Атомизация интернета

[vitus_wagner]

Lets Encrypt празднует выдачу миллиардного сертификата. И с гордостью сообщает, что сейчас 81% траффика в мире идет по https.
Мозилла планирует включить поддержку DNS over HTTPS.

Все дружно радуются. А по-моему, и то и другое - ПЛОХИЕ новости.

HTTPS вместо HTTP, это значит прощай кэширующие прокси, прощай антивирусы и баннерорезалки на роутерах.

DNS over HTTPS в БРАУЗЕРЕ это еще хуже. Это значит что мы не доверяем не только роутеру нашей локальной сети, нои и локальному DNS-резолверу того устройства, на котором запущен браузер. Зато доверем каким-то хренам с горы в Cloudflare.

У меня, между прочим на работе 80% запросов к веб-страницам это запросы к внутренним ресурсам локальной сети. И получается что если я не прослежу за настройками в резолвере при апгрейде файрфокса, он начнет с помощь DNS over HTTPS закладывать в CloudFlare структуру нашей корпоративной локальной сети.

То есть вместо традиционной иерархической структуры, когда есть программа, есть операционная система, которая этой программе обеспечивает безопасную и комфортную среду (например тот же ресолвер), есть локальная сеть и только за ее пределами начинается враждебный внешний мир, да и тот разделен на кольца враждебности по Войновичу, нам предлагают двухуровневую структуру - программа и сразу глобальная корпорация - провайдер сервиса. Ни локальный сисадмин, ни государство не могут защитить пользователя от произвола этой глобальной корпорации.

Upd:

echo "local=/use-application-dns.net/" >/etc/dnsmasq.d/stop-doh.conf && service dnsmasq restart

Comments

[dtwo]

локальному админу придётся настроить ещё одну ручку про режим днс браузеров, это конечно ещё одна соломинка в нагрузку, но ещё пока не конец света

[vitus_wagner]

В сочетании с BYOD - почти конец света.

[tanriol]

Для начала техническая часть. У Firefox, как минимум, есть проверки, которые позволяют сети сказать клиенту "у меня тут умный DNS, не используй пожалуйста HTTPS". Хотя, конечно, интересно, что именно они будут делать, когда провайдеры начнут подавать этот сигнал по умолчанию. Скорее всего, перейдут на "только при наличии локальных настроек". То есть при BYOD пользователю нужно будет не только выдать сертификат для доступа к сети, но и установить соответствующий файл настроек.

[vitus_wagner]

Учитывая что сейчас никакого сертификата не выдают, а просто на стенке написали SSID и пароль ( и это нормально - есть физический доступ в помещение, есть и вайфай), жизнь системного администратора сильно усложнится.

А жизнь юзера, который подключает свое устройство к разным вайфай-сетям, усложнится многократно.

[tanriol]

Что же до сути поста, то мне кажется, что использована неправильная формулировка.

Lets Encrypt празднует выдачу миллиардного сертификата. И с гордостью сообщает, что сейчас 81% траффика в мире идет по https.
Мозилла планирует включить поддержку DNS over HTTPS.

Все дружно радуются. А по-моему, и то и другое - ПЛОХИЕ новости.

На мой взгляд, плохая новость одна и заключается в том, что это хорошие новости при нынешнем состоянии интернета. Просто в силу того, что у большей части пользователей есть сервис, которому они условно доверяют (иначе бы не пользовались) и приложение / браузер (аналогично) — а вот посредники между ними в число доверенных обычно уже не попадают. И если не обеспечить тем или иным способом, чтобы провайдеры занимали сторону пользователя, то так и будет.

Чем это оборачивается в случае HTTPS вместо HTTP? Тем, что узлы, имеющие возможность вмешательства в трафик, должны быть помечены как доверенные. Либо со стороны сервиса (здравствуйте, CDN), либо со стороны клиента (здравствуй, установка сторонних сертификатов). Либо вообще работать уже после расшифровки, в доверенной зоне (здравствуйте, SSL/TLS termination на серверной стороне и расширения браузеров на клиентской).

Чем это оборачивается в случае DNS over HTTPS? Здесь интереснее. Во-первых, есть надежда, что из браузеров оно выйдет в ресолверы ОС и локальная система опять станет доверенной. Во-вторых, в идеале, пользователь имеет возможность доверять только выбранным им ресолверам, а не "тому ресолверу, который у меня настроен, и плюс всем промежуточным узлам по дороге к нему". Классический DNS исходит из того, что доверенным должно быть локальное окружение, что уже довольно давно не везде так (доверяем ли мы провайдеру мобильного интернета — стоп, [провайдер], перестань вставлять мне рекламу в страницы). Хотя я вынужден согласиться, что использование Cloudflare в качестве доверенного ресолвера по умолчанию - решение спорное.

Увы, прошли те времена, когда можно было считать, что все системы, кроме специально назначенных, живут в доверенной локальной сети. Может, ещё и вернутся в виде "любой здравомыслящий человек держит на своём устройстве тоннель до доверенного VPN-провайдера (например, локальной сети дома или работы)". Посмотрим...

[sergio.livejournal.com]

> Хотя я вынужден согласиться, что использование Cloudflare в качестве доверенного ресолвера по умолчанию - решение спорное.

Энджинкс про ДОХ сказал следующее: конечно плохо сливать инфу провайдеру, но ГОРАЗДО ХУЖЕ сливать её ОДНОМУ И ТОМУ ЖЕ провайдеру (Cloudflare)

[spqr-voldi.livejournal.com]

> баннерорезалки на роутерах

Пока на роутерах только _баннеровставлялки_ Ростелеком начал подстановку своей рекламы в трафик абонентов (https://www.opennet.ru/opennews/art.shtml?num=52444)

А в кольцо защиты за пределами машины я не верю, периметра не существует.

[dimez.livejournal.com]

Я всё думал, у кого яйца окажутся круче и кто первым пробьёт это (очередное) дно.
Делал ставки на мгтс.
Но внезапно оказалось, что это ростелеком.

[vitus_wagner]

Ну собственно все эти гугли и сделали все возможное, чтобы помешать МНЕ строить периметр в своей квартире или корпоративным сисадминам - в своем офисе.

[filin]

1. Технически государство может. Но не будет. Себя защищать оно может и будет, а пользователя — нет.

2. В современной ИБ за доступ, за запрет и за техническую реализацию защиты отвечают разные отделы. И в Мозилле тоже. Да, доверять локальному резолверу устройства стоит не всегда. Потому что его настраивают корпоративные политики с Active Directory. А за доверие CloudFlare вставят не тем людям, которые встроили DoH.

3. А вот что касается первой новости... Кэширующие прокси на роутерах в нынешние времена персонализированного по самые уши веба уже не шибко актуальны. Провайдеры контента старательно шлют некэшируемый контент и всячески осложняют возможность сохранить его локально. А те несчастные полторы картинки, которые всё-таки посмотрят трое юзеров, погоды не сделают, если их закэшировать.

Статика же и сейчас в норме доступна по HTTP, хоть обкэшируйся. Пакеты из дистрибутива для установки на тестовую ферму кэшировать никто не мешает. Правда, для них лучше использовать специализированный прокси-кэш, а не общего назначения.

Баннерорезалки на роутерах, как я понимаю, тоже уже не слишком эффективны. Расширение браузера решает эту задачу лучше. Антивирус вот ещё куда ни шло, но положа руку на сердце — у тебя когда в последний раз работал антивирус на роутере? У меня точно до начала всей этой байды с HTTPS. Кроме того, распространитель вирусов уж точно озаботится шифрованием от файрволов, у него точно будет HTTPS, а то и Tor.

4. «не могут защитить пользователя от произвола этой глобальной корпорации»

Заметь, в первой структуре пользователю тоже места не нашлось. И в обоих случаях «не могут защитить пользователя от произвола этой структуры». Только в первом случае локальный сисадмин ещё и часть этой структуры. А во втором — государство. Оно оттель откаты получает.

По пунктам

[beldmit]

1. Будет. И будет как с Telegram с плавным переходом к белым спискам.

2. Там идёт долгая торговля, в том числе и с корпоратами и государством. Полтора года как. Витус контекст, видимо, не остлеживает, ты - не знаю.

3. Про статику по HTTP - ну так и угроза, что тебе что-нибудь нехорошее по http (и просто баннеры ещё фигня) насуют, стала вполне актуальна по сравнению с 2000-м годом. Но тут согласен.

4. Если бы откаты.

[sergio.livejournal.com]

DNS over HTTPS в БРАУЗЕРЕ это еще хуже. Это значит что мы не доверяем не только роутеру нашей локальной сети, нои и локальному DNS-резолверу того устройства, на котором запущен браузер. Зато доверем каким-то хренам с горы в Cloudflare.

Нет, это ещё хуже, чем ещё хуже. Допустим доверяем (хотя на самомделе, конечно нет). А как пользователи будут ходить на https://internal.company.tld при том что там multi-view сетап и снаружи (с Cloudflare) он резолвится совсем не так как изнутри или не резолвится вовсе?

[vitus_wagner]

Про это я написал абзацем ниже. Что cloudflare узнает все имена внутренних серверов моей локальной сети.

С мультивью там все еще интереснее. У нас вот по определенным причинам DNS Views не использовалось, так вот не далее как сегодня пришлось бороться с тем, что машина не видит сервер, находящийся в той же стойке, но по внешнему его доменному имени.

[filin]

Там выше есть ссылка на страничку в мозилле, как объяснить файрфоксу, чтобы у вас такой сетап.

[sergey_cheban]

> это значит прощай кэширующие прокси
Может, туда им и дорога? Тяжёлый контент можно распространять через CDN (и если по-хорошему, то можно и нужно делать это безопасным образом).

> прощай антивирусы и баннерорезалки на роутерах
И подменялки баннеров - тоже прощай.

> DNS over HTTPS в БРАУЗЕРЕ это еще хуже.
Но в других местах его либо вовсе нет, либо не сконфигурировано по умолчанию. А цензура в сетях - есть, и с ней надо что-то делать уже вчера.
Но вообще - да, это плохое решение.

> У меня, между прочим на работе 80% запросов к веб-страницам это запросы к
> внутренним ресурсам локальной сети.
А вот это уже другой разговор. Не должно это улетать в cloudflare. Как насчёт размещения таких ресурсов в домене .local?

[yurikhan]

Домен .local зарезервирован для zero configuration сетей и резолвится поверх мультикастов. «На работе» вот этого всего быть не должно.

[edo-rus.livejournal.com]

То есть вместо традиционной иерархической структуры, когда есть программа, есть операционная система, которая этой программе обеспечивает безопасную и комфортную среду (например тот же ресолвер), есть локальная сеть и только за ее пределами начинается враждебный внешний мир

традиционная структура имеет проблемы с компьютерами, управляемыми домохозяйками

А по-моему, и то и другое - ПЛОХИЕ новости.

да, плохие. но это меньшее зло.

из прочитанного сегодня:
http://www.opennet.ru/opennews/art.shtml?num=52444

[cae32]

По HTTPS, надо думать, клиентам браузера Спутник тоже поставляется. Поэтому и не комментируют.

[fhunter]

> из прочитанного сегодня:
> http://www.opennet.ru/opennews/art.shtml?num=52444

Так такую фигню порывались сделать все сотовые операторы в своё время. Просто называли по-другому. У мегафона это было что-то в духе "оптимизация трафика".
https://habr.com/ru/post/143007/ (просто для примера).

В итоге у меня на мегафоне стоит аж 4 разных отказа от рекламы и маркетинга в личном кабинете. (И все бесплатные и неафишируемые). Суммарно потрачено - месяца 3 вялого бодания с техподдержкой.

[cae32]

Монополизация отрасли. Капитализм ответил техногикам неожиданным образом :)
Это печально, конечно, но увы, масса победит, против неё не попрёшь, а отдельным админам прибавится работы.

[beldmit]

Витус, вот ты действительно доверяешь среднему хрену с горы в Cloudflare или Google меньше, чем среднему хрену с горы из Роскомнадзора?

[vitus_wagner]

Во-перывых, да. Государство - зло извечное и привычное. И в общем-то посюстороннее. А как перерождаются в совершенно инфернальное зло коммерческие компании, основанные энтузиастами желающими облагодетельствовать мир, я наблюдал неоднократно.

Во-вторых, я более всего доверяю себе любимому.

В-третьих, гораздо больше доверяю своему роутеру, чем своему компьютеру. На роутере гораздо меньше случаев, когда приходится исполнять недоверенный код.

В-четвертых, и примерно по той же самой причине, почти любому куску софта, выполняющемуся на моем компьютере я доверяю больше, чем браузеру.

Внезапно в тему приехало вот это

[beldmit]

https://themarkup.org/google-the-giant/2020/02/26/wheres-my-email

Народ подписался на различных кандидатов в президенты США с пустого GMail-овского ящика, и собрал статистику, чья реклама идёт куда: в первичный Inbox, в Promotions или в Spam. Картинка получилась забавная, и если я вполне допускаю, что со спамом есть критерии, которые кандидаты тупо не соблюли, типа DMARC/DKIM, то что там с остальными — темна вода в облацех...

Но это всё не столько про Google, сколько про монополию.

[gul_kiev]

Это, конечно, банальности, но времена, когда спам-фильтры были не нужны, а MTA по умолчанию релеили всё от всех, давно прошли, и тосковать по ним странно. Нешифрованые HTTP и SMTP стоят в том же ряду. Нешифрованый/неподписанный DNS - там же, вместе с открытым axfr.
Сейчас информация должна быть защищена по умолчанию. Homedirs уже давно не 755.
Замена HTTP на HTTPS - это хорошо (если только мы не стремимся к реконизму, т.е. полной открытости всех данных для всех), и тут вопрос лишь в том, как оно реализовано, механизм выдачи сертификатов. В идеале он должен быть децентрализован и распределён, но тут уж OSS просто не успели сделать хорошую реализацию.
Кеширующие прокси и банерорезалки в теории вполне совместимы с HTTPS, достаточно чтобы браузер это поддерживал. А вот transparent proxy - туда им и дорога, это частный случай MitM.

DNS over HTTPS - кажется отдельной сущностью с большими возможностями. Например, становится возможным существование сайтов и других ресурсов, у которых вообще нет честного IP, и, соответственно, доступных только из специальных браузеров. Это решение вопроса дефицита IPv4 без перехода на IPv6. Это в принципе существенное изменение самого понятия "интернет" (LIR, DNS, BGP - всё уходит в прошлое). Хорошо это или плохо - посмотрим.

[vitus_wagner]

Если у тебя homedir не 755, значит это у тебя не многопользовательская рабочая машина.
Потому что если на машине работает группа сотрудников, лично знающих друг друга, а то и сидящих в одном помещении, возможность брать файлы друг у друга в хомяках - очень упрощает жизнь.

Соответственно, если ты поверил редхату (а редхат это такая жа корпорация, как гугль или oracle),
что home у тебя должен быть 0700, значит ты либо единственный живой пользователь на своей машине, и ставь ты хотть 0700, хоть 0777 разницы не будет, либо это у тебя не машина, а сервер массового хостинга, где юзер юзеру никто.