Почему DoH не защищает от замедления YouTube?

А doh конечному пользователю бесполезен и нужен только для того, чтобы его провайдеры-инет-гиганты отжали у твоего интернет-провайдера торговлю посещёнными доменами.

DoH/DoT нужен, чтобы тебе говна в DNS не присунул твой же провайдер. Которому у тебя нет ни одной причины доверять в принципе, особенно если это публичная wifi точка в старбаксе.

Зато причины доверять митмфлару конечно же есть, ага.

А что провайдер в днс может присунуть то? Сайты сейчас на https и провайдер сертификат в ним подделывать не станет (хотя технически многие могут, и подозреваю даже им ничего за это в итоге не будет, а митмфлар кстати может вообще легко). Всякие ssh тоже ключи сервера проверяют.

Ну да, они только и ждут что трафик пойдёт через них. Нет, за такую цену этого не надо, митмфлар должен сдохнуть.

Не работает. Vmess работает

Ну, лично у меня. И на другого человека тоже ссылка выше по треду

YOUTUBE В РОССИИ ЗАМЕДЛИЛСЯ В 10 РАЗ, А РОСКОМНАДЗОР НАУЧИЛСЯ БОРОТЬСЯ С ОБХОДОМ ЗАМЕДЛЕНИЯ

С 3 июня по 9 сентября 2024 года разработчик ПО для анализа пользовательского опыта Vigo провёл более 161 тыс. измерений в сетях передачи данных в РФ и установил, что для пользователей сетей фиксированного доступа среднее время начала показа ролика YouTube выросло с 1,21 до 11,01 с; в мобильных сетях аналогичные показатели составили соответственно 1,76 и 3,83 с. Считается, что для зрителя комфортный порог ожидания составляет 3 с

Ужос! Какой ужос!!!

— пользователи стационарных сетей теперь в пять раз чаще не дожидаются запуска видеоролика, чем на мобильных.

Вот это, конечно, хуже

В июне более 3 секунд приходилось ждать при открытии 2,8 % видеозаписей, а к настоящему моменту таких стало 56,7 % — этот показатель ухудшился в 20 раз. В среднем российскому пользователю приходится ждать не 1,27 с, как было раньше, а 9,49 с. С 3 % до 15 %, то есть в пять раз выросло количество случаев, когда пользователи закрыли ролик, не дождавшись его начала. Россияне стали смотреть YouTube вдвое реже — или на 52 % меньше в численном выражении. Изменилось и предпочитаемое российским зрителем разрешение видео на YouTube: если раньше пользователи фиксированных сетей открывали ролики преимущественно в разрешении 1080p, а мобильные абоненты выбирали 720p, то сейчас первые, «если повезёт», смотрят ролики в 360p, а вторые — в 480p.

И такое бывает, да.

Российские зрители постепенно переходят на отечественные платформы видео, указывают опрошенные «Известями» эксперты.

Свежоп редание, но верится с трудом.

Сейчас YouTube они смотрят лишь в виде исключения, потому что не все авторы ещё переехали на русскоязычные площадки. Сложности с YouTube будут продолжаться, пока Google не начнёт выполнять требования российского законодательства — если это произойдёт, интерес российского зрителя к американской платформе может вернуться, считают эксперты.

Также в Сети появились сообщения, что технические средства противодействия угрозам Роскомнадзора научились определять и блокировать параметры, которые помогали обходить замедление YouTube. Кроме того, в России блокируются сервисы, которые помогают пользователям обходить замедление YouTube.

Ну, мы-то знаем ;)

при включении doh/ech отвалится часть алгоритмов для сбора информации о клиенте. Отвалится бОльшая часть рекламы, тот же гугл будет недоволен. Их никогда не разрешат.

отвалится часть алгоритмов для сбора информации о клиенте
Отвалится бОльшая часть рекламы

Это каким же образом? Чем ECH может помешать условному гуглу, собирать данные о клиенте, подключившемуся к его (гугла) серверу?

при включении doh
Их никогда не разрешат.

Странно, у меня DOH уже очень давно работает…

Это каким же образом? через sni

Странно, у меня DOH уже очень давно работает… Речь идет про сервера. У себя можно что угодно настраивать. Никто не мешает локальный днс сервер поднять.

через sni

Так сбор данных отвалится у провайдеров, и других любителей прослушивать чужой трафик, но никак не у условного сервера гугла, которому CH предназначается. ECH шифрует CH только до CDN-сервера, соответственно и для операторов CDN и, тем более, для целевого сервера, в плане сбора данных, при использовании ECH, ничего не изменится. Вы же про условный гугл говорили, а не про провайдеров. Если основной бизнес провайдера - предоставление услуг связи, а не прослушка соединений клиентов, то для них тоже поменяется немногое, вероятно, могут отвалиться некоторые из систем приоритезации трафика, но от последнего скорее пострадают сами клиенты. Так-то для любящих копаться в чужом трафике провайдеров, и внедрение повсеместного HTTPS куда больше траблов создало, но их никто не спрашивал. И тут тоже не спросят.

Зато причины доверять митмфлару конечно же есть, ага.

Нет, но с ним у тебя нет выбора, если хозяин сайта его заюзал. Это всё складывается в вопрос, доверяешь ли ты самому сайту. Некоторым доверять не стоит не только из-за Cloudflare.

А что провайдер в днс может присунуть то?

А любого говна. Я вот когда с ettercap в школьные годы развлекался, подсовывал учителям ссылки на порево, когда они на уроке пытались открыть нужный им сайт. Было весело!

митмфлар кстати может вообще легко

Cloudflare не нужно подделывать сертификат, потому что они его сами держат. Т.е. они видят твой трафик к сайту и обратно в полностью нешифрованном виде. Я согласен, это проблема, но это никак не отменяет существования угрозы со стороны провайдеров и кулхацкеров.

А любого говна.

Каким образом, если всё за https?

Cloudflare не нужно подделывать сертификат, потому что они его сами держат.

Они могут и чужой сгенерить от своего CA и присунуть тебе со своего doh поддельный (свой) айпи-адрес вместо настоящего. А вот провайдеру чтоб такое провернуть придётся BGP подделывать и посовывать себя в маршрут letsencrypt-у.

Каким образом, если всё за https?

Большинство юзеров радостно ткнёт «Continue» при ошибке сертификата. Хрен ли нет-то?

Они могут и чужой сгенерить от своего CA и присунуть тебе со своего doh поддельный (свой) айпи-адрес вместо настоящего.

Это может сделать вообще любой CA. Хуже того, это уже случалось, только не с CF. Поздравляю, ты открыл жирную проблему с текущим состоянием вещей вокруг TLS. Никто о ней до тебя даже не подозревал.

присунуть тебе со своего doh поддельный

Не используй DNS сервера Cloudflare и будет тебе счастье. Я вот не использую.

Большинство юзеров радостно ткнёт «Continue» при ошибке сертификата. Хрен ли нет-то?

Но нить беседы была не о том как обмануть нубов, а о том что конкретно ты боишься что пров тебе подсунет что-то в днс.

Поздравляю, ты открыл жирную проблему

Ну ты так писал как будто ты не в курсе, вот я и поправил.

Не используй DNS сервера Cloudflare и будет тебе счастье. Я вот не использую.

Так суть doh как раз в том что ты используешь днсы какого-нить инет-гиганта. Теоретически ты можешь какие-то другие использовать, но из коробки их нигде нет, да и даже если ты их сделаешь - непонятна цель данной затеи. Делать свой doh и не прятать от прова айпи-адреса с помощью шифрованного прокси - затея сомнительная, а если у тебя есть шифрованное прокси то ты можешь безо всяких doh-ов просто завернуть днс-запросы в него же, меньшей вознёй.

а о том что конкретно ты боишься что пров тебе подсунет что-то в днс.

Одно другому мешает? DNS – древний и уязвимый протокол. Этого быть не должно. Точка.

Так суть doh как раз в том что ты используешь днсы какого-нить инет-гиганта.

Кто тебе такую херню сказал? Суть DoH в том, чтобы шифровать и аутентифицировать DNS для клиентов плюс добавить возможность проксировать его стандартными средствами (кхе-кхе nginx). У меня, например, свой DoT ресолвер, дёргающий доверенного провайдера.

Делать свой doh и не прятать от прова айпи-адреса с помощью шифрованного прокси - затея сомнительная

Почему? Ты, по-моему, до сих пор так и не потрудился объяснить вот этот момент. Я вообще не понимаю, какую именно модель угроз ты рассматриваешь тут.

Если отступить чуть дальше, я бы вообще двигался с сторону тотального убийства DNS в современном виде как протокола. Это абсолютнейший рак и его проще сделать заново и нормально, чем латать дыры в этом говнище.

Одно другому мешает? DNS – древний и уязвимый протокол. Этого быть не должно. Точка.

Мешает конечно, ты так и не показал как провайдер может проэксплуатировать днс против тебя.

аутентифицировать DNS для клиентов

Это dnssec, а doh тут ни при чём.

шифровать

Зачем?

возможность проксировать его стандартными средствами (кхе-кхе nginx)

Это конечно удобно, но мелочь.

Почему? Ты, по-моему, до сих пор так и не потрудился объяснить вот этот момент. Я вообще не понимаю, какую именно модель угроз ты рассматриваешь тут.

А я не понимаю, какую модель угроз рассматриваешь ты, когда хочешь шифровать dns. ПО мне так то, что провайдер узнает домены куда ты ходишь - не угроза, но если ты хочешь их прятать то надо прятать и айпи-адреса.

Одно другому мешает? DNS – древний и уязвимый протокол. Этого быть не должно. Точка.

Мешает конечно, ты так и не показал как провайдер может проэксплуатировать днс против тебя.

Показал. Глаза разуй.

шифровать и аутентифицировать DNS для клиентов

Это dnssec, а doh тут ни при чём.

Первое слово очень важно! Зря ты его опустил. Я не понимаю, у тебя конкретно из-за DoH жопу свербит? Что он тебе такого сделал-то?

А я не понимаю, какую модель угроз рассматриваешь ты, когда хочешь шифровать dns.

Типичный сишник лол. Как минимум, утечку данных, потому что почему бы и нет. Но когда сишников волновали утечки где-нибудь?

ПО мне так то, что провайдер узнает домены куда ты ходишь - не угроза, но если ты хочешь их прятать то надо прятать и айпи-адреса.

А почему не угроза, кстати? Это утечка данных. Рекламщики любят вставлять персонифицированные домены, которые видны и провайдеру тоже. Почему бы их не спрятать?

В итоге, причин не использовать DoT/DoH примерно ровно 0. Причин использовать его достаточно.

Показал. Глаза разуй.

Ты показал что какому-то нубу подсунут фейковый сертификат и он с ним согласится не глядя, а вопрос был про тебя. Или ты тоже это сделаешь?

Я не понимаю, у тебя конкретно из-за DoH жопу свербит? Что он тебе такого сделал-то?

Потому что я считаю что это инструмент монополизации и централизации интернета крупными фирмами, а юзерам он просто впаривается под благовидным предлогом.

А почему не угроза, кстати? Это утечка данных.

Ну я пояснил дальше - если считаешь это утечкой то утечка и айпи-адрес сервера. Да, у всяких клаудфларов на одном адресе может быть напихано много всего разного, но, во-первых, интернет к счастью ими не ограничивается, и во-вторых, организовывать себе безопасность через пользование услугами нежелательной фирмы это плохое занятие.

Ты показал что какому-то нубу подсунут фейковый сертификат и он с ним согласится не глядя, а вопрос был про тебя. Или ты тоже это сделаешь?

Если вопрос про меня, то не все протоколы, которыми я пользуюсь, используют TLS, к сожалению. Издержки легаси.

Возьми тот же SSH с его поганым TOFU. Когда ты в первый раз подключаешься к новому серверу, ты проверяешь сертификат? Прямо каждый раз?

Потому что я считаю что это инструмент монополизации и централизации интернета крупными фирмами, а юзерам он просто впаривается под благовидным предлогом.

охлол! Ты где был последние 20 лет-то? Интернет давно монополизирован и централизован. Даже если мы забудем про страны типа РФ или Китая, где, чтобы прикрыть сайт, достаточно одной бумажки от не самого высокопоставленного чинуши (а ведь ещё есть транстелеком ммммммм), сами IP адреса распределяются по сути тремя-четыремя конторками. Хуже того, если брать распределение трафика по океанским кабелям, там тоже всего несколько компаний, связанных с тем же гуглом. Спутниковый интернет для конечных юзеров сейчас даёт ровно одна компания, обладающая по сути монополией на массовые орбитальные запуски, и хер знает когда это поменяется.

Так что если ты с этой стороны заходишь, DoH – это просто незначительная мелочь.

Ну я пояснил дальше - если считаешь это утечкой то утечка и айпи-адрес сервера.

Да, но это разные утечки. Потому что…

у всяких клаудфларов на одном адресе может быть напихано много всего разного, но, во-первых, интернет к счастью ими не ограничивается

Cloudflare сегодня – это почти 40% вебсайтов в англоязычных интернетах. Если взять пяток крупных CDN, они покрывают 90% пользовательского трафика. Это, конечно, проблема, но это другая проблема.

во-вторых, организовывать себе безопасность через пользование услугами нежелательной фирмы это плохое занятие.

Безопаность от кого? От провайдера? Норм занятие. Тем более, куча народу уходит об блокировок в РФ именно так: проксируют трафик через жирный CDN, который РКН пока побаивается трогать. Как видишь, рецепт работает.

Ну и мы с тобой пишем на ЛОР, который сидит за QRator. Является ли QRator желательной фирмой для тебя? Для меня вот не очень, они даже IPv6 не могут :(

Немного оффтоп.

У меня при открытии видео на YouTube оно никак не загружается. Просто крутится загрузка и всё. Firefox на Debian 12 x64.

Что делать?

а как вы объясняете себе почему nslookup -query Awww.youtube.com 8.8.8.8 в России даёт 1, а если тоже самое запустить из Германии то 16 адресов?

Google себе так сетку оптимизирует.

Оптимизация заключается в отключении гео-балансировщиков и сдк так как нельзя монетизировать этот трафик?

Наверное просто особо некуда балансировать трафик.