Почему DoH не защищает от замедления YouTube?

Под предлогом заботы о пользователе?

Как конспирологическая теория, что бы еще больше трафика пропускать через Cloudflare, именно его сервер по умолчанию в DNS у меня.

Если посещаемый вами домен не поддерживает DNSSEC, TLS 1.3 и Secure SNI, вы все равно потенциально уязвимы, даже если ваш браузер поддерживает эти технологии.

DNSSEC

Это должно поддерживаться DNS-сервером, но вместо него DoH, он заменяет его, да?

TLS 1.3

Это YouTube.com, он точно все последнее должен поддерживать.

Secure SNI

ECH тоже должен, но я не уверен, как проверить?

YouTube.com может и поддерживает, а googlevideo.com не обязательно

Потому что DPI РКН немного умнее, чем просто резать по адресу хоста. Они даже vless увалили, о каком DNS речь вообще, при чём тут он

Тогда на основе чего он режет пакеты?

Эвристики.

На что они смотрят?

А этого никто кроме них и не знает =) Смотрят в лоб на эзернет кадры все заголовки и всё содержимое, не ну не всё конечно, на что надо, на то и смотрят я хрен его знаю. Там чай не дураки сидят, а инженеры, если по простому то просто на ту или иную закономерность, повторяемость, ну там я хз идёшь ты на сайт, а этот сайт подгружает шрифты, скрипты чёнить ещё, на всё это в целом можно посмотреть в целом и по совокупности признаков определить что это. Даже понятия не имея что там передаётся. Но это я так чисто додумываю и выдумываю, но мне кажется что истина где то рядом.

Это так получается что можно практически без ошибок определить посещаемые пользователем сайт. Значит DoH, ECH бесполезные технологии?

Ну блин, это как есть комната где 10 дверей с тремя замками, и 30 ключей, за каждой дверью 10 тортов с 10тью вкусами, и если открыть дверь то ты обязан съесть весь торт, размеры тортов разные. Есть в комнате стул и 30 людей у которых есть по одному ключу, и по колокольчику с уникальным звуком, как только кто-то отдаёт свой ключ то он звонит в колокольчик, мы с тобой заходим в комнату, ты садишься на стул, а я ухожу оставив в комнате лишь диктофон (через 11тую дверь которая в коридор)

Затем я возвращаюсь, вижу что ты довольный сидишь, пузо к верху обожрался торта и балдеешь. А в остальном всё как и было, 10 запертых дверей, стул, ты 30 человек и у каждого по ключу.

Лишь по записи тилиньканей в диктофоне, по их комбинациям, порядку, количеству. Я скажу в каких комнатах ты был, какие торты если в каком даже порядке ты их ел.

Ну типа того. Я это всё утритую, диванно анализирую, где то додумываю. Но раз всё шифровано и перешифровано, то анализ можно вести не по содержимому трафика, а по его общему поведению. Я хз, тут надо спецов по сетям спрашивать, на деле мне кажется если пакеты и анализируются вот так то только совсем их маленькие части иначе всё раком встанет.

Защита в сетях служит не для скрытия куда ты ходишь, куда ты ходишь знает каждый маршрутизатор/комутатор в сети от тебя и до точки назначения. Защита трафика скрывает твои личные данные от злого умысла посторонних и всё. Ну типа, нет секрета что ты зашёл на vk.com по переписываться с подружкой, но вот о чём вы попереписываетесь большой большой секрет. Тоже самое с онлайн банками и подобным, ты туда подключился и это всем видно, а уже что там делаешь лично твоё и банка дело.

Но помни, я тут фантазирую больше, чем говорю что-то по делу =) Ибо как оно в реальности я понятия не имею

Чтобы испортить жизнь пользователям ютуба, достаточно по IP-адресам их шейпить. У меня, например, обновления приложений на андроид тоже замедлились. Так что явно глушат GGC без попыток понять, какой сервис замедляют.

Никто из крупных сайтов не включает ECH. Пока что единственный кто с этим экспериментирует это Cloudflare, и то на части своих бесплатных пользователей.

На доменах Google нет никакого ECH.

Они даже vless увалили

Сомнительное утверждение, есть какие-то пруфы?

Это так получается что можно практически без ошибок определить посещаемые пользователем сайт. Значит DoH, ECH бесполезные технологии?

В текущих реалиях отсутствия ECH, основным способом определения посещаемых сайтов является тупой парсинг SNI. DoH и прочие защищенные криптографией варианты DNS нужны не столько для защиты от прослушивания, сколько для защиты от подмены записей.

Значит DoH, ECH бесполезные технологии?

Наверное всё же нет, не бесполезные, они как минимум должны унижать и слать нахрен тех кто пытается что-то подрубившись к твоей локалке узнать не имея доступа к инфраструктуре провайдера и магистралям. Короче от всяких злоумыфленикоф и кулхакеров, которые трафик снифают, у них тупо мощностей нет чтобы что-то там отследить, а если и отследят ну ок, узнаю что ты был на порно сайте, ну и это всё что они узнают, потратив тучу времени и спалив себя 100 раз =)

Но это я опять же, лишь предполагаю, по хорошему надо спецификации на стол и разобрать что там происходит от отработки ядра ОС до смены напряжений на эзернет проводках, вот прям от и до. Тогда будет понимание полезно или без полезно и в каких случаях, при каких стечения обстоятельств.

Тут надо садится и RTFM делать. Ибо никакой слепой веры и надежды тут не надо, всё расписано побитово, как, где и что работает. Никаких секретов тут нет, нужно лишь потратить кучу времени и стать по сути спецом =)

У меня DoH через несколько глобальных сервисов на 192.168.1.1 на 53 порт отвечают. Дело не в firefox.

Есть пруф с моих слов что у меня не заводится, вернее работает через жопу, и вот опыт ещё одного пользователя

Почалось-7 (комментарий)

Vmess пашет, vless всё

Это так получается что можно практически без ошибок определить посещаемые пользователем сайт. Значит DoH, ECH бесполезные технологии?

В любую квартиру можно попасть (открыв дверь отмычкой, вырезав болгаркой, взезть вообще через окно). Значит двери бесполезны.

Прочти тред, ECH еще нету у google. Вот если он будет, а блокировки продолжаться, то это значит что дверь сделана из воздуха.

Прочти тред, ECH еще нету у google.

То, что его нету у google, никак не отменяет аналогии и глупости высказанной идеи о бесполезности.

Вот если он будет, а блокировки продолжаться, то это значит что дверь сделана из воздуха.

Нет, не значит. При большом желании сломать можно что угодно, но это не значит, что оно бесполезно.

никак не отменяет аналогии

Попробуй жить без аналогий.

При большом желании сломать можно что угодно, но это не значит, что оно бесполезно.

Тогда назови пользу перечисленных технологий. (если представить что ECH уже на YouTube.com но блокировки продолжаются)

Я в очередной раз повторю: прятать от провайдера хост, к которому ты подключился - затея идиотская и заведомо провальная, если только ты не завернул трафик в прокси.

Те, кто старательно продвигают шифрование SNI - либо 🤡, либо просто пытаются сделать передел рекламного рынка (например митмфлар хочет сам торговать списками посещённых тобой доменов и отжать эту возможность у твоего провайдера).

А конкретно для ютуба им вообще нафиг не сдались твои SNI, они скорее всего зафильтровали по диапазонам адресов гуглосерверов соответствующих.

Я в очередной раз повторю: прятать от провайдера хост, к которому ты подключился - затея идиотская
...
А конкретно для ютуба им вообще нафиг не сдались твои SNI, они скорее всего зафильтровали по диапазонам адресов гуглосерверов соответствующих.

Как тогда GoodbyeDPI работает?

Как тогда GoodbyeDPI работает?

а почитать? вкратце, просто перестановкой байтов внутри пакета, если ничего не путаю.

А он что на ютуб как-то влияет?

и чего о чело бить? Лох что-ли? «Я жЕ пИуш, тчо эТо кВилидная запись», а протокол выравнивает.

Да

прятать от провайдера хост, к которому ты подключился - затея идиотская и заведомо провальная

Почему идиотская?
Почему провальная?

ECH, к сожалению, пока не стало обязательной частью стандарта TLS. А для того, чтобы оно работало, должна быть поддержка не только со стороны клиента, но и со стороны сервера. Потому, пока сервера тоже не начнут поддерживать ECH для соединений, это средство защиты попросту не работает. Однако отключать ECH на клиентской стороне тоже не стоит, так как в этом случае может получиться обратная ситуация - сервер ECH поддерживает, а клиент - нет, и оно опять не работает…

ECH, к сожалению, пока не стало обязательной частью стандарта TLS.

Почему «к сожалению»?

это средство защиты попросту не работает.

От чего защита то? 🤡

Это нужно только критофанатикам в их фантазиях, реального применения этой фигне нет.

От чего защита то?

Например, от того, что сидит на условном «проводе» зловредная организация, и, видя обращения к, например, сервису с видосиками, начинает искажать трафик, исключительно из вредности.

Это нужно только критофанатикам в их фантазиях, реального применения этой фигне нет.

Если кто-то считает, что некоторые потенциальные вектора атаки неприменимы, это не значит, что это действительно так. Это означает, что пока такой вектор либо не применялся, либо о последствиях его применения не известно широкой публике. Компьютерные вирусы, некоторые, когда-то тоже считали лишь мифом.

Попробуй жить без аналогий.

Я-то проживу, только как таким как вы, любителям чёрного и белого без полутонов, объяснять вроде бы простые, но почему-то не очевидные вещи. Без аналогий: ограниченность применения технологии не делает её бесполезной; то, что технология достигает наибольшей эффективности только вместе с другими технологиями, не делает её бесполезной.

Тогда назови пользу перечисленных технологий. (если представить что ECH уже на YouTube.com но блокировки продолжаются)

Да даже если ничего не представлять, польза от DoH на двух простых примерах:

1. Рандомный MitM не узнает, куда льётся твой трафик, только обладающий сложными (и довольно дорогостоящими) техническими средствами.
2. Если ты сам трафик шифруешь дополнительно и/или пускаешь обходным путём (через VPN или Proxy, например), но при этом к DNS подключаешься напрямую, никто (включая условный РКН) не узнает, к какому сайту ты подключался, поскольку запрос к DNS и его ответ шифруется, а трафик до самого сайта не поддаётся глубокому анализу для установления этого факта.

Этим не ограничивается, и только про DoH, но этого уже достаточно, чтобы опровергнуть заявление о бесполезности.

Например, от того, что сидит на условном «проводе» зловредная организация, и, видя обращения к, например, сервису с видосиками, начинает искажать трафик, исключительно из вредности.

Чтобы искажать трафик надо иметь свой сертификат. Но ты видимо про замедление. Ты серьёзно их за дебилов держишь или как? «Ой, у него зашифрован SNI, и мы теперь ничего не сможем сделать» (где-то я картинку на похожую тему видел, думаю ты тоже).

SNI нужен не для того, чтобы по ним детектировать цели для фильтрации, он нужен для того чтоб исключить из фильтрации то, чего фильтровать не нужно. Прячешь SNI? ОК, не будем ничего исключать, замедлим тебе всё что может оказаться ютубом. В этой схеме есть огромная дыра - твоему SNI они верят, хотя на самом деле тебе никто не мешает вписать туда что угодно. Но (пока что!) плевать, поскольку этим пользуются полтора анонимуса. По той же причине плевать на шифрованный SNI, который пока что считается за «не тот ресурс». Будет не полтора анонимуса - сделают нормально, вот и всё, а нормально это «нельзя верить SNI, его содержимое в руках клиента, баним по факту подключения к серверу, могущему отдать домен из списка».

Если кто-то считает, что некоторые потенциальные вектора атаки неприменимы, это не значит, что это действительно так

Инфраструктура публичных сертификатов для ширпотребных https дырявая насквозь, но конкретно в аспекте SNI никаких специфичных дыр нет.

Если ты сам трафик шифруешь дополнительно и/или пускаешь обходным путём (через VPN или Proxy, например), но при этом к DNS подключаешься напрямую

То у тебя проблемы с головой, и решать их надо явно не ИТ-средствами. Если ты заворачиваешь трафик в впн для безопасности, то заворачивание как минимум в тот же (а иногда - в другой) впн и всех метаданных к трафику подразумевается автоматически. А doh конечному пользователю бесполезен и нужен только для того, чтобы его провайдеры-инет-гиганты отжали у твоего интернет-провайдера торговлю посещёнными доменами.

С такой логикой и TLS не нужен. Без него ведь могли бы блокировать конкретные адреса, а так приходится целыми доменами отстреливать.

«Ой, у него зашифрован SNI, и мы теперь ничего не сможем сделать»
Прячешь SNI? ОК, не будем ничего исключать, замедлим тебе всё что может оказаться ютубом.
Ты серьёзно их за дебилов держишь или как?

Я их держу не за дебилов, а за лицемерных презираемых трусов, которые ссыкуют даже официально признаться в том, что они делают. Ведь если признаваться не внося YouTube в списки блокировки - то это сразу влететь на 13.18 КоАП, а значит в открытую признать нарушение законов своего государства. А вносить в список блокировки - значит придать огласке свою вину в недоступности ресурса и навлечь на себя и правительство недовольство большого числа пользователей, на что у них кишка тонка. Их только и хватает на то, что втихую нарушать законы, сваливая свою вину на мифическое «устаревание инфраструктуры GGC».

А TLS и не для блокировок, он для того чтобы у тебя пароли и прочую конфиденциальную информацию не украли, а на сайт не вставили троян для скачивания вместо какой-то норм проги. Впрочем, поскольку инфраструктура сертификатов дырявая, и эту функцию TLS выполняет весьма условно, но достаточно от всяких рандомных хакеров и/или в условиях когда хакер не хочет сильно палиться.

значит придать огласке

По-моему практически все в курсе что ютуб блокируют, а вот про то, есть ли он или нет в каких-то там списках, и про то что такое ggc - как раз большинство даже не интересовалось.

По-моему практически все в курсе что ютуб блокируют, а вот про то, есть ли он или нет в каких-то там списках, и про то что такое ggc - как раз большинство даже не интересовалось.

Это те, с кем ты общаешься в курсе. А вот среди людей которые с «компьютерной тематикой» не слишком близко знакомы, либо изначально думают, что у них на телефоне «приложение с видосиками» испортилось, либо, если немного прошарены, то начинают искать, и попадают на правдоподобную легенду о GGC. Я с такими людьми уже сталкивался, да и родственники, которые от меня узнали о блокировках, а до этого думали что у них просто мобильная связь из-за погоды лагает, говорили что их коллеги вообще не в курсе про эти блокировки. Посмотри, например, отзывы об официальном приложении YouTube на Google Play. Вот например, пара из последних:

Приложение в край скатилось из за санкций,загрузка идёт 1000-7 часов😡😡😡, смотришь видео с хорошим качеством - готовься к многочисленным лагам, зависаниям, вылетам,смотришь видео в качестве 144р, хрен чо разглядеть можно, видео даже с впн не работает!!!!! А чтобы посмотреть видео в хорошем качестве надо лазить 1000-7 часов в настройках,1000 и 1 раз переподключать инет - итог:сломанные нервы,вы только пихаете ненужные обновы и все, а приложение исправлять не собираетесь!>:( бесят лаги уже((((((
2 059 человек отметили этот отзыв как полезный.

Добрый день! Почему с августа перестало работать приложение. Сейчас приложение стало открываться, но видео не грузится. Ни старые подписки и, тем более новые. Пользуюсь в основном видео с вязанием и забавными зверушками, вроде ничего не нарушаю, но не работает приложение. Пожалуйста, разберитесь с причиной и сделайте уже что-нибудь. За столько лет привыкли к You Tube, оно самое удобное и лучшее.
5 082 человека отметили этот отзыв как полезный.

Красиво. Хомячки, такие хомячки.

Попробуй читать мои комментарии и тред перед ответом, вместо наваливания стен нерелевантного текста как ChatGPT. Ну и заодно можешь изучить вообще тему о который ты пишешь, пока что ставлю клоуна за старания.

Попробуй не делать странных категоричных заявлений в духе «DoH и ECH бесполезны», а также в духе «все эти защиты фейковые, и не работают» из оригинального поста. Тогда не придётся потом оправдываться тем, что имелось в виду совсем другое, и только в рамках дополнительных пояснений. Да и ни одно сообщение в этом треде, написанное до «DoH и ECH бесполезны», не делает это заявление менее глупым. Если имелось в виду «DoH и ECH бесполезны в ситуации с замедлением YouTube», то стоило так и написать. Правда в таком случае вопрос «Зачем их тогда делают?» теряет смысл — ведь ответ очевиден — для других ситуаций, не относящихся к замедлению YouTube.

Останови генерацию текста пожалуйста. ECH просто не работает у google еще, вот и все, выше ответили. Если бы работал, то проблем бы не было. Ты начал рассказывать про какие то двери, вместо нормального ответа. Когда я у тебя спросил какая польза от ECH если бы с ним хост можно было все равно прочесть, ты начал рассуждать о безопасности, совершенно не зная что до ECH/DoH уже были разработанны другие методы.

Дальше я тебе повторять тред не буду, обрати внимание что тема отмеченна как решенная.

практически все в курсе что ютуб блокируют

Чтобы это было законно разве достаточно «все в курсе»?

Это Россия, сынок. Какие законы, а?

Я в очередной раз повторю: прятать от провайдера хост, к которому ты подключился - затея идиотская и заведомо провальная, если только ты не завернул трафик в прокси.

Почему? Cloudflare – это считай прокси.

Но но, v2ray vless как работал так и работает

Логично кстати, уж cloudflare то блокировать может не будут, на его cdn половина интернета завязана