнению,
> строке поиска заходишь?
Вручную. По закладкам ходить долго и неудобно. Их, конечно, для удобства могут выводить из меню на всякие более видные и более доступные места. Но это всё-равно не хорошо - мало ли что может оказаться в закладке. Да и для всех сайтов не хватит на экране места для закладок. А если закладки вызывать изнутри меню, то это уже дольше, чем их адреса набрать руками. :-)
| | |
| |
| 5.44, Аноним (44), 12:32, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Смысл закладок в том, что в поиске в адресной строке они вылезают даже при очищенной истории.
| | |
| 5.207, fuggy (ok), 19:55, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Закладки ещё нужно чтобы вместо легального сайта не переходить на какой-нибудь "0n1ine.sЬerЬank".
| | |
|
|
| 3.70, нах. (?), 13:04, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion
> или ipv6 адрес сайта.
главное даже не запомнить а найти в принципе - и быть хоть как-то уверенным что сайт не фейковый.
| | |
| 3.169, Аноним (2), 16:47, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Там был какой-то преобразователь aw34awfsdfa3rsdfasdf23r3q4rwedzfdsr3rqwefd.onion в opennet.tor
| | |
|
| 2.26, 12yoexpert (ok), 11:57, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
gemini ещё есть. Ещё в i2p неплохая идея, но нет клиентов (один на джаве, второй российский государственный на плюсах)
| | |
| |
| 3.34, Аноним (34), 12:08, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Gemini не работают без доменных имён, а следовательно и какого-нибудь DNS, что очень печально.
| | |
|
|
| 1.12, Аноним (28), 11:47, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
А зачем вообще менять ключ на аналогичный но параметрам, а не, например, постквантовый? Старый что скомпрометирован?
| | |
| |
| 2.16, Аноним (9), 11:50, 31/01/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
Время жизни ключа ограничена, поэтому регулярно выполняют ротацию ключей.
| | |
| |
| 3.21, Аноним (7), 11:54, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Он спросил зачем, а не почему. Ключи меняются на случай утечки, так менее реальная причина (тем не менее законная) на случай взлома за обозримое время.
| | |
| |
| 4.31, Аноним (9), 12:05, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Раз в три месяца планово заменяются ключи, типа защита на случай если ключ скомпрометирован.
Для "." ключи вообще раз в 15 дней меняют.
| | |
| |
| 5.65, нах. (?), 12:58, 31/01/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Раз в три месяца планово заменяются ключи, типа защита на случай если
> ключ скомпрометирован.
> Для "." ключи вообще раз в 15 дней меняют.
мысль о том что система автозамены ключей и есть наиболее вероятная точка компроментации - зуммеркам в голову не приходила, там все смузей занято.
| | |
| |
| 6.130, Аноним (130), 14:44, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 >мысль о том что система автозамены ключей и есть наиболее вероятная точка
>компроментации - зуммеркам в голову не приходила, там все смузей занято.
Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных концов мира. Если конечно не подделывать ключ для кого-то одного человека не страдающего паранойей. Но кому они нужны? А потом уже будет быстро произведён разбор полётов, каким образом был подменён ключ. Главное, что все подобные системы защищают это от массовой, долговременной подмены интернета какой-то дичью.
| | |
| |
| 7.133, нах. (?), 14:45, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>мысль о том что система автозамены ключей и есть наиболее вероятная точка
>>компроментации - зуммеркам в голову не приходила, там все смузей занято.
> Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных
так они будут - одинаковые. Никакой другой подмены в принципе быть не может.
Уровень понимания технологии что экспертами опеннета что теми кто принес нам это ненужное счастье - он вот примерно такой, ага.
| | |
| |
| |
| 9.143, нах. (?), 14:56, 31/01/2024 [^] [^^] [^^^] [ответить] | +/– | и Ключ у тебя - уже утек Все ключи правильно подписаны и переподписаны ничем ... текст свёрнут, показать | | |
|
| 8.247, Sem (??), 18:55, 01/02/2024 [^] [^^] [^^^] [ответить] | +/– | Если ключи одинаковые, то где подмена Я вам ключ подменил на тот же самый ... текст свёрнут, показать | | |
|
| 7.157, Ivan_83 (ok), 15:13, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
DNSSec ни от чего, тем более массового не защищает, не нужно сочинять.
| | |
|
|
|
|
|
|
| 1.48, Аноним (48), 12:33, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Небось ключи в зип архиве случайные люди шлют по электронке, а потом какой-нибудь младший техник (студент 2 курса менеджмент) вручную их устанавливает. Через убогую веб-панельку, написанную формошлепами 15 лет назад, где ни черта не видно и не понятно.
А должен всё это делать аккуратно написанный и протестированный код. И зону составлять, и обновлять, и сверять реальное положение дел с ожидаемым. Процедура отката на предыдущую конфигурацию должна занимать миллисекунды.
| | |
| |
| 2.53, нах. (?), 12:47, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
я тебя расстрою, наверное, но процедуры отката в dns - нет. Вообще. И любая ошибка там - надоооолго.
И вот с такими руками - да, приходят писатели "аккуратно написанного и протестированного" но не на то что на самом деле над тестировать, поскольку про технологию они не в курсе, понадергав копипасты из чатгопоты или стековерфлова не дочитав до ответа.
И не поспоришь, протестировано - вон, юнит тесты все прошли.
| | |
| |
| 3.172, Аноним (48), 17:09, 31/01/2024 [^] [^^] [^^^] [ответить] | +/– | На подконтрольной инфраструктуре откат должен происходить мгновенно Некорректна... большой текст свёрнут, показать | | |
| |
| 4.173, 1 (??), 17:48, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> разослав крупным операторам оповещение по электронке
А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или у вас uucp ?
| | |
| |
| 5.186, нах. (?), 18:40, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> разослав крупным операторам оповещение по электронке
> А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или
> у вас uucp ?
дойдет, у нормальных-то домены в .net, только вот - noc@ какого-нибудь tele2 (ни разу не в Москве и хрен ты ему сделаешь) только хихикнет и удалит нафиг твою писульку.
Я же говорю - это д-лы с образованием семь классов и еще три - кадетской школы. В принципе, не удивлюсь если такие в росниирос и его отвалившихся клонах и работают.
Думающие что по их писульке все побегут исполнять, а не удивленно спросят - "что это за хрен с горы тут командует? Обос...лись эти узкие в своем днс? Ну так это их проблемы."
| | |
|
|
| 3.182, Аноним (255), 18:20, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну тебе на твоей впс и правда не нужна никакая атоматизация, быстрее руками DNSSEC отключить, чем разбираться зачем он нужен и как им пользоваться.
| | |
|
| 2.120, nox. (?), 14:36, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Небось ключи в зип архиве
Хорошо Вы о них думаете. В rar архиве.
| | |
|
| 1.56, чатжпт (?), 12:52, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вопрос не совсем в тему. В связи с блоком wg/openvpn кто-нибудь проверял, по ipv6 тоже блочат или еще нет?
| | |
| 1.60, Этофиаско (?), 12:55, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
Но виновных как всегда нет и наказывать никого не будут? :)
| | |
| 1.62, Аноним (-), 12:55, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
(Неужели чебурнет все ближе?)
Или просто так совпало и можно не беспокоиться?
| | |
| |
| 2.110, Ананий (?), 14:16, 31/01/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
> (Неужели чебурнет все ближе?)
> Или просто так совпало и можно не беспокоиться?
Логику по тиктоку не преподают, но можно прояснить - как связанны проблемы с зоной .ru и твой воображаемый чебурнет, о котором зумерки толдычат лет десять? Делаем зону ру недоступной, чтобы что? Чтобы пропиарить рутуб? Как это работает в воспаленном мозгу мамкиных революцинеров? Не могу распарсить.
| | |
| |
| 3.111, Макдональдс (?), 14:20, 31/01/2024 [^] [^^] [^^^] [ответить]
| +5 +/– |
> воображаемый чебурнет
> воображаемый
Такой воображаемый, что половина сайтов без VPN уже давно не открывается. ;)
Да и работающий VPN попробуй найди. Мобильный инет через день глушат. Но да, повторяй дальше свои мантры, незумерок.
| | |
|
|
| 1.72, Neon (??), 13:05, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Вообще не заметил никаких сбоев. Узнал о них лишь из новостей.
| | |
| |
| 2.79, Ivan_83 (ok), 13:11, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вам повезло, ваш DNS сервер выполняющий рекурсию был с отключённым DNSsec.
| | |
| 2.221, Аноним (221), 22:26, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Я вечером тоже сидел с выключеным инетом..
Вообще не заметил работает ли он
| | |
| 2.270, Kuromi (ok), 03:35, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
 На самом деле сбои были, но куда менее сильные чем писал народ. Ну да, кое что упало, вырубившийся Я.Такси когда тебе "ннада" это и правда неприятно, но в целом ничего такого страшного.
| | |
|
| 1.81, Всем Анонимам Аноним (?), 13:20, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Не знал, что в москве есть технический центр всего интернета
contact: technical
name: Technical Center of Internet
organisation: Technical Center of Internet
address: 8 Marta street 1, bld 12
address: Moscow 127083
address: Russian Federation (the)
phone: +7 495 730 29 69
fax-no: +7 495 730 29 68
e-mail: ru-tech@tcinet.ru
| | |
| |
| 2.210, fuggy (ok), 20:11, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если бы всего интернета он бы назывался Technical Center of the Internet само собой.
| | |
|
| 1.82, Ivan_83 (ok), 13:20, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
А я вчера ловил лулзы с беспомощных ИТ специалистов как на хубре так и у провайдеров.
На хубре калеки всё что смогли придумать - прописать ещё раз 8.8.8.8, который тоже использует DNSSec и точно так же не работал.
Через час до некоторых стало доходить но прочитать man unbound они не смогли, потому вместо module-config: "iterator" удаляли опцию с путём до публичных ключей корневых днс серверов.
У провайдеров народ тоже не вдуплял что проблема в DNSSec и что это ваще такое. Но это видимо касалось тех кто на форуме отписался, у адекватных видимо DNSSec изначально был отключён и о проблемах рунета они узнали от других пострадавших сильно после.
В итоге пострадавшие разделились на группы:
- те кто выключил сам DNSSec и излечился
- те кто боялись что то трогать, типа мы нипонимать, не хотим больше сломать
- те у кого своего DNS сервера нет, они бомжи паразитирующие на других
- те кому нсдпи или как его там запихали по самые гланды и сами они шевелится боятся, ибо как бы чего не вышло, вдруг кто то запрещёнку увидит
| | |
| |
| 2.89, _oleg_ (ok), 13:30, 31/01/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Ну ты нашёл где помощи искать - на околотехническом хабре. Там только поливать говном всё отечественное могут, вроде.
| | |
| |
| 3.102, Ivan_83 (ok), 13:49, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Мне помощь не нужна, у меня на unbound домашнем DNSSec всегда выключен и проблема меня не задела.
| | |
| 3.105, Аноним (-), 13:56, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> на околотехническом хабре
И вполне логично, что они не сильно разобрались)
Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
Прям наша страна - центр разработки.
| | |
| |
| 4.108, _oleg_ (ok), 14:04, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
> Прям наша страна - центр разработки.
При чём тут именно dns? Там разве не всё обсирают, что не сделано иммигрантами на западе?
| | |
| |
| 5.239, Аноним (2), 12:15, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
А что, не за дело обсирают?
Последнее, что было сделано так, что не стыдно показать -- это Heroes of Might and Magic V. В 2006 году.
А, ну Касперский, конечно. Ещё раньше сделан, в 90е.
| | |
|
|
|
| |
| 3.249, Sem (??), 19:00, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Даже не нужно в логи лезть. Пару dig, что бы понять, что это глобально сломалось и всё.
| | |
|
| 2.123, nox. (?), 14:38, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> На хубре калеки всё
Не смешно. Там вообще хоть одна буква ценной информации бывает?
| | |
| 2.211, fuggy (ok), 20:15, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
В официальной инструкции есть способ отключения dnssec как удаление пути до файла. Хотя отключить модуль было бы логичнее.
| | |
|
| 1.87, _oleg_ (ok), 13:28, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Мы у себя проблему в 19:17 увидели, а в 19:40 уже вырубили нахер dnssec.
| | |
| |
| |
| 3.103, Ivan_83 (ok), 13:51, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я клацаю игнорить, потому что на 99% сайтах которые я посещаю TLS не нужен, я там даже не авторизуюсь, потому мне абсолютно всё равно хакнули их или нет.
И большая часть ошибок это про истёкший сертификат.
| | |
| |
| 4.127, timur.davletshin (ok), 14:43, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 А потом, в тот момент, когда не нужно что-то делать, ты задним числом понимаешь, что зря это УЖЕ сделал на автомате. Что тебя остановит от клацания на автомате "Ignore"?
| | |
| |
| 5.142, Ivan_83 (ok), 14:54, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не нужно проецировать свои проблемы на других.
Я смотрю на сертификат только для тех сайтов где я авторизован и где эта авторизация чего то стоит.
Вот тут она ничего не стоит. А на сайтах банков стоит.
У гугла и некоторых других сертификаты припинены, и всякие мерзские HPTS автопиниги, так что там даже кнопки игнорирования нет.
| | |
| |
| 6.200, timur.davletshin (ok), 19:22, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не нужно проецировать свои проблемы на других.
Видал я таких умных, которые отправляли на автомате несколько миллионов в утиль, а потом оправдывались, что просто привыкли клацать. Нет у тебя такой защиты от дурака, ибо дураки все и я в том числе. Не надо вырабатывать у себя вредных привычек просто.
| | |
| |
| 7.250, Sem (??), 19:02, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ему DNSSEC не нужен, TLS не нужен. Зачем он вообще сюда зашел, не ясно.
| | |
|
|
|
|
| 3.106, _oleg_ (ok), 14:02, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Аха, вот такие, когда видят ошибку сертификата, тоже клацают "Игнорировать".
Какие такие, чудо? Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
| | |
| |
| 4.109, Аноним (7), 14:13, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Увы, таких помойных провайдеров полно. А DoH как раз и существует в том числе из-за того, что всегда найдётся подобный человеческий фактор и отключит dnssec.
| | |
| |
| 5.113, _oleg_ (ok), 14:21, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Увы, таких помойных провайдеров полно. А DoH как раз и существует в
> том числе из-за того, что всегда найдётся подобный человеческий фактор и
> отключит dnssec.
А doh тебе зачем, болезный?
| | |
| |
| 6.115, Аноним (7), 14:27, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа, конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось. А так доверия из-за подобных инвалидов сегодня никакого.
| | |
| |
| 7.118, _oleg_ (ok), 14:34, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа,
> конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось.
> А так доверия из-за подобных инвалидов сегодня никакого.
Блин, как тяжело с такими... Ты на вопрос не ответил. Перечитай, не в падлу.
| | |
| |
| 8.126, Аноним (7), 14:42, 31/01/2024 [^] [^^] [^^^] [ответить] | +1 +/– | А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера до клиен... текст свёрнут, показать | | |
|
| 7.149, Ivan_83 (ok), 15:03, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты не понял, DoT/DoH так же держат DNSSec включённым и точно так же вчера всех слали в /dev/null.
А провайдеры делают по тех регламентам и в пределах закона.
| | |
| 7.212, fuggy (ok), 20:33, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
То есть ты просто доверяешь человеческому фактору другого провайдера?
| | |
|
|
| |
| 6.138, Аноним (7), 14:49, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> DoH не исключает необходимости проверять DNSSEC. Вообще никак.
DoH действует в обход провайдера с некомпетентными сотрудниками. Естественно, не исключает. Но можно было бы обойтись и без него, не перекладывая заботу проверки на пользователя.
| | |
| |
| 7.166, timur.davletshin (ok), 16:30, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще то исключает, за тебя это делает владелец DoT/DoH сервиса.
Не придумывай. Нигде об этом в протоколе не говорится. Раз уж DoT упомянул, то тот же stubby специально оговорку об этом делает, и может делать проверку DNSSEC сам, а можно и при помощи dnsmasq.
| | |
|
|
| 5.146, Ivan_83 (ok), 15:01, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нет.
DoH/DoT это желание гугла/анб залезть в штаны хомякам против их воли, под предлогом бизапаснасти.
Если раньше хомяк должен был сам прописать 8.8.8.8 чтобы слить всё своё гуглу и обойти примитивный блок на уровне днс провайдера, то теперь DoT/DoH впихнули прямо в браузер и включили по дефолту. С такой штукой никакая телеметрия не нужна, вы сами всё слили.
DoT/DoH защищает от насильственного перенаправления днс трафика на свой днс провайдером, это такая телеметрия которая против античеловечных режимов, только её зачем то по всему миру включают :)
| | |
| |
| 6.161, Аноним (7), 15:35, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
DoH вполне может быть и подконтрольным. К примеру, тот же dnscrypt гарантирует, что айпи и сайт настоящие, а в трафик злоумышленники не могут вмешаться. Проверки в браузере могут быть перенаправлены на него, это штатная функциональность.
| | |
| |
| 7.163, Ivan_83 (ok), 16:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Чушь.
dnscrypt как и DoT/DoH гарантируют ровно тоже что и TLS: в ваш днс трафик никто не залез и не подсмотрел.
То что сайт настоящий - ну это ваще смешно, тут мало что поможет, кроме пининга самоподписных сертификатов и это при условии что сервер не взломают и не угонят TLS ключ или не заставят его проксировать откуда то.
| | |
|
|
|
| 4.134, timur.davletshin (ok), 14:46, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
С терминологией разберись сперва.
> Какие такие, чудо?
Вот такие, которые даже терминологии не освоили, но уже лезут отключать то, смысл чего ещё не поняли.
| | |
| |
| 5.141, _oleg_ (ok), 14:53, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
> С терминологией разберись сперва.
А что тебя смущает?
> Вот такие, которые даже терминологии не освоили, но уже лезут отключать то,
> смысл чего ещё не поняли.
Какие такие?
| | |
|
| 4.144, Ivan_83 (ok), 14:57, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Клиентам DNSSec не нужен, да и провайдерский сервер его может разве что ретранслировать, нагружая ничего не стоящую полосу бесполезным трафиком.
А вот говорить про апстримоский DNS - моветон.
Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка от апстримов или всяких 8.8.8.8.
И вот в этом месте некоторые считают что DNSSec нужен. Но я с этим не согласен, ибо как показывает практика проблем от его включения больше и они эпичнее :)
| | |
| |
| 5.150, _oleg_ (ok), 15:04, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка
> от апстримов или всяких 8.8.8.8.
Так и делают. Давно уже не помню, что бы магистралы dns давали, но и когда давали их не брали. Нет смысла. Лишняя точка отказа.
> И вот в этом месте некоторые считают что DNSSec нужен.
Ну вот, я ж и спрашиваю у местных параноиков - зачем? Какую-то мантру бездумно повторяют заученную и ничего вменяемого не пишут...
| | |
| |
| 6.152, Ivan_83 (ok), 15:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен, в книжке прочитали и поверили :)
| | |
| |
| 7.155, _oleg_ (ok), 15:11, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен,
> в книжке прочитали и поверили :)
Давно там не был :-). Но на наге так-то школьников разы меньше, чем здесь. Так что странно, конечно.
| | |
| 7.180, Аноним (255), 18:08, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Перечислишь админов и провайдеров по именам или ты это «чисто по ощущениям» знаешь?
| | |
|
|
|
|
|
|
| |
| 2.168, Sw00p aka Jerom (?), 16:35, 31/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
ессественно новенький админ, которого не курсанули, что при смене ключей необходимо заранее сообщить тов. майору :)
| | |
| |
| 3.251, Sem (??), 19:04, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если бы новенький админ, то не выпускали бы отчет со смыслом "это не мы такие, это DNSSEC такой. И вообще, переходите все на НСДИ.".
| | |
| |
| |
| |
| 6.273, n00by (ok), 07:56, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Коллизия - это, например, когда хеши от разных данных совпали. Тут требуется квалифицированный конспиролог, способный объяснить, почему поля Галуа весьма далеки от Эйфелевой башни.
| | |
| |
| 7.274, Sw00p aka Jerom (?), 09:23, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
- Почему у тебя нос сломан?
- Потому-что он столкнулся (коллизия) с чужим кулаком
Счастливое число Слэвина (ц)
| | |
| 7.275, Sw00p aka Jerom (?), 09:48, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 (ибо algo_id=8) как вы говорите столкнулся c хешем какого ключа? Со старым ключем ZSK? Ну и что?
| | |
|
|
|
|
|
| 2.171, Sw00p aka Jerom (?), 16:59, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> А кто же это сделал?
и прикол в том, что они на протяжении нескольких часов не вкуривали почему сигнатуры битые :) и тут вовсе не в кеше резолверов дело (зона богусной была и в кеш не сохранялась). Второй ключ был добавлен по рфц - заранее, а потом после определенного периода необходимо было просто переподписать записи новым ключем. Вот и переподписали, как и всегда переподписывали, но что-то пошло не так :)
| | |
| |
| 3.193, нах. (?), 19:08, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
я подозреваю в их офисе резко отвалился интернет, 4ge тоже пошло по п-де (кто не в курсе там без dns даже симку не зарегистрировать) и стало ну ооочень сложно что-либо траблшутить.
А националпредатели типа тебя, у которых вся внутренняя, внешняя и домашняя инфра не на gtld ru и которые наоборот не сразу даже заметили что что-то не так - в таком месте не работают.
| | |
| |
| 4.220, Sw00p aka Jerom (?), 22:25, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А националпредатели типа тебя
лол, кек у меня opennet.ru не открывался, вот и заметил :) а байки про то, что не тем ключем подписали или ПО днссека какое-то не такое, будете внукам рассказывать.
| | |
|
|
|
| 1.160, Аноним (160), 15:24, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Или их хакнули или они в очередной раз попробовали пропихнуть свои интернет по паспорту. И то и то не сработало. И то и то плохо. Может быть отключение защиты DNS на стороне провайдеров - это как раз то, чего они ждали? Может не стоит? Может пора переходить на CloudFlare?
| | |
| 1.164, Аноним (164), 16:12, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Еще Воланд говорил Канту за завтраком про DNSSEC: «Вы, профессор, воля ваша, что-то нескладное придумали! Оно, может, и умно, но больно непонятно.»
| | |
| 1.178, Аноним (255), 18:06, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
В очередной раз убедились, что DNSSEC отлично работает. И в том, что людей понимающих как он работает и как им пользоваться крайне мало. Последнее так же хорошо видно по переписи отключающих DNSSEC. Неуловимо напоминает рассказы «бывалых» про ненужность ремней безопасности.
| | |
| |
| 2.201, Ivan_83 (ok), 19:24, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Зачем нужен ремень безопасности когда ты находишься в жидкой среде близкой по плотности к твоему телу и всё вместе это находится в поле поглощающем инерцию?!
Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.
И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.
Но DNSSec дОлжон быть включён, ведь в книжке же написано!
А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.
| | |
| |
| 3.204, Аноним (255), 19:32, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.
«Фонаты» действительно много чего не могут. Попробуй спросить знающих людей.
> И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.
Вчера вкатился в айти по трёхмесячным курсам? Атаки по отравлению кэша перестали хорошо работать в какой-то момент, и причина тому отчасти DNSSEC.
> А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.
Вижу, что как работает DNS и DNSSEC в частности ты просто не знаешь.
| | |
| |
| 4.209, Ivan_83 (ok), 20:04, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Попробуй спросить знающих людей.
Те не вас?)
> Атаки по отравлению кэша перестали хорошо работать в какой-то момент
Покажите примеры успешных атак, потому что я читал только про лабораторные опыты в контролируемых условиях.
На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.
| | |
| |
| 5.218, Аноним (255), 21:29, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Те не вас?)
Как скажешь.
> Покажите примеры
Я тебе покажу, а ты скажешь, что я «фонат» и придумаешь, почему это тоже лабораторный опыт. Не первый месяц тебя наблюдаю, знаю что ожидать. В очередной раз убедился, что доказывать кому-то что-то на опеннете — такое себе.
| | |
| 5.226, Sw00p aka Jerom (?), 00:15, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.
кек, а че это много разве? одновременно досишь неймсервер, который должен прислать ответ, и шлешь 2^n пакетов на сервер рекурсивного резолвер, кеш которого хотим отравить. (ток не забываем врубить спуфинг)
А вот в случае с подписью днссек отравить кеш не получится. Даже если проспуфить и подсунуть ключ этого неймсервера. Надо проспуфить всю цепочку ключей от корня.
| | |
| |
| 6.234, Ivan_83 (ok), 06:51, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Нет, не много, но 2^16 надо слать на все порты, обычно это 1024-65535.
Те примерно ближе к 2^30 - 2^31.
Я там выше уже описал простой механизм противодействия этому: когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.
Худьшим вариантом станет возможность переключить на резолвинг через TCP и немного увеличить задержки при первом резолве. Юзеры не заметят.
| | |
| |
| 7.257, Аноним (255), 20:30, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.
Это ты отлично придумал! Теперь можно не только замедлить разрешение имён в атакуемом домене, но ещё и повалить твой рекурсор банальным TCP досом.
> немного увеличить задержки при первом резолве. Юзеры не заметят.
Не только заметят, но ещё и начнут жаловаться. Для многих компаний увеличение задержек ответов от рекурсора на 1ms — нештатная ситуация, требующая немедленного вмешательства. Кексперт опеннета как есть.
| | |
|
|
|
|
| 3.242, Kuromi (ok), 15:40, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Когда "амеры" это сделают, по ТВ просто скажут что надо везде прописать суверенные DNS серверы и все.
Примерно так получилось с выключением Мастеркарда\Визы - локальный эффект никакой.
С удалением приложений банков из Гугль Плей в общем эффект вышел почти обратный - сначала sideloading помог, а потом по факту добились запуска локальных альт-магазинов приложений.
| | |
| 3.263, Sw00p aka Jerom (?), 22:46, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда
> везде TLS.
TLS у вас от вашего браузера до "8.8.8.8". А DNSSEC от "8.8.8.8" до остальных неймсерверов.
> Но DNSSec дОлжон быть включён, ведь в книжке же написано!
Да, включен должен быть на рекурсивном резолвере.
> А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как
> чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что
> то там поменяют с DNSSec для этой зоны.
Делов то, попросят всех добавить "корневые-скрепные" сервера в файлик named.root :)
| | |
|
|
| 1.241, Kuromi (ok), 15:36, 01/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
| | |
| |
| 2.262, Sw00p aka Jerom (?), 22:30, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
> На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
> на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
> оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек" перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами днссек так же не работали :)
| | |
| |
| 3.269, Kuromi (ok), 02:25, 02/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
>> на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
>> оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
> есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек"
> перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами
> днссек так же не работали :)
Ну сорянчик, "боли роста", бывает.
| | |
|
|
| 1.276, Аноним (276), 11:33, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные у которых сорм по умолчанию.
| | |
|
