VF
Я выше скидывал, как ФФ настроить DoH и eSNI https://www.opennet.ru/tips/3086_esni_doh_dns_https.shtml
Size: a a a
2019 September 10
2019 September 11
KG
А что тут атаковать , ну много транзакций в сек добились за счет того, что одна транзакция подтверждается 2мя нодами
Да, немного сложно я написал, я имел ввиду что у gcp есть tpu их можно использовать так как они дают хорошие треафлопсы, в такой же манере, как в статье, что даёт возможность атаки на всякие шиткоинс
J
Да, немного сложно я написал, я имел ввиду что у gcp есть tpu их можно использовать так как они дают хорошие треафлопсы, в такой же манере, как в статье, что даёт возможность атаки на всякие шиткоинс
Треафлопсы это что такое? Операции в сек процессора?
В шиткоинах в основном алгоритм pow который на gpu майнится, много видеокарт надо
В шиткоинах в основном алгоритм pow который на gpu майнится, много видеокарт надо
P
Ну а как проходит tls handshake 🤝 там же все равно видно что за сертификат напрашивается
Так в данном случае обмен происходит с DNS, а не конечным сайтом. Или вы про HTTPS?
P
Надо будет посидеть с шарком и фаерфоксом но пока ещё это для мне не очень понятно, я про esni
Поддерживаю
KG
Треафлопсы это что такое? Операции в сек процессора?
В шиткоинах в основном алгоритм pow который на gpu майнится, много видеокарт надо
В шиткоинах в основном алгоритм pow который на gpu майнится, много видеокарт надо
tpu считай что асики, с лучшей производительностью, видеокарты даже близко не стоят 👌
KG
Так в данном случае обмен происходит с DNS, а не конечным сайтом. Или вы про HTTPS?
После того как ты получил днс записи, ты же обращаешся к сайту, по не зашифрованному каналу запрашиваешь публичные ключи (сертификат) и как раз в этот момент можно взять этот сертификат и посмотреть что за сайт. Это происходит до https
2019 September 12
P
Как и ожидалось, ответ на имплементацию DoH в браузере Firefox воспоследовал очень быстро.
Вот и Хромиум туда же:
https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
Уже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.
А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3. DNS.SB
4. Google
5. OpenDNS
6. Quad9
пруф: https://www.chromium.org/developers/dns-over-https
Ну, и еще раз, наверное, нужно объяснить "как это работает":
Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.
Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много: https://wiki.mozilla.org/Trusted_Recursive_Resolver
И ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут: https://habr.com/ru/company/globalsign/blog/427563/
И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.
Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.
Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.
Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
Вот и Хромиум туда же:
https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
Уже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.
А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3. DNS.SB
4. Google
5. OpenDNS
6. Quad9
пруф: https://www.chromium.org/developers/dns-over-https
Ну, и еще раз, наверное, нужно объяснить "как это работает":
Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.
Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много: https://wiki.mozilla.org/Trusted_Recursive_Resolver
И ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут: https://habr.com/ru/company/globalsign/blog/427563/
И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.
Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.
Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.
Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
ИА
Как и ожидалось, ответ на имплементацию DoH в браузере Firefox воспоследовал очень быстро.
Вот и Хромиум туда же:
https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
Уже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.
А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3. DNS.SB
4. Google
5. OpenDNS
6. Quad9
пруф: https://www.chromium.org/developers/dns-over-https
Ну, и еще раз, наверное, нужно объяснить "как это работает":
Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.
Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много: https://wiki.mozilla.org/Trusted_Recursive_Resolver
И ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут: https://habr.com/ru/company/globalsign/blog/427563/
И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.
Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.
Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.
Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
Вот и Хромиум туда же:
https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
Уже в 78 сборке (текущая — 77) будет имплементирован собственный DNS-over-HTTPS. Плановая дата выхода "стабильной версии" — 22 октября.
А поскольку возможностей у Google все же больше, чем у Mozilla, то и масштабность внедрения будет сильно больше. Например, Хром будет использовать сразу шесть провайдеров секурных DNS:
1. Cleanbrowsing
2. Cloudflare
3. DNS.SB
4. Google
5. OpenDNS
6. Quad9
пруф: https://www.chromium.org/developers/dns-over-https
Ну, и еще раз, наверное, нужно объяснить "как это работает":
Браузер (при включенной галке) будет самостоятельно обращаться к DNS за разрешением доменного имени в IP-адрес (резолвинг) к одному из доверенных провайдеров. При этом там имеется механизм оптимизации — если, например, скорость резолвинга от DoH хуже каког-то порога, то для непрерывности работы будет использоваться "обычный DNS". Но со временем сервисов DoH станет много.
Далее. Если запрашиваемый ресурс находится на инфраструктуре партнерской CDN, то разрешаться будет "эффективный IP-адрес" именно этой CDN-сети. Какой именно — куча алгоритмов, которые очевидно будут еще всячески дорабатываться. Ну, например, с "наименьшим пингом". Это очень упрощенно, конечно. Про механизм TRR я сам пока читаю. Там много: https://wiki.mozilla.org/Trusted_Recursive_Resolver
И ежели на CDN еще и работает механика eSNI (защищенного установления шифрованного соединения), то блокировки РКН в текущей архитектуре перестанут работать от слова абсолютно.
eSNI — там еще более сложные алгоритмы, читать тут: https://habr.com/ru/company/globalsign/blog/427563/
И этот вот хваленый DPI здесь тоже работать перестанет. Ну, потому что для DPI весь трафик будет выглядеть как хаотичный обмен HTTPS-запросами между рандомными хостами. И нет там никаких паттернов и сигнатур — они могут быть вообще любые и меняться тремя строчками в клиент-серверном ПО.
Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут. Их будут блокировать, да.
Потому, главный вывод из всех этих букв:
Есть подозрение, что те хостинги, которые не включатся в игру CDN-DoH-eSNI просто проиграют конкуренцию. На месте хостингов я бы УЖЕ прямо вот сейчас бы начал озадачиваться партнерскими программами с мировыми CDN. Ну, и вот оно окно для стартапов по строительству собственных сервисов, да. Даю год тому как 80% всего интернета будет работать именно так.
Причины (кроме толерантности к мудакам из РКН):
1. Быстрый и элластичный к внезапным нагрузкам хостинг
2. Устойчивость к DDoS
3. Оптимальное использование ресурсов
>Разумеется, сайты, которые хостятся на дедовских технологиях и не используют CDN-инфраструктур, в этой игре участвовать не будут
Мне исполнительный директор Фонда Викимедиа,
который хостит Википедию и все остальные википроекты, написала, что никакого коммерческого CDN Википедия использовать не будет https://twitter.com/krmaher/status/1170846849923735552
Мне исполнительный директор Фонда Викимедиа,
который хостит Википедию и все остальные википроекты, написала, что никакого коммерческого CDN Википедия использовать не будет https://twitter.com/krmaher/status/1170846849923735552
2019 September 13
D
Что? Файлики, говорит, потеряете?
KG
Чем мне не нравится dns over https: это работает только в браузере, при этом система и другие приложения как просили днс по 53 юдп так и будет это делать. Если вы переживаете о приватности впн остаётся лучшим надежным средством (зависит от провайдера впн конечно же)
P
Чем мне не нравится dns over https: это работает только в браузере, при этом система и другие приложения как просили днс по 53 юдп так и будет это делать. Если вы переживаете о приватности впн остаётся лучшим надежным средством (зависит от провайдера впн конечно же)
+. Благо сейчас многие производители роутеров обновили прошивку и добавили нативную поддержку DoH
DF
Есть еще один минус в DoH: станет проблематично блокировать сайты на корпоративном уровне файерволкми. Так же, это затруднить реализацию систем IPS, фильтрующих злоуиышленные сайты. И в придачу отпадут системы родительского контроля итд.
A
Есть еще один минус в DoH: станет проблематично блокировать сайты на корпоративном уровне файерволкми. Так же, это затруднить реализацию систем IPS, фильтрующих злоуиышленные сайты. И в придачу отпадут системы родительского контроля итд.
Климарев писал, что у лисы есть костыль для определения родительского контроля
V
на корпораты это не влияет, при включении DоH в лисе тупо ничего не открывается
KG
Есть еще один минус в DoH: станет проблематично блокировать сайты на корпоративном уровне файерволкми. Так же, это затруднить реализацию систем IPS, фильтрующих злоуиышленные сайты. И в придачу отпадут системы родительского контроля итд.
В корп секторе и так всё по айписекам бегает со своими корневыми сертификатами, кучей локального софта для блокировок и проверок
KG
Не думаю что это имеет значение корп живёт по своим правилам и законам
KG
И чаще всего в корпе стоит ад со своими службами днс , так что ничего не поменяется
P
И чаще всего в корпе стоит ад со своими службами днс , так что ничего не поменяется
+