113

Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS

Торговые ассоциации NCTA, CTIA и USTelecom, отстаивающие интересы интернет-провайдеров, обратились в Конгресс США с просьбой обратить внимание на проблему с внедрением "DNS поверх HTTPS" (DoH, DNS over HTTPS) и запросить у Google детальную информацию о текущих и будущих планах по включению DoH в своих продуктах, а также получить обязательство не включать по умолчанию централизованную обработку DNS-запросов в Chrome и Android без предварительного всестороннего обсуждения с другими представителями экосистемы и учёта возможных негативных последствий.


Понимая общую пользу от применения шифрования для DNS-трафика, ассоциации считают недопустимым сосредоточение контроля за преобразованием имён в одних руках и привязку данного механизма по умолчанию к централизованным DNS-службам. В частности, утверждается, что Google движется в сторону введения в практику применения DoH по умолчанию в Android и Chrome, что в случае привязки к серверам Google приведёт к нарушению децентрализованного характера инфраструктуры DNS и возникновению единой точки отказа.


Так как Chrome и Android доминируют на рынке, в случае навязывания своих DoH-серверов Google получит возможность контролировать большую часть потоков DNS-запросов пользователей. Кроме снижения надёжности инфраструктуры подобный шаг также даст Google необоснованные преимущества перед конкурентами, так как компания получит дополнительные сведения о действиях пользователей, которые могут быть использованы для отслеживании активности пользователей и подбора релевантной рекламы.


Применение DoH также может нарушить работу в таких областях, как системы родительского контроля, доступ к внутренним пространствам имён в корпоративных системах, выбор маршрутов в системах оптимизации доставки контента и выполнение судебных предписаний в области противодействия распространению нелегального контента и эксплуатации несовершеннолетних. Подмена DNS также часто используется для перенаправления пользователей на страницу с информацией об окончании средств у абонента или для входа в беспроводную сеть.


Компания Google заявила, что опасения напрасны, так как она не собирается по умолчанию включать DoH в Chrome и Android. Намеченное в Chrome 78 экспериментальное включение по умолчанию DoH будет охватывать только пользователей, в настройках которых указаны DNS-провайдеры, предоставляющие возможность использования DoH в качестве альтернативы традиционным DNS. У тех, кто использует предоставленные локальным интернет-провайдером DNS-серверы, запросы DNS продолжат отправляться через системный резолвер. Т.е. действия Google сводятся лишь к замене на эквивалентный сервис текущего провайдера для перехода к защищённому методу работы с DNS. Экспериментальное включение DoH также намечено в Firefox, но в отличие от Google компания Mozilla намерена использовать по умолчанию DNS-сервер CloudFlare. Такой подход уже вызвал критику со стороны проекта OpenBSD.


Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DoH не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси).


Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. В настоящее время около 30 публичных DNS-серверов поддерживают DoH.

Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS Https, DNS, Doh, Длиннопост

Найдены дубликаты

+18

Всё намного проще: провайдеры очень любят ОГРАНИЧИВАТЬ трафик на определённые сайты, особенно это касается IPTV, с целью монопольно предоставлять тот же трафик но уже за некислую денежку. ИЧСХ, спгаведгивый таки американский суд посчитал эту практику таки законной.

раскрыть ветку 16
+8

Как раз Mozilla выиграла судебное разбирательство, связанное с сетевым нейтралитетом (https://www.opennet.ru/opennews/art.shtml?num=51607)

раскрыть ветку 3
+3

Как хорошо что есть фф, за возможный прогиб которого можно не бояться. И они тоже вводят свой днс овер хттпс. А на гугл и его продукты плевать.

раскрыть ветку 2
+7

Гугл тоже не только белый и пушистый, а ещё и крупнейший поставщик рекламы. Собственные днс сервера = Гугл знает куда вы ходите, с привязкой к устройству.

раскрыть ветку 11
+2

Как будто браузер так не видит историю посещений. Что изменится-то. Другой вопрос, что браузер должен давать кошерными методами, не влезая в конфиги, прописать другого поставщика того же DNS. Пусть даже 98% этого и не сделают.


Сложнее с тем, что Гугл ещё и патентный троль каких поискать. И может сделать так, что кроме как с гуглом это счастье работать не захочет легально. Но на другом конце планеты висит Яндекс, который имеет браузер на Хромиум, и уж точно не будет сидеть сложа руки отдавая сей трафик Гуглу.
раскрыть ветку 7
0

Лол, вот только везде, как и тут ебаный херня директ

раскрыть ветку 2
+7

Мне кажется это больше надо в сообщество " Информационная безопасность ", поскольку это как раз с безопасностью больше связано, чем с GNU/Linux.

раскрыть ветку 4
+7

Довольно странно, но в рунете всеми этими вопросами почему-то задаются в основном в сообществе СПО, и в частности GNU/Linux. Довольно забавная ситуация -- это с одной стороны. А с другой стороны страшно -- всем пофигу, только бы на яровую потявкать.

раскрыть ветку 1
-3

Наверно потому, что это касается блокировок) а линуксоидам просто в кайф всё время в чём то новом разбираться) а лохматые_юзвери windows никак не врубятся чё в мире it творится и тут у них нарисовался более менее осязаемый сознанием соперник, вот они на нём и отрываются) ...нуу во всяком случае если это так, то видимо поэтому)

+1

...по моему надо позвать их админа @astrobeglec, или модератора @BOMBERuss, чтобы они спросили у тс, а не против ли он перенести этот пост туды? И потом они должны позвать модератора и сказать ему, чтоб перенёс.

Хотя хз, по моему можно и просто так спросить) @OpenNET, ты не против туды пост перенести?)

раскрыть ветку 1
0

Если ТС не против - с удовольствием перенесем!

+4
Нихуя не понятно. Но так интересно! Но нихуя не понятно!
+3

Мда, корпорация добра всё добреет и добреет.

+1
Иллюстрация к комментарию
0

Эко их вштырило!  Всё до кучи собрали. Провайдер -обычный передаст и это до них доходит с болью.

Раз взвыли , то значить правильной дорогой идём.

0
Я, наверное, что то не понимаю.
Но, разве нельзя эту проблему решить введением корневых, независимых серверов?
Как, собственно, в DNS сейчас?
Претензиии к гуглу, что обработка этого запроса только на их серверах? Ну так что мешает принять стандарт DoH серверов, независимых, и вести обработку через них?
Вот и не будет претензий на монополию.
раскрыть ветку 1
0
Будет в настройках сетевого интерфейса ещё один пункт.
DNS server, а за ним — DoH server.
Что тут такого неподьемного то?
0

... а в свете того, что гугл компания американская и живёт по американским законам, США опять смогут нагибать весь мир при желании.

0
Чем может обернуться для обычных пользователей? Всякие фригейты не будут работать?
0
Так как Chrome и Android доминируют на рынке, в случае навязывания своих DoH-серверов Google получит возможность контролировать большую часть потоков DNS-запросов пользователей.

Нет, Корпорация бобра потратилась на серваки, площадку и обслугу чиста из альтруизма, желая обезопасить дорогих пользователей.

0

А в чём проблема, если этот браузер находится на территории предприятия, то просто его перенастроить? Или там настройки такие не предусмотрели, что даже about:config не канает?

раскрыть ветку 1
0

Слажна, контингент пикабы - школьники, увы

Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: