Яндекс запустил собственный "фильтр" плохих сайтов, альтернативный действующему государственному механизму защиты детей от опасного контента. Служба поисковика получила название Яндекс.DNS и работает на уровне фильтрации при разрешении доменных имён. Для её установки не требуется какого-либо софта. Достаточно в свойствах соединения прописать адрес предпочитаемой службы DNS. Таким образом домены будут преобразовываться в ip-адреса на серверах Яндекса.
Фильтрующих серверов у "Яндекса" три. Обычный 77.88.8.8 — работает без фильтрации. 77.88.8.88 — фильтрует "опасные" сайты с троянами. 77.88.8.7 — делает и антивирусную блокировку и прикрывает доступ к сайтам для взрослых. В популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении "прошивок". Цифры легко прописать и вручную в роутере, в свойствах соединения компьютера или в смартфоне.
Яндекс не использует для фильтрации данные "Единого реестра запрещенных сайтов", у поисковика собственные базы — антивирусная и взрослая. По мнению знатоков порнографии, "детский фильтр" пропускает некоторые ресурсы в соответствующих жанрах. То есть Яндекс, скорее всего, не проверяет в реальном времени содержимое запрашиваемых сайтов для вынесения вердикта, а лишь ищет запрошенный домен в списках.
Если в государственный вариант фильтров плохие сайты может поместить любой желающий — в стоп-лист Яндекса сайты включает сам Яндекс. Он же, а не суд, может их удалять оттуда.
Собственные DNS достаточно давно есть и у Google. Их адреса 8.8.8.8 и 8.8.4.4 невероятно легко запомнить, а поисковику невероятно легко формировать лог пользовательского перемещения по сети. Причём в протоколе можно учитывать обращения к сайтам, где нет открытых данных от серверных счётчиков, java-script'ов или установки "кук".
Яндекс трудно принимал идею внешней цензуры. Например, получило определённую известность противостояние поисковика и Лиги безопасного интернета. Теперь появилась возможность сравнить фильтрацию по версии Яндекса с параллельно работающей государственной.
Добавить 33 комментария
> Собственные DNS достаточно давно есть и у Google. Их адреса 8.8.8.8 и 8.8.4.4 невероятно легко запомнить, а поисковику невероятно легко формировать лог пользовательского перемещения по сети. Причём в протоколе можно учитывать обращения к сайтам, где нет открытых данных от серверных счётчиков, java-script’ов или установки «кук». кто-то обкурился, простите?
Прекрасное для изучения: http://legal.yandex.ru/dns_termsofuse/ Ну и «при Колмановской такого бы не было»
@alexkuklin Google заверяет, что Public DNS будет использоваться только для ускорения загрузки веб-сайтов и не будет собирать персональные данные. IP-адреса пользователей сервиса будут храниться в системе не более 48 часов. Информация о провайдере и местоположении — не более двух недель. Сугубо конфиденциальные данные, такие как имя пользователя и его физический адрес, компания записывать не будет. Собираемая сервисом информация будет использоваться исключительно в технических целях для повышения качества обслуживания.[5] Однако основатель конкурирующего сервиса OpenDNS Дэвид Улевич считает, что Google будет заботиться не столько о сохранности персональных данных, сколько о собственной выгоде. Он говорит, что Google, как один из крупнейших игроков на рынке интернет-рекламы со временем неизбежно начнет внедрять собственную контекстную рекламу на веб-страницах.[6] Кроме того, исполнительный директор Google Эрик Шмидт заявил, что компания «в некоторых случаях» может раскрыть информацию о личных данных, которая может стать причиной для повестки в суд. http://ru.wikipedia.org/wiki/Google_Public_DNS
@alter, ну а то, что точность такой статистики ниже плинтуса просто по сути работы dns-протокола — никого не беспокоит? Откуда в dns персональные данные? Замаскированные биты, передающиеся через астрал? Ну а разработчики dns-«решений» могут ругаться сколько угодно, они ж ругаются для того, чтобы их услышали пользователи определенного уровня знаний. Это где-то на уровне вреда ГМО и памяти воды, я считаю.
Погодите. По-моему вполне реально же обогащать данные при помощи отслеживания запросов к DNS? Мы имеем: Комп или планшет, что ходит, как на сайты где есть счётчики Яндекса, так и на сайты где метрики нет. При этом те сайты, где есть метрика — попадают и в радар метрики и приходят на DNS сервер. Можно делать сопоставления: «пользователь — серия запросов к DNS» с той или иной вероятностью. По крайней мере можно видеть, что тот или иной пользователь обращается к сайтам большого интернета в 30% случаев, 5% времени проводит на Яндексе (и тут виден компании полностью). А 3 процента запросов у человека приводят серфера к конкурентам. К мылу и гуглу. Там он невиден, непонятно что делает, но то что он там, а не в Яху — заметить реально. Разве нет? Яндекс ведь 700 раз говорил что умеет обогащать данные самыми немыслимыми незначимыми мелочами.
да все они — Гугл, Яндекс, Майкрософт, Мail.ru, Яху — следят за нами и обогащаются за наш счет. сволочи.
>да все они — Гугл, Яндекс, Майкрософт, Мail.ru, Яху — следят за нами и обогащаются за наш счет. сволочи зря вы прячетесь под alter ego — сурков видит ваш айпишник
надеюсь, что Роем не сдаст меня и всех нас Ростелекому. Басов, вроде, же там? вот дописал и подумал, что Синодов уже давно сдал всех с потрохами
@Иван Ильин, результаты dns-запросов кешируются. Кроме того, дофига народу сидит за nat и т.п. Так что будет классическая «средняя температура по больнице». Ну разве что делать уникальные dns-имена, к которым делаются запросы, но это все равно будет работать только для собственных сервисов гугла/яндекса или для тех, где есть счетчики.
Интересно, вот ДНС Гугл пользуется бОльшим спросом, чем Google Reader? Или поддержка ДНС не такая дорогая, как поддержка Google Reader.
думаю, Днс пользуется большей популярностью, чем Ридер
Даже если и так, то как заработать на ДНС? Скорее поддержка ДНС серверов не такая дорогая как поддержка проекта Reader
Поисковики зарабатывают на DNS преобразуя простой текст из адресной строки в поисковый запрос.
а дл обычных живых пользователей какой поиск будет? надеюсь, 77.88.8.8 ? а XML через какую фильтрацию будет работать?
Хех… У яндекса vk.vom не зарезолвен. В результате, виноват я и получил звиздюлей от жены. Хотя и давно знал, вконтактег — опасный сайт с троянами :)
Alxdr, а можно подробностей? У нас опасные сайты ресолвятся в страницу с информацией о том, что сайт опасный, у вас так произошло?
А фильтрация по DNS — это же блокировка сайта целиком?
> Даже если и так, то как заработать на ДНС? мистайпы.
Как быть с кэшированием DNS? Забанили мне через DNS, предположим, гугл. За вирусы. И закэшировался у меня результат на неделю, и чего?
Простите, что?
Вы вместо carfax.com вводите ccarfax.com или caefax.com или сфафч.сщь, а вам в ответ прилетает не «не могу отрезолвить хост», а страничка с рекламой всякой ботвы про подержанные автомобили, если кто-то не догадался этот домен ухватить. но если кто-то ухватил домен, то у него его можно отсудить по сильно упрощенной процедуре, а вот у ДНС сервера как бы и отсуживать нечего.
Роман Иванов, нет просто не резолвил вконтакт. Тупо говорил что такого сайта нет. Все остальные открывал спокойно. На гугловском днс всё было нормально. PS Попробовал сейчас все работает.
Что простите что? :) DNS ответы имеют свойство кэшироваться, надолго. Браузером, промежуточными DNS серверами или каким-нибудь супер умным софтом у вас на машинке. Вот предположим, посчитал Яндекс в какой-то момент, что сайт oknarosta.ru содержит вирусы, и начал вместо него ресолвить свою заглушку. И мой компьютер этот ресолв запомнил, на неделю например. Сайт то может уже тысячу раз вылечился, а меня, как посетителя, потерял. Яндекс, вы же можете для зараженных сайтов принудительно ставить TTL поменьше? Это поможет частично решить проблему.
Dmitry Sidorov, да, на этапе проектирования сервиса мы продумали это, потому для заблокированных хостов принудительно выставляется TTL=1200.
очистить кеш днс своей машины с помощью rndc flush или flush dns не помогает чтоли?
> очистить кеш днс своей машины с помощью rndc flush или flush dns не помогает чтоли? на этот сервис может быть настроен офисный/домашний/etc сервер/роутер с кеширующим dns
«Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация: тип и модель устройства Пользователя, тип операционной системы устройства Пользователя, перечень доменных имен веб-сайтов, посещаемых Пользователем, а также иная статистическая информация об использовании Сервиса и техническая информация. Указанная информация хранится и обрабатывается Яндексом в соответствии с Политикой конфиденциальности (http://legal.yandex.ru/confidential/). Указанная информация может также храниться и обрабатываться аффилированными компаниями Яндекса, и Пользователь настоящим дает согласие на передачу такой персональной информации таким лицам.»
> Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация tcpdump dns-запроса с этими данными — в студию! до тех пор я считаю, что аффтар обкурился несвежими RFC
>до тех пор я считаю, что аффтар обкурился несвежими RFC автор, скорее всего, сидит в юридическом отделе и на rfc ему плевать. по максимуму включили и всё хорошо.
alexkuklin, Ну ОС допустим TCP Fingerprint-ом можно. Если правда обкуреный админ ресолвы по TCP делает :) А так, какова вероятность, что если, цитата:»в популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении «прошивок»» — то там ничего левого не уходит помимо DNS запросов.
А еще. Уважаемый Яндекс, а как у вас с безопасностью этого чуда? Возможен ли DNS Amplification DDoS? Как с Cache poisoning? Поддержка DNSSEC? Вот Google, например, описал все возможные виды атак на свой публичный DNS, и рассказал как он с ними борется: https://developers.google.com/speed/public-dns/docs/security — что помоему оч круто.
Dmitry Sidorov, мы заметили попытки сделать DNS amplification уже сразу после публикации новости. Убедились, что опыт использования scapy еще не покинул наших бывших коллег. Рейт-лимиты у нас настроены и мы внимательно будем присматривать за ними. По очевидным причинам, существование еще одного рекурсора не нарушает работоспособность иерархии DNSSEC. Что касается других проблем безопасности, они примерно одинаковы для всех открытых рекурсивных DNS-серверов. С приветом от бывших коллег.
Мария, как истинный джентльмен, спешу уведомить вас о том, что хотя мой опыт использования scapy и libnet лишь крепнет с годами, и мне безумно приятны ваши опасения, я к сожалению не мониторю Роем на наличие новостей о Яндексе :) И тридцатисекундный тест который я нопейсал, был запущен где-то в районе 21:00-22:00 вчерашнего дня, аккурат перед звонком Тохочке :) rate limit действительно включён, спасибо! По очевидным причинам, ваши наблюдения — это либо клиенты за NAT, либо использование вас в качестве forwarders на провайдерских DNS, ну или чьи-то еще попытки :)