DNS-over-HTTPS (DoH) — веб-протокол, появившийся около двух лет назад. В сравнении с обычным DNS он шифрует и передаёт пользовательские запросы с помощью HTTPS. Это позволяет защититься от злоумышленников и обойти блокировки на базе DNS. Рассказываем, как включить протокол в браузере Chrome от Google.
При вводе домена сайта (например, 4pda.ru) в адресной строке браузера DNS-сервер преобразовывает его в IP-адрес сервера. При этом запрос отправляется открыто в обычном текстовом формате, так что посторонние могут перехватить информацию. DNS-over-HTTPS исправляет этот недостаток: при его использовании запрос шифруется и передаётся с помощью HTTPS. Кроме того, протокол позволяет обходить блокировки на базе DNS, поскольку провайдер не может проверить запросы пользователя.
В Firefox активация DNS-over-HTTPS предусмотрена через встроенные настройки браузера, а вот в Chrome с этим куда сложнее. Для включения DoH в браузере от Google следуйте инструкции:
- Кликните правой кнопкой мыши по ярлыку Chrome на рабочем столе, на панели задач или в меню «Пуск» и в появившемся контекстном окне выберите пункт «Свойства».
- В открывшемся окне необходимо найти поле «Объект» и, установив курсор в самый конец имеющегося текста, через пробел вставить следующий текст:
--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST
- Нажать кнопку «Применить»
- Открыть Chrome, если он был закрыт, или же перезапустить его.
- Перейти на сайт https://1.1.1.1/help, где пройдёт автоматическая проверка настроек браузера.
Если всё было сделано правильно, в первых двух пунктах будет стоять значение «Yes».
Источник:
тебе не зачем - я тебе все равно заверну на свои днс.
Некоторые операторы блокируют некоторые адреса DNS...
ну скоро введут как в школах - весь трафик пустят через прозрачные прокси серверы с дешифрованием, которые будут дешифровать
а чтобы дешифровать нужно будет установить у себя сертификат, а если не установить сертификат - будет выдаваться что это соединение не защищенно, вот и все
вот так вот омериканцы все пытаются обойти блокировки чтобы сеять свою анархию в других странах, а то че то начали им блокировать сервисы, мешать информировать
наверняка с территории штатов у них на запрещенные сайты ты не войдешь
И что? Мне как то без разницы соединение не защищено, защищено, если я знаю каким сайтом я пользуюсь.
Не анархию, а либерализм. Государство при этом никто не отменял. На их территории нет запрещённых сайтов, поскольку нет центрального цензора.
Анархия от либерализма отличается лишь названием
так ты прочитай статью, а не пиши комменты: "Это позволяет защититься от злоумышленников и обойти блокировки на базе DNS"
А че ни так с магазином ДНС ?
Тонкий юмор)))
НЕ работает же все равно
>А зачем это ?
Чтобы Гугл и Клаудфларе могли собрать коллекцию ваших запросов. Зачем же ещё. Не занимайтесь этой ерундой, ставьте ДНСкрипт, он динамически выбирает резольверы, поэтому всю инфу никто из них не хранит.
http://4pda.ru/forum/index.php?showtopic=307861&view=findpost&p=86687495 там есть это вроде
Безопасности много не бывает.
Недостаточно. Провайдеры могут подменять DNS-запросы.
как работает интернет
у тебя есть сайт ввв точка с ру, он у тебя находится на ip адресе 127.0.0.1
ты вводишь IP и у тебя открывается сайт, но такой вариант не особо запоминаемый, по этому используют URL что позволяет использовать множество сайтов на одном IP
ты вводишь свой сайт в адресной строке - запрос улетает в DNS сервер, дальше тебе приходит ответ по какому IP долбится
а дальше уже с этим IP заводится HTTPS соединение и ни кто не в курсе что ты там делаешь, но знают на каком сайте, т.е. чисто теоретически тебя могут развернуть с этого сайта на обманку подделав ее
шифрованный DNS просто шифрованные данные передаст и в итоге ни кто не узнает на какой сайт ты лазаешь, только IP
Нет, нужен ещё eSNI
всё врубил на мегафоне плевать. блоки как были так и есть. не работает шарманка.
1. eSNI пока что поддерживает малое количество сайтов
2. Провайдер всё ещё видит IP-адрес сайта
Если совсем просто
DNS - телефонная книга сайтов, благодаря которой ты вместо IP адреса и порта пишешь буквенное название сайта. Так как стандартно используется DNS сервер провайдера, то он видит куда ты заходишь, может подменить сайты. Это же могут использовать злоумышленники, как минимум следя за твоей активностью для социальной инженерии, а как максимум подменяя реальные сайты на фишинговые.
Так что лучше позаботиться о своей безопасности
В яндекс браузере, некоторые блокировки обходятся включением режима турбо :)
А должно обходить каким - то образом блокировку?
В статье ведь прямым текстом говорится о возможности использования этой фичи для обхода блокировок провайдера, поскольку "провайдер не может проверить запросы пользователя". Поэтому я и спросил об обходе каких именно блокировок идет речь.
МТС такими методами не обойти. VPN вам в помощь, правда тоже с оговорками.
Обходится блокировка по имени домена. У Вашего же провайдера, скорее всего, стоит блокировка по ip-адресу. Вообще, это мало где поможет, сейчас все или почти все блокировки производятся по ip-адресу.
У МТС стоит неплохой DPI. Так что ему эта погремушка вообще не помеха.
Ну не надо сразу проверять на порнохабе, Что-то по проще нужно открывать)))
DNS блокировки и всё. Единицы мелких провайдеров.
Проверить провайдера можно через тулзу goodbye dpi.
Ну и автообход настроить.
По идее провайдер и не увидит dns запрос. От тебя должны уходить шифрованные пакеты.
Уже год шифрую DNS, даже DNSSEC использовал, сейчас на DoT. Единственное что провайдер заблокировал - себе анус, когда бомжи решили кабеля украсть.
а с чего бы?
Он блочит всё по спискам РКН. Остальное - не интересует.
Кому интересно, то на роутерах можно это включить, на Асусах это доступно на прошивках FreshTomato и вроде уже и на DD-WRT.
А я себе поставил bind. Долго правда всё...пока корневые сервера пришлют ответ.
Для браузера этой настройки достаточно.
Ну и проще вообще роутер настроить + vpn иметь.
Вы удивитесь - в Google Play приложение так и называется 1.1.1.1.
Для других мобильных платформ не знаю.
Не проще, без телодвижений с командной строкой или ковыряния в about:config браузер будет слать обычные нешифрованные DNS-запросы, даже если сервер поддерживает DoT/DoH.