Secure DNS: DoH, DoT, DoQ

 Secure DNS: DoH, DoT, DoQ

≈ 2 мин

Классический DNS создавался в эпоху доверенных сетей.
Запрос отправлялся по UDP на порт 53 — без шифрования и без аутентификации.

Любой промежуточный узел мог видеть:

- домен
- время запроса
- частоту обращений

Даже если сам сайт открывается по HTTPS, DNS долгое время оставался открытым текстом.

Secure DNS появился как попытка закрыть именно этот слой.

DNS over TLS (DoT)

DoT стандартизирован в RFC 7858.
Работает поверх TLS и использует порт 853.

Принцип простой:
между клиентом и резолвером устанавливается зашифрованный TLS-канал, внутри которого передаются обычные DNS-запросы.

Плюсы:

- защита от прослушивания на уровне провайдера
- защита от подмены ответа (при проверке сертификата)

Минусы:

- отдельный порт легко фильтруется
- виден сам факт использования DoT

Инфраструктурно DoT ближе к традиционной модели DNS.

DNS over HTTPS (DoH)

DoH описан в RFC 8484.
DNS-запросы инкапсулируются в HTTPS-трафик и передаются по порту 443.

Это делает трафик внешне неотличимым от обычного веб-соединения.

Сетевые фильтры не могут просто заблокировать его по порту.

DoH чаще реализуется на уровне приложения или браузера.
Например, Firefox и Chrome могут использовать собственный DoH-резолвер, минуя системные настройки.

Побочный эффект — централизация.
Многие клиенты используют публичные резолверы (Cloudflare, Google), что концентрирует DNS-трафик у крупных операторов.

DNS over QUIC (DoQ)

DoQ стандартизирован в RFC 9250.
Использует транспорт QUIC поверх UDP.

QUIC обеспечивает:

- встроенное шифрование (TLS 1.3)
- быстрое установление соединения
- меньшую задержку при повторных запросах

DoQ решает проблему head-of-line blocking, характерную для TCP.
Это особенно заметно при большом числе параллельных DNS-запросов.

С точки зрения наблюдаемости — трафик зашифрован, но использование UDP делает его потенциально более заметным для фильтрации в жёстких сетях.

Что меняется на практике

Secure DNS скрывает содержимое запроса от локального провайдера и пассивных наблюдателей.

Но:

- IP-адрес целевого сервера остаётся видимым
- сам факт обращения к конкретному резолверу виден
- доверие переносится к оператору DNS

Если используется публичный резолвер, именно он получает полную картину доменных запросов.

Шифрование не устраняет сбор данных.
Оно меняет сторону, которая их видит.

Финал

DoT, DoH и DoQ закрывают уязвимость классического DNS.
Это технически корректный шаг вперёд.

Но Secure DNS — это не анонимность.
Это защита канала.

Вопрос приватности остаётся вопросом доверия к тому, кто отвечает на запрос.

@secondcontour

_______
Источник | #secondcontour
@F_S_C_P

Не знаю, надо ли пояснять очевидное. Видимо надо.

 Не знаю, надо ли пояснять очевидное. Видимо надо.

Все кастомные/неофициальные клиенты телеграм (с супер-возможностями!) получают ВЕСЬ ДОСТУП ко всем вашим данным и перепискам из телеграма.

Плюс, точно также, получают всю информацию с вашего устройства, которую вы такому клиенту разрешите получать. Кто и как у вас записан в телефоне, кому вы звоните, геолокацию, все фотографии — всё, что вы разрешили, уйдет непонятно кому.

Если для вас всё это не имеет значения, то подумайте хотя бы о людях, которые с вами переписываются. О партнерах, о сослуживцах, о клиентах, о друзьях. Всё, что они вам написали, вы тоже отдаёте непонятно кому.

Подумайте, а не сфотографировали ли вы что-нибудь в расположении части, например, со всеми геолокационными признаками?

Подумайте о компромате в сохраненных фотках. Хотя бы о чужих секретах, если уж свои не жалко. 

Еще можно подумать о том, а кому и зачем надо делать кастомный клиент для тг, и бесплатно его распространять (со всеми встроенными ВПНами и бла бла бла), если только не затем, чтобы украсть ваши данные.



Добрые и умные читатели подсказывают: По поводу клиента «Телега» есть краткий разбор, что это такое, на Хабре.

Можно сразу посмотреть в конец статьи, на "итоги":
Нарушение лицензии GPL v2 (закрытый исходный код, запрет на копирование).

Звонки через Одноклассники.

Принудительные подписки на каналы.

Дырявая схема проксирования (нет проверки SSL, нет подписи).

Сертификат Минцифры для потенциального перехвата трафика.

Слив данных (включая ключи) на сторонние сервера.

Отсутствие Certificate Pinning, который был в оригинале.

_______
Источник | #auantonov
@F_S_C_P

У Додо

 У Додо сейчас пиар-проблемы.

Коротко основное:
— В Челябинске в -20°C их курьер укрыл рабочим пледом замерзающую уличную собаку (любимицу точки, она там всегда у двери замерзает) и сделал очень трогательные фотогрифии.
— Похоже, у них там был конфликт с новым менеджментом, и новая управляющая уволила курьера, сославшись на порчу имущества компании. Официально они сказали журналистам потом что за систематические прогулы и опоздания. Есть скрин непонятного происхождения "Кто укроет собаку — окажется на улице вместе с ней".
— Кто-то всё это выложил в паблики. Пошли призывы к отмене Додо и повышенное внимание. Действия компании восприняли как лютую жестокость, которая не совпадает с семейной доброй позицией бренда.
— Основатель Фёдор Овчинников сказал, что он за границей и ничего не знает, а потом выложил пост с "Конечно, мы не будем принимать таких решений, детально не разобравшись в ситуации. И все могут ошибаться. Но мы точно сделаем выводы."

Рамки:
— Аудитория: курьер поступил человечно, он прав. Жизнь и здоровье собаки важнее остального.
— Додо: трудовая дисциплина, санитарные нормы.

Додо собрала все возможные косяки: у вас тут пострадавшее животное (а мы знаем по случаям РЖД, чем это заканчивается), выглядящий снаружи неадекватом начальник и корпоративное лицемерие. Фёдор плеснул маслица в огонь тоже. Плюс они пытаются разруливать через рамку правил и стандартов, а надо через рамку отношений и человечности.

По отдельности эти косяки им бы легко спустили, но вместе — особенно с усилением лицемерия — это прям хорошее топливо для хайпа. Плюс фотографии собаки получились действительно жалостливые.

Сейчас можно сделать три базовых вещи:
— Попытаться смолчать, через 2-3 дня кто-нибудь ещё что-нибудь учудит или лизнёт на морозе, внимание переключится. Плохая стратегия, слишком эмоциональный старт уже.
— Принцип Мелло — попытаться ассиметрично атаковать, например, сдать собаку в приют. Охваты будут конские, но это самый край идиотизма.
— И сделать обычную реакцию на подобные кризисы. Прям типовую. Прям хрестоматийную.

Вот что им надо сделать сейчас:

1. Собаку срочно спасать. Это надо и просто по-человечески, и потому, что её сейчас подберёт кто-то другой, кто хочет хайпа.
2. Отогреть, выложить фотографии.
3. Фёдору извиниться, сказать, что собака превыше всего. Выложить фотографии, где она в тепле в одеяле. Найти, куда её пристроить. Лучше всего записать кружок, где он охренел от ситуации, разобрался и обещает дальше всё поправить. Ему должно быть стыдно, он не должен спорить.
4. Разобраться, имела ли дама право увольнять курьера на таком основании. Курьеру взять обратно. Опять же, его сейчас по опыту таких американских случаев, завалят предложениями о работе, вероятно, он перейдёт. 
5. Пожертовать в собачий фонд или ещё куда с животными. Опекать как минимум кластер собак. Не устраивать акции типа "1% выручки за выходные собакам", это будет восприниматься как жадность.
6. Спокойно разобраться в менеджерской ситуации. Историю очень детально разобрать, там дальше ещё цепочка эхо будет, с изменениями корпоративной этики и т.п.

На будущее — курить вот это, мы много кризисов проходили. То, что там не среагировали вовремя, говорит о том, что процессы, возможно, сломаны:
— https://habr.com/ru/companies/tuturu/articles/752882/
— И https://habr.com/ru/companies/tuturu/articles/753422/

Во всей этой истории корневая причина — почему так вообще произошло — самая интересная. Ещё интереснее, как в будущем усилить систему, чтобы не было швейцарского сыра со сквозными дырками. Где-то проблема со внутренними ценностями, потом дырка в пиаре, потом звонок основателю — странно.

_______
Источник | #red_spades
@F_S_C_P

Закачался трон человеческого превосходства

 Закачался трон человеческого превосходства: ИИ покушается на существующую иерархию. И общество реагирует на это привычным образом.

Я получил сотни комментариев «ИИ никогда не сравнится с людьми» и это похоже, например, на то, как патриархат реагирует на феминизм. Страх потери статуса «я полноценный человек, она — другое» заставляет сопротивляться изменениям. 

В ход идут любые аргументы, почему мы будем разными всегда. От христианских ценностей до объяснения физиологии. 

Еще такое же поведение было в эпоху аболиционизма. Противники отмены рабства тоже ссылались на авторитеты (Библию) и антропологические отличия. 

Вот и сейчас «венец природы» почувствовал конкуренцию и это вызывает тревогу в форме «ИИ никогда не будет мне равным». 

(ВАЖНО: я не приравниваю женщин, рабов к нейросетям, а анализирую схожесть реакции.)

Еще, кажется, такая реакция была на теорию Коперника. Как же это вдруг мой мир не центр вселенной, и не все вращается вокруг него.

Превосходство — верный спутник страха. Чего же я — человек — боюсь? 

 Нашел две гипотезы. 

Раз. Интеллект — последний рубеж, где я был недосягаемо хорош. Эмоции есть у животных, я не самый сильный или быстрый. Возможно, не самый красивый. Но я точно самый умный и поэтому могущественный на планете. 

Два. Решительно невозможно представить, чтобы кто-то уравнивал меня с вещью. Не заходите за рубеж: раб (вещь) не может иметь тот же вес, что и я.

Реакция на происходящее с ИИ зависит от человека. У одних страх приводит к усилению границы — превосходство, отрицание, ирония. В результате получаем игнор или низведение технологии до уровня еще одного тостера. 

С другого лагеря доносятся любопытство, рационализация и попытки интеграции. Тут страх порождает желание контроля. Люди, управляющие огнем, имели власть над остальными. Владеющие металлом или освоившие письменность побеждали неграмотные племена с каменными и деревянными орудиями.

Где пройдет новая граница: между человеком и ИИ или между человеком с ИИ и человеком без него?

Не знаю. Но, кажется, в мире мало людей, кто не чувствует, что новая граница возникает и развидеть обратно ее уже невозможно.

_______
Источник | #scalingclub

Типичная компания в кризис

 Типичная компания в кризис начинает резать косты и качество, увольнять людей, душить поставщиков и клиентов. Компания Patagonia, занимающаяся производством спортивной одежды, поступила ровно наоборот. Она сделала ставку на рост качества, на то, чтобы её продукция служила людям по 10-20 лет. Ради этого она пошла к производителям и за счёт синхронизации планов обеспечила стабильность поставок, рост качества и помогла с минимизацией потерь. В условиях кризиса никого не интересовали надёжные и долговечные ткани и материалы, потому она получила наилучшие условия и быстро перешла на производство уникальных товаров. А ещё - добилась значительной экономии.

Но всё это не сработало бы без расширения программы заботы о сотрудниках, которое тоже прошло "против тренда":
🍀Patagonia сохранила все социальные льготы, хотя на этом настаивали финансовые консультанты
🍀под нож не пустили даже программу детских садов в офисах. Компания рассудила, что лучше пусть сотрудник думает о работе, чем тратит лишнее время и нервы на то, чтобы отвести и забрать ребёнка
🍀вместо этого компания отказалась от услуг финансовых консультантов и урезала административные расходы, особенно - на содержание директоров и АУП
🍀вместо того, чтобы усадить сотрудников в офис и заставлять их работать по 12 часов в день, компания вообще сняла требования к присутствию. Сотрудник мог вообще не появляться в офисе, лишь бы выполнял свою работу. Как говорили в компании: "Если пришла волна, её надо покорять, а не сидеть в офисе"
🍀программа обучения сотрудников была серьёзно расширена
🍀даже больше, сотрудники могли на срок до двух месяцев уехать работать добровольцами, и им за это время выплачивалась зарплата.

Эти меры серьёзно поднимали вовлечённость сотрудников и повышали их производительность труда ещё и до кризиса. А в кризис сотрудники Patagonia ощутили себя в настоящей безопасности и работали с максимальной отдачей. Высокий уровень вовлечённости обеспечил взрыв инноваций и идей по улучшению снизу, благодаря чему был получен серьёзный эффект от экономии на производстве, упаковке, логистике и продажах.
На эту систему решений крайне положительно ответили и клиенты, обеспечив рост выручки в 2 раза за 5 лет с 2008 по 2012. Прибыль за то же время выросла втрое.

Потому что в условиях кризиса рост заботы о сотрудниках и качественная организационная работа не только повышают шансы компании на выживание, но и в 3-5 раз усиливают последующий рост.

_______
Источник | #truefinance
@F_S_C_P

В общем-то, генерация миров — совсем не новинка.

 Прочитал занятную статью о том, что ИИ пока не может (и, возможно, не сможет) создавать захватывающие игровые миры. Моя выжимка:

В общем-то, генерация миров — совсем не новинка. Игровые миры генерировались процедурно ещё в 1980 году — в Rogue (прародителе целого жанра, который мы теперь знаем как «рогалики»). А самая популярная сегодня игра с генерацией — это, конечно же, небезызвестный Minecraft. В общем, процедурной генерацией никого не удивишь. Зато ИИ, который уже год не сходит с первых полос, — горячий тренд и у игроделов. Такие компании, как Krafton, Electronic Arts, Ubisoft и Nexon, изо всех сил либо уже внедряют генеративный ИИ, либо собираются это делать. Что уж говорить про инди-сцену, где ИИ — не просто способ ускориться, а иногда и инструмент банального выживания. Пока что это в основном генерация отдельных кусков кода, ассетов, текстур, концептов. Но всем же хочется другого уровня — качественного скачка. Особенно менеджерам, грезящим о золотых горах прибыли при минимуме затрат. Новости же о стартапах, обещающих полностью генерируемые игры, появляются регулярно, но всё это будто застревает на уровне презентаций и громких обещаний.

И вот появляется Project Genie от Google, обещающий по текстовому или визуальному запросу создавать «песочницы», которые можно исследовать в течение 60 секунд. После анонса акции Take-Two Interactive, Roblox и Unity просели — правда, потом быстро восстановились. А почему восстановились? Да потому что в Project Genie выходит всё сухо, глухо, скучно: физика минимальная, миры полупустые, экспортировать ничего никуда нельзя — самому даже допилить ничего не получится. Тлен? Ещё какой. Президент Take-Two вообще назвал это «процедурно сгенерированным интерактивным видео».

Что же дальше? Похоже, Google не остановится и будет развивать продукт. Другие тоже подтянутся — Маск, Цукерберг и некоторые другие уже высказывались о будущих планах на генерируемые игры. Но даже если у них получится создавать технически сложные миры, важно помнить: игра — это гораздо больше, чем просто окружение. В лучших проектах есть продуманный геймплей, интересные задания, музыка и звук, сценарий, персонажи — и годы опыта людей, умеющих всё это гармонично сочетать.

Какие же выводы? ИИ пока точно не готов создавать полноценные игры. И, возможно, никогда не догонит ту сложность и глубину, которую создают люди. Тем не менее технологические компании продолжат инвестировать в это направление. А даже сама идея, что ИИ может создать нечто подобное, уже способна серьёзно повлиять на игровую индустрию. Некоторые оптимисты сравнивают прогресс генерации интерактивных миров с тем, как стремительно развивалась генерация видео за последний год. Но реалистичнее звучит мысль, что с играми так быстро не получится: слишком много переменных в создании полноценного игрового процесса. Хотя инструменты ИИ для разработки игр, безусловно, будут становиться лучше.

@g33ks

_______
Источник | #g33ks

Музыка — это взлом эволюционных механизмов.

 Музыка — это взлом эволюционных механизмов. Так-то если задуматься — странная вещь. Еды не дают, размножаться не помогает, но мы тратим на неё колоссальное количество ресурсов. А почему?

Нейробиологи такие: ну, музыка активирует систему вознаграждения. Взяли фМРТ и транскраниальные стимуляторы. Если что, можно навести ток на те части мозга, что понаружнее. Внутрь очень сложно. Поэтому прямо в самый центр удовольствия жахнуть не выйдет, а вот в левую дорсолатеральную префронтальную кору можно, она связана с ним.

11 женщин + 6 мужчин (средний возраст 24 года). Три процедуры:
— Усиливали работу нейронных связей.
— Подавляли работу связей.
— Плацебо — просто прикладывали шумящий металлолом к голове.

Сразу после стимуляции (которая меняет работу мозга примерно на час) людей клали в фМРТ-сканер и включали музыку. Участники слушали свои любимые песни и новые треки.

— Когда мозг возбуждали, люди сообщали о большем удовольствии (на 10-20% выше), у них чаще случались мурашки, и они готовы были заплатить больше денег за треки.
— Когда мозг тормозили, удовольствие падало, мурашек было меньше, а денег они предлагали меньше, чем обычно.

фМРТ:
— За 10 секунд до пикового момента песни мозг начинал готовиться. Уровень активности в это время отлично показывал, сколько человек готов заплатить за песню.
— Сам момент пика удовольствия. Активность в этот момент — сила удовольствия. Чем сильнее удовольствие, тем крепче становилась связь между слуховой корой и центром вознаграждения.

Из работы прямо следует, почему работает схема "нагнетание — дроп". Когда музыка создает напряжение, мозг делает ставку, что сейчас будет разрешение аккорда. Пока разрешения нет, дофамин копится. Когда бит падает, именно так, как мы хотели, начинается дофаминовый душ. И вот учёные ещё открыли, что если вас в этот момент грамотно херануть током, то размажет вас даже с Вивальди так, как не снилось никаким рейвам. Кстати, если такую же стимуляцию прикладывать к людям, которые вообще не получают удовольствие от музыки, они начинают его получать.

Так что обобщая с предыдущими исследованиями, можно сказать, что музыка — это взлом древней системы, созданной для поиска еды и партнёров. Мы буквально обманываем мозг, заставляя его считать, что заняты чем-то крайне важным и ценным для выживания.

Мурашки — ещё один взлом. Они вообще-то для испуга и драки (чтобы напрячь шерсть и быть визуально больше). Музыкой сначала взламывается система тревоги — например, через саспенс или громкие аккорды — а потом мозг понимает, что всё в порядке, мы в безопасности.

_______
Источник | #Fourier_series
@F_S_C_P