Открытка компании: DNSCrypt в «бете» Яндекс.Браузера лишь имитирует дополнительную безопасность?

Александр Венедюхин пишет, что DNSCrypt в «бете» Яндекс.Браузера легко отключить вирусу или злоумышленнику (например провайдеру):

DNSCrypt в «Яндекс.Браузере» — работает, обращается на 77.88.8.78 (это «Яндекс.DNS») по 15353/udp. Если заблочить доступ к данному IP, то браузер молча переходит на штатный системный резолвер. Ну, то есть, особого смысла, в случае заявленной «модели угроз» (злой провайдер последней мили), реализация уже не имеет. (Аутентификацию сервера не проверял: в DNSCrypt она есть, вопрос, реализована ли в браузере.)

— подменой DNS пользователей принято переправлять на фишинговые сайты, где с жертв собирают пароли и так далее. Включённая в Браузере дополнительная защита может создать у пользователя иллюзию повышенной безопасности. В действительности же защита молча отключается по первому желанию злоумышленника.


Примечание Roem.ru: конкурирующие браузеры защиты DNS при помощи DNSCrypt пока вообще не имеют. Яндекс — первый применил защитную технологию в своей программе и получил «приз за лидерство». Естественно, что все ранние «шишки» придётся собрать Яндексу, а не другим разработчикам, что будут (если будут) применять DNSCrypt в будущем.

Добавить 1 комментарий

  • Ответить

    Бета на то и бета, чтобы собрать и изучить все возможные сценарии.

    Не стоит забывать про куда более массовый сценарий взлома роутеров и подмену DNS-серверов на нем. Эпидемию прошлого года до сих пор забыть трудно (перехват через DNS http-версий Google Analytics и Яндекс.Метрики). И здесь DNScrypt защищает.

    Что касается переключения на системный резолвер, то на Хабре я рассказывал об эксперименте с настройкой, которая запретит использовать системный резолвер в случае недоступности нашего.

    В общем, первыми быть не просто, работы еще много. Команда была бы благодарна за советы и отзывы.