Офтоп
Дмитрий Димон
2641

Firefox против госцензуры?

Компания Mozilla провела испытания нового протокола шифрованных запросов DNS-over-HTTPS.
Запуск функции в браузере в перспективе означает возможность обхода любых блокировок, в частности применяемых Роcкoмнaдзopoм.

Способ работы.
Для блокировки необходимо знать домен (URL) и IP-адрес ресурса, получаемое через DNS-сервер. DNS-over-HTTPS же, при получении запроса DNS, отправляет его через HTTPS - шифрованные транспортные механизмы SSL и TLS, тем самым скрывая URL от третьей стороны, в нашем случае от регуляторов и провайдера.
Существует и другой вид блокировки – по IP-адресу. В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также будут бесполезны. Помочь с этим могут CDN-провайдеры - провайдеры предоставляющие услуги Content Delivery Network, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS.

Mozilla в своём официальном блоге объявила, что компания приняла решение о включении протокола DoH в Firefox по умолчанию в одной из ближайших версий браузера.
Однако, сейчас вы можете включить эту функцию вручную, через config.
Для этого:

  • Введите в адресную строку about:config
  • С помощью строки поиска найдите параметр network.trr.mode
  • Введите значение "2" - это будет значить, что DNS over HTTPS был выбран по умолчанию, а ваш стандартный DNS-сервер использовался в качестве резервного.
  • С помощью строки поиска найдите параметр network.trr.uri
    Здесь нужно будет ввести адрес сервера DNS over HTTPS -
    https://mozilla.cloudflare-dns.com/dns-query
    либо
    https://dns.google.com/experimental
  • Найдите параметр network.trr.bootstrapAddress
    Установите значение 1.1.1.1, если выбрали Cloudflare
    Установите значение 8.8.8.8, если выбрали Google DNS
  • Установить network.security.esni.enabled в значение true
  • Перезапустите браузер.

Вы можете установить значение 1 - чтобы Firefox выбрал самый быстрый вариант; 3 – чтобы использовать только TRR; 4 - теневой режим: запускает TRR параллельно со стандартным DNS для синхронизации и измерений, но использует только результаты стандартного резольвера; 0 - чтобы отключить TRR по умолчанию, 5 - чтобы отключить TRR по выбору.
Обратите внимание, что использование DNS over HTTPS может привести к проблемам подключения, пока эта функция не будет введена официально самой компанией по умолчанию.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Дмитрий Димон", "author_type": "self", "tags": [], "comments": 86, "likes": 143, "favorites": 112, "is_advertisement": false, "subsite_label": "flood", "id": 69327, "is_wide": true, "is_ugc": true, "date": "Thu, 12 Sep 2019 14:38:02 +0300", "is_special": false }
0
{ "id": 69327, "author_id": 72683, "diff_limit": 1000, "urls": {"diff":"\/comments\/69327\/get","add":"\/comments\/69327\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/69327"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 64955, "last_count_and_date": null }
86 комментариев
Популярные
По порядку
Написать комментарий...
33

Слава богу законы у нас принимают дебилы и любой желающий всегда сможет их обойти. Жаль только деньги налогоплательщиков, которые идут на обеспечение имбецилов из роскомпозора.

Ответить
52

Слава богу законы у нас принимают дебилы

Странный повод для радости

Ответить
–6

При чем тут качество законов?

Ответить
14

Извини, но это восторженная чушь. Блокировки по IP и URL не применяют лет сто. Чаще всего блочат по SNI, на который DoH никак не влияет. В перспективе от этого может защитить eSNI, но до него ещё дожить надо.

DoH - интересная вещь, но от блокировок она никого не защитит. По крайней мере, не в двадцать первом веке. Да и придумывалась по большей части не для этого.

Ответить
2

Совершенно верно. К тому-же есть и альтернативное мнение на этот счет - https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/

Наконец не понятно зачем все эти хитрые манипуляции, если включается и выключается функция прямо сейчас, одной галкой в опциях 

Ответить
1

Действительно здравое мнение. Гугл сделал чуть лучше - они собираются распределять трафик сразу по нескольким избранным CDN, в их списке не только Cloudflare, но всё равно браузеры как приложение слишком много на себя берут, в сущности, реформируя существующую модель Сети, делая пользователей заложниками крупных CDN. Чем одно рабство лучше другого, в долгосрочной перспективе не очень ясно.

А ведь были времена, когда браузеры занимались парсингом HTML-разметки...

Ответить
0

Минутка ликбеза, а для чего?

Ответить
4

Для шифрования DNS-запросов. В обычном случае DNS-запросы браузера идут простым нешифрованным текстом. То есть их могут видеть все - от провайдера до злоумышленника. Следовательно, они же могут подменить эти запросы, и ты вместо страницы своего банка попадёшь на его фишинговую версию. DoH шифрует и подписывает запросы, так что ты гарантированно попадёшь именно на ту страницу, адрес которой вводил.

Ответить
0

Разве это при должном внимании не фильтруется простой внимательностью к адресной строке?

Ответить
6

Нет. Это не так работает. Ты вводишь в адресную строку example.com. Браузер отправляет DNS-запрос к твоему DNS-серверу, чтобы узнать, какой IP у этого example.com. В обычном случае злоумышленник (или провайдер) может подменить ответ сервера, выдав другой IP, если имеет возможность вклиниться между вами.  Браузер честно отправится по этому адресу, полагая, что все в порядке. В адресной строке будет именно то, что ты вводил.

При DoH это не сработает, потому что запрос идёт в зашифрованном виде, и браузер проверит подлинность ответа, сверив подписи.

Ответить
6

возможность обхода любых блокировок

Неужто даже в Китае будет работать?

Ответить
18

Если там смогут firefox скачать 

Ответить
1

Ага, там же пиздец занавес, ни байта не пролетит. Только вот хуй знает, откуда тогда кучи китайцев в любом мультиплеере.

Ответить
0

Потому что есть способы обхода

Ответить
5

Там, слава Богу, работают и банальные методы обхода. Обычный VPN или там Psiphon вполне тащат. Ну или тяжелая артиллерия - Тор с obfs4-бриджами, который очень и очень сложно заблокировать.

Другое дело, что им не больно-то нужна эта ваша внешняя сеть, всё нужное внутри производится.

Ответить
8

Ожидается, что данная функция будет внедрена в фирменный браузер Firefox в ближайшее время

Во-первых, в Firefox она уже есть и активируется через about:config.

Во-вторых, в Chrome тоже скоро завезут (в 78-ой версии, в октябре).

Ответить
0

А как в конфиге функция обозначена?

Ответить
5

network.trr.mode = 2

network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query

Проверить работу можно здесь: https://www.cloudflare.com/ssl/encrypted-sni/

Ответить
0

А если я сделал как ты написал, но Encrypted SNI все равно не пройден то что делать?

Ответить
0

network.security.esni.enabled

Ответить
0

Спасибо, но сайты от этого открываться не стали к сожалению.

Ответить
1

Функция активируется в параметрах сети уже сейчас в опциях сети.

Ответить
0

По-моему она там уже с начала лета:)
Не пойму, что за хайп вокруг этого, тем более с блокировками в нашей стране это никак не поможет.

Ответить
0

Ты про Encrypted SNI (ESNI)? Он уже есть, это правда, но они так же хотят другие фичи завезти, которые нам пока потрогать не удастся.

Ответить
7

Firefox вообще браузер богов. Недавно вон добавили блокировку левых кук, что не только мешает сторонним сайтам вас отслеживать, но и ускоряет работу веб страниц

Ответить
0

Где-то надо настроить, или работает "из коробки"?

Ответить
1

Работает автоматом

Ответить
2

Потыркал конфиг, заблоченные сайты не открываются. Либо я что-то недопонял

Ответить
11

она не будет работать в россии у большинство провайдеров. Только те что перенебрегают блокировками будет работать. У таких провайдеров и простая смена днс может сработать. Т.е. это не для китая и не для россии

Ответить
1

Понятно, тор наше всё.

Ответить
7

Заблокированные сайты чудом не станут открываться у провайдеров, которые применяют другие методы блокировки, кроме подмены и вмешательства в DNS (такое чаще в европейских странах). В данном случае вы больше защищаете свои DNS запросы от прослушивания (засчёт HTTPS) и подмены человеком-посередине.

В России применяется блокировка по связке IP/домен и иногда, с помощью DPI (глубокого анализа пакетов), от чего спасёт исключительно VPN, прокси или «поломка» этих пакетов (поищите GoodbyeDpi). Как пример, крупные операторы применяют DPI для отлова пакетов Telegram по определённым параметром типа размера пакета и его содержания (в MTProto эту проблему решили засчёт рандомизации размера и маскировки).

Кстати, попробуйте добавить точку после домена заблокированного сайта (.com → .com.), возможно вы попадёте на него, если ваш оператор не такой прошаренный, правда в таком случае всё равно будут проблемы с абсолютными ссылками, файлами куки и локальным хранилищем (они завязаны на домен, к сожалению; авторизоваться вряд ли получится).

Ответить
1

*Поставил точку, заработало*

Сказать что я удивлён - ничего не сказать. Как это работает?

Ответить
1

Оператор смотрит на то, что указывается в заголовке Host (для блокировок сайтов, не IP). Точки в конце так-то никто не использует (хотя это не запрещено), поэтому блокируют домены без них. И поэтому вы легко попадаете на сайт (почти). Иногда операторы, конечно, это предусматривают и убирают точку в конце при проверке блокировки домена.

При обращении к DNS серверу точка добавляется обязательно (поэтому нет разницы). Дальше уже вопрос, как настроили сервер по IP, который вернёт DNS, и поймёт ли этот сервер столь необычный домен, перенаправив запрос куда надо. Чаще всего — сервер такого не поймёт и скажет вам, что URL не существует; реже — вас просто перенаправит на домен без точки; ну и самый приятный вариант — вас пустит на тот же сайт.

Даже если вас пустит на нужный сайт, это не конец проблем: точку не привыкли использовать, и как я описал выше, куки могут сохранятся для домена без точки (что сделает невозможным авторизацию); локальное хранилище (LocalStorage) тоже будет разное; возможны конфликты настроек безопасности (CORS) и не загрузятся скрипты, картинки и т. д.; абсолютные (полные) ссылки, скорее всего, тоже будут без точки, поэтому рано или поздно вы вернётесь на «нормальный домен», а он заблокирован, придётся вручную исправлять ссылку.

Отакот...

Ответить
1

Введи в адресную строку about:support. Версия браузера должна быть минимум 60

Ответить
0

Это я затупок, не дописал до конца. Сейчас дополнил

Ответить
0

Кстати глянь в настройках сети(General->Network Settings) галочку, которая как раз включает DNSoverHTTPS, там даже провайдера можно поставить. Щас гляну, что ты там дописал, еще потестирую.

Ответить
0

И с гуглом и с cloudflare протестил, нифига не получается:) Видимо таки я затупок.

Ответить
0

Я скачал Firefox Nightly от сюда - https://blog.nightly.mozilla.org/2018/06/01/improving-dns-privacy-in-firefox/

Проделал все те же операции уже в нём. После этого сайт anilibria.tv, который не давно пал, начал открываться.

Но тот же сайт Anidub всё равно не работает (и хер с ним)

Не понимаю, как заставить стабильно работать, видимо придётся только ждать нормальной функции встроенной по умолчанию.

Ответить
0

Я на рутрекере тестил, упорно видел сообщение от ростелекома. Ниже уже пояснили, что у нас лиса скорее всего пойдет нафиг..

Ответить
0

Ладно, буду надеяться на лучшее

Ответить
3

Запуск функции в браузере в перспективе означает возможность обхода любых блокировок, в частности применяемых Роcкoмнaдзopoм.

Эм, Роскомнадзор блокирует ресурсы по IP адресам, получая их при помощи собственных DNS запросов (поначалу даже без всяких проверок, что и приводило к забавным ситуациям, вроде самоблокировки, когда заблокированный ресурс ставил A запись на сайт РКН).

Соединиться с уже заблокированным IP адресом эта новая функция никак не поможет.

Поэтому как и раньше придётся подключаться через Прокси/VPN.

А подменой DNS провайдеры по идее и так не должны заниматься, ведь эта чистая самодеятельность, которая никем не поощряется.

Ответить
0

Так это тоже предусмотрено: сайту, заинтересованному в этом, нужно просто иметь 2 ip-адреса - один для обычного ДНС, другой для зашифрованного

Ответить
3

А зачем лезть в конфиг, ведь это есть в Настройках → «Настройки соединения»?

Ответить
2

РКН СОСААААААТЬ

Ответить
2

Блин, опять браузер менять придется.

Ответить
2

У меня стоят оба браузера. FF уютней, быстрей и жрет меньше оперативки, а Chrome удобнее для работы (веб-разработка).

Ответить
0

Жиза. Только не веб-разработка.

Ответить
0

В лисичке консоль девелоперская намного удобнее, чем в хромоподобных же

Ответить
2

Google вслед за ФФ решил запилить DOH, живем, хромоги

https://xakep.ru/2019/09/11/chrome-doh/

Ответить
0

Будет смешно, если эти фичи так и будут работать только в Америке насколько на полную хз -) В свободных Европах тоже сайты блокируют.

Ответить
3

Ты не понимаешь, как работают эти ваши интернеты. В телеге "ЗаТелеком" недавно тему обсасывали. 

Кратко: будут работать, все блокировки РКН превратятся в тыкву. 

Ответить
2

А как насчет закона о суверенном ёбанете?

Ответить
1

Ну не все блокировки превратятся в тыкву а только сайтов которые используют cdn.

К тому-же что мешает роскомпозору начать новый крестовый поход против https днс резолверов? 

Ответить
0

Я не про техническую часть, а за юридическую. Про техническую часть я и так в курсе. 

Ответить
0

Кратко: будут работать

Когда блокировка по ип, она не будет работать

Ответить
1

Жду в Опере, хотя там и так VPN встроенный есть.

Ответить
–1

 хотя там и так VPN

Ты просто добровольно сливаешь китайцам весь свой трафик, для перепродажи ими всей твоей инфы. Тебе нормально с этим спится?

Ответить
3

а с днс клауда будешь сливать инфо американцам для перепродажи. А с собственного провайдера будешь сливать инфо своим

Ответить
–1

Но уж лучше так, чем китайцам. 

Ответить
0

Если врубить элементарную логику то как раз лучше сливать в США/Европу.

Банально свои спецслужбы в РФ главный враг народа, Китай  ними в теории может и сотрудничать. Зато условному црушнику из США от тебя не будет нужно вообще ничего.

Ответить
0

Тут надо выбрать наименьшее зло. Но кто для нас наименьшее зло? Правильно, никто. Либо доверяешь им, либо идешь куда надо

Ответить
1

Ну пусть знают что я тоже хентай смотрю, ниче страшного

Ответить
–1

Вообще-то Opera – это норвежцы

Ответить
1

 Qihoo — лидер китайского рынка приложений в области интернет-безопасности, в том числе и на мобильном рынке

Ответить
0

хм, не знал)

Ответить
1

да же интересно, когда на всю эту феерию обратят внимание создатели DMCA и EUCD

Ответить
1

я пользуюсь для таких целей встроеным vpn оперы, работает как часы

Ответить
0

Представляете какая паника у Жарова А.А. начнётся)

Ответить
0

А чего ему паниковать? Он попилит денег на установке DPI.

Ответить
1

Тоже верно ещё миллионов наклянчит из госбюджета на борьбу с ветряными мельницами..(

Ответить
0

Так к тому же, оно ещё и работать будет.

Ответить
0

Что?! Mozila будет обходить запреты роскомнадзора?? Запретить на территории Российской Федерации!

Ответить
0

Прошлую статью подтёрли за излишек копипасты, пришлось исправляться =D

Ответить
0

Ну так и что? Проверил кто-нибудь?

Ответить
0

Из Казахстана не открывается ничего из того что заблочено(

Ответить
0

Славься, огнелис!

Ответить
0

Попробовал - браузер стал медленней открывать сайты (задержка перед началом загрузки). Вернул обратно.

Кому это надо - знают для обхода цензуры и другие, более удобные и быстрые, способы.

Ответить
0

Лучше бы научились обходить цензуру гугл и фейсбук. Ах да...

Ответить
0

Пфф, просто запретят скачивать Firefox, делов-то.

Ответить
0

Сидел на Chrome почти с момента его появления, но перешел на Firefox из-за возможности бана в Chrome средств для существования блокировщиков рекламы. Ни разу не пожалел о переход: скорость работы в целом такая же, если не быстрее, а вот возможностей в плане настройки под себя куда больше.

Скучаю только по отображению в полосе прокрутки положения текста, который искал на странице.

Ответить
0

Ну, специально для tor browser делают фичу.

Ответить

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovz", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]