Яндекс будет фильтровать интернет параллельно с Роскомнадзором

Яндекс запустил собственный «фильтр» плохих сайтов, альтернативный действующему государственному механизму защиты детей от опасного контента. Служба поисковика получила название Яндекс.DNS и работает на уровне фильтрации при разрешении доменных имён. Для её установки не требуется какого-либо софта. Достаточно в свойствах соединения прописать адрес предпочитаемой службы DNS. Таким образом домены будут преобразовываться в ip-адреса на серверах Яндекса.

Фильтрующих серверов у «Яндекса» три. Обычный 77.88.8.8 — работает без фильтрации. 77.88.8.88 — фильтрует «опасные» сайты с троянами. 77.88.8.7 — делает и антивирусную блокировку и прикрывает доступ к сайтам для взрослых. В популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении «прошивок». Цифры легко прописать и вручную в роутере, в свойствах соединения компьютера или в смартфоне.

Яндекс не использует для фильтрации данные «Единого реестра запрещенных сайтов», у поисковика собственные базы — антивирусная и взрослая. По мнению знатоков порнографии, «детский фильтр» пропускает некоторые ресурсы в соответствующих жанрах. То есть Яндекс, скорее всего, не проверяет в реальном времени содержимое запрашиваемых сайтов для вынесения вердикта, а лишь ищет запрошенный домен в списках.

Если в государственный вариант фильтров плохие сайты может поместить любой желающий — в стоп-лист Яндекса сайты включает сам Яндекс. Он же, а не суд, может их удалять оттуда.

Собственные DNS достаточно давно есть и у Google. Их адреса 8.8.8.8 и 8.8.4.4 невероятно легко запомнить, а поисковику невероятно легко формировать лог пользовательского перемещения по сети. Причём в протоколе можно учитывать обращения к сайтам, где нет открытых данных от серверных счётчиков, java-script'ов или установки «кук».


Яндекс трудно принимал идею внешней цензуры. Например, получило определённую известность противостояние поисковика и Лиги безопасного интернета. Теперь появилась возможность сравнить фильтрацию по версии Яндекса с параллельно работающей государственной.

Добавить 33 комментария

  • Ответить

    > Собственные DNS достаточно давно есть и у Google. Их адреса 8.8.8.8 и 8.8.4.4 невероятно легко запомнить, а поисковику невероятно легко формировать лог пользовательского перемещения по сети. Причём в протоколе можно учитывать обращения к сайтам, где нет открытых данных от серверных счётчиков, java-script’ов или установки «кук». кто-то обкурился, простите?

  • Ответить
    Альтер Эго

    @alexkuklin Google заверяет, что Public DNS будет использоваться только для ускорения загрузки веб-сайтов и не будет собирать персональные данные. IP-адреса пользователей сервиса будут храниться в системе не более 48 часов. Информация о провайдере и местоположении — не более двух недель. Сугубо конфиденциальные данные, такие как имя пользователя и его физический адрес, компания записывать не будет. Собираемая сервисом информация будет использоваться исключительно в технических целях для повышения качества обслуживания.[5] Однако основатель конкурирующего сервиса OpenDNS Дэвид Улевич считает, что Google будет заботиться не столько о сохранности персональных данных, сколько о собственной выгоде. Он говорит, что Google, как один из крупнейших игроков на рынке интернет-рекламы со временем неизбежно начнет внедрять собственную контекстную рекламу на веб-страницах.[6] Кроме того, исполнительный директор Google Эрик Шмидт заявил, что компания «в некоторых случаях» может раскрыть информацию о личных данных, которая может стать причиной для повестки в суд. http://ru.wikipedia.org/wiki/Google_Public_DNS

  • Ответить

    @alter, ну, а то, что точность такой статистики ниже плинтуса просто по сути работы dns-протокола — никого не беспокоит? Откуда в dns персональные данные? Замаскированные биты, передающиеся через астрал? Ну, а разработчики dns-«решений» могут ругаться сколько угодно, они ж ругаются для того, чтобы их услышали пользователи определенного уровня знаний. Это где-то на уровне вреда ГМО и памяти воды, я считаю.

  • Ответить

    Погодите. По-моему вполне реально же обогащать данные при помощи отслеживания запросов к DNS? Мы имеем: Комп или планшет, что ходит, как на сайты где есть счётчики Яндекса, так и на сайты где метрики нет. При этом те сайты, где есть метрика — попадают и в радар метрики и приходят на DNS сервер. Можно делать сопоставления: «пользователь — серия запросов к DNS» с той или иной вероятностью. По крайней мере можно видеть, что тот или иной пользователь обращается к сайтам большого интернета в 30% случаев, 5% времени проводит на Яндексе (и тут виден компании полностью). А 3 процента запросов у человека приводят серфера к конкурентам. К мылу и гуглу. Там он невиден, непонятно что делает, но то что он там, а не в Яху — заметить реально. Разве нет? Яндекс ведь 700 раз говорил что умеет обогащать данные самыми немыслимыми незначимыми мелочами.

  • Ответить
    Альтер Эго

    да все они — Гугл, Яндекс, Майкрософт, Мail.ru, Яху — следят за нами и обогащаются за наш счет. сволочи.

  • Ответить
    Альтер Эго

    >да все они — Гугл, Яндекс, Майкрософт, Мail.ru, Яху — следят за нами и обогащаются за наш счет. сволочи зря вы прячетесь под alter ego — сурков видит ваш айпишник

  • Ответить
    Альтер Эго

    надеюсь, что Роем не сдаст меня и всех нас Ростелекому. Басов, вроде, же там? вот дописал и подумал, что Синодов уже давно сдал всех с потрохами

  • Ответить

    @Иван Ильин, результаты dns-запросов кешируются. Кроме того, дофига народу сидит за nat и т. п. Так что будет классическая «средняя температура по больнице». Ну разве что делать уникальные dns-имена, к которым делаются запросы, но это все равно будет работать только для собственных сервисов гугла/яндекса или для тех, где есть счетчики.

  • Ответить

    Хех… У яндекса vk.vom не зарезолвен. В результате, виноват я и получил звиздюлей от жены. Хотя и давно знал, вконтактег — опасный сайт с троянами :)

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Alxdr, а можно подробностей? У нас опасные сайты ресолвятся в страницу с информацией о том, что сайт опасный, у вас так произошло?

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    Как быть с кэшированием DNS? Забанили мне через DNS, предположим, гугл. За вирусы. И закэшировался у меня результат на неделю, и чего?

  • Ответить

    Вы вместо carfax.com вводите ccarfax.com или caefax.com или сфафч.сщь, а вам в ответ прилетает не «не могу отрезолвить хост», а страничка с рекламой всякой ботвы про подержанные автомобили, если кто-то не догадался этот домен ухватить. но если кто-то ухватил домен, то у него его можно отсудить по сильно упрощенной процедуре, а вот у ДНС сервера как бы и отсуживать нечего.

  • Ответить

    Роман Иванов, нет просто не резолвил вконтакт. Тупо говорил что такого сайта нет. Все остальные открывал спокойно. На гугловском днс всё было нормально. PS Попробовал сейчас все работает.

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    Что простите что? :) DNS ответы имеют свойство кэшироваться, надолго. Браузером, промежуточными DNS серверами или каким-нибудь супер умным софтом у вас на машинке. Вот предположим, посчитал Яндекс в какой-то момент, что сайт oknarosta.ru содержит вирусы, и начал вместо него ресолвить свою заглушку. И мой компьютер этот ресолв запомнил, на неделю например. Сайт то может уже тысячу раз вылечился, а меня, как посетителя, потерял. Яндекс, вы же можете для зараженных сайтов принудительно ставить TTL поменьше? Это поможет частично решить проблему.

  • Ответить

    Dmitry Sidorov, да, на этапе проектирования сервиса мы продумали это, потому для заблокированных хостов принудительно выставляется TTL=1200.

  • Ответить

    > очистить кеш днс своей машины с помощью rndc flush или flush dns не помогает чтоли? на этот сервис может быть настроен офисный/домашний/etc сервер/роутер с кеширующим dns

  • Ответить
    Альтер Эго

    «Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация: тип и модель устройства Пользователя, тип операционной системы устройства Пользователя, перечень доменных имен веб-сайтов, посещаемых Пользователем, а также иная статистическая информация об использовании Сервиса и техническая информация. Указанная информация хранится и обрабатывается Яндексом в соответствии с Политикой конфиденциальности (http://legal.yandex.ru/confidential/). Указанная информация может также храниться и обрабатываться аффилированными компаниями Яндекса, и Пользователь настоящим дает согласие на передачу такой персональной информации таким лицам.»

  • Ответить

    > Пользователь настоящим уведомлен и соглашается, что при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация tcpdump dns-запроса с этими данными — в студию! до тех пор я считаю, что аффтар обкурился несвежими RFC

  • Ответить
    Альтер Эго

    >до тех пор я считаю, что аффтар обкурился несвежими RFC автор, скорее всего, сидит в юридическом отделе и на rfc ему плевать. по максимуму включили и всё хорошо.

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    alexkuklin, Ну ОС допустим TCP Fingerprint-ом можно. Если правда обкуреный админ ресолвы по TCP делает :) А так, какова вероятность, что если, цитата:"в популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении «прошивок»" - то там ничего левого не уходит помимо DNS запросов.

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    А еще. Уважаемый Яндекс, а как у вас с безопасностью этого чуда? Возможен ли DNS Amplification DDoS? Как с Cache poisoning? Поддержка DNSSEC? Вот Google, например, описал все возможные виды атак на свой публичный DNS, и рассказал как он с ними борется: https://developers.google.com/speed/public-dns/docs/security — что помоему оч круто.

  • Ответить

    Dmitry Sidorov, мы заметили попытки сделать DNS amplification уже сразу после публикации новости. Убедились, что опыт использования scapy еще не покинул наших бывших коллег. Рейт-лимиты у нас настроены и мы внимательно будем присматривать за ними. По очевидным причинам, существование еще одного рекурсора не нарушает работоспособность иерархии DNSSEC. Что касается других проблем безопасности, они примерно одинаковы для всех открытых рекурсивных DNS-серверов. С приветом от бывших коллег.

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    Мария, как истинный джентльмен, спешу уведомить вас о том, что хотя мой опыт использования scapy и libnet лишь крепнет с годами, и мне безумно приятны ваши опасения, я к сожалению не мониторю Роем на наличие новостей о Яндексе :) И тридцатисекундный тест который я нопейсал, был запущен где-то в районе 21:00—22:00 вчерашнего дня, аккурат перед звонком Тохочке :) rate limit действительно включён, спасибо! По очевидным причинам, ваши наблюдения — это либо клиенты за NAT, либо использование вас в качестве forwarders на провайдерских DNS, ну или чьи-то еще попытки :)