Volgende
Die wit lys van DNS-verskaffers sluit in
'n Belangrike verskil van die implementering van DoH in Firefox, wat DoH by verstek geleidelik geaktiveer het
As jy wil, kan die gebruiker DoH aktiveer of deaktiveer deur die “chrome://flags/#dns-over-https”-instelling te gebruik. Drie bedryfsmodusse word ondersteun: veilig, outomaties en af. In "veilige" modus word gashere slegs bepaal op grond van voorheen gekas veilige waardes (ontvang via 'n veilige verbinding) en versoeke via DoH; terugval na gewone DNS word nie toegepas nie. In die "outomatiese" modus, as DoH en die veilige kas nie beskikbaar is nie, kan data uit die onveilige kas herwin word en deur tradisionele DNS verkry word. In die "af"-modus word die gedeelde kas eers nagegaan en as daar geen data is nie, word die versoek deur die stelsel DNS gestuur. Die modus word ingestel via
Die eksperiment om DoH in staat te stel, sal uitgevoer word op alle platforms wat in Chrome ondersteun word, met die uitsondering van Linux en iOS as gevolg van die nie-triviale aard van die ontleding van resolver-instellings en die beperking van toegang tot stelsel DNS-instellings. As daar, nadat DoH geaktiveer is, probleme is om versoeke na die DoH-bediener te stuur (byvoorbeeld as gevolg van die blokkering, netwerkverbinding of mislukking), sal die blaaier outomaties die stelsel DNS-instellings terugstuur.
Die doel van die eksperiment is om die implementering van DoH finaal te toets en die impak van die gebruik van DoH op prestasie te bestudeer. Daar moet kennis geneem word dat DoH-ondersteuning in werklikheid was
Laat ons onthou dat DoH nuttig kan wees om lekkasies van inligting oor die aangevraagde gasheername deur die DNS-bedieners van verskaffers te voorkom, MITM-aanvalle en DNS-verkeerspoofing te bekamp (byvoorbeeld wanneer u aan openbare Wi-Fi koppel), blokkering by die DNS teenwerk. vlak (DoH kan nie 'n Skynprivaatnetwerk vervang op die gebied van blokkering wat op die DPI-vlak geïmplementeer is omseil nie) of om werk te organiseer as dit onmoontlik is om direk toegang tot DNS-bedieners te verkry (byvoorbeeld wanneer u deur 'n instaanbediener werk). As DNS-versoeke in 'n normale situasie direk na DNS-bedieners gestuur word wat in die stelselkonfigurasie gedefinieer word, dan in die geval van DoH, word die versoek om die gasheer se IP-adres te bepaal in HTTPS-verkeer ingekapsuleer en na die HTTP-bediener gestuur, waar die oplosser prosesseer versoeke via die Web API. Die bestaande DNSSEC-standaard gebruik enkripsie slegs om die kliënt en bediener te verifieer, maar beskerm nie verkeer teen onderskepping nie en waarborg nie die vertroulikheid van versoeke nie.
Bron: opennet.ru