Браузер против перехватчиков

Когда вы хотите позвонить тому или иному человеку, вы заглядываете в адресную книгу — бумажную или в мобильном телефоне. Это очень удобно — чтобы совершить звонок, достаточно знать имя человека, которое запомнить куда проще, чем номер из десятка цифр. Примерно то же самое происходит и в интернете. Как и у людей в записной книжке, у сайтов есть имена и номера — они, соответственно, называются доменными именами и IP-адресами. Например, доменное имя главной страницы Яндекса — yandex.ru, а один из её IP-адресов — 5.255.255.55. Людям проще работать с именами, а машинам — с цифрами, поэтому каждый раз, когда вы набираете адрес какого-нибудь сайта, браузер сталкивается с необходимостью преобразовать доменное имя в IP-адрес. Для этого используется система DNS — она хранит соответствия между доменными именами и IP-адресами сайтов. Именно поэтому DNS иногда называют «адресной книгой интернета».

На запросы браузера («Эй, у меня тут есть доменное имя, какой IP ему соответствует?») отвечает DNS-сервер. DNS-серверов очень много — с каким именно будет взаимодействовать ваш браузер, как правило, определяет интернет-провайдер.

Информация, которой обмениваются браузер и DNS-сервер, никак не защищена, и её довольно легко перехватить. С первого взгляда, браузер и сервер не передают друг другу ничего сверхсекретного — ни номеров банковских карт, ни ваших личных данных. Но всё равно возможны неприятности — например, перехватив DNS-трафик, можно узнать, какие сайты вы посещаете. Злоумышленники также могут взломать домашний роутер и заменить адрес DNS-сервера в настройках. Мошеннический DNS-сервер может давать неправильные IP-адреса — по его вине вместо интернет-банка легко оказаться на фишинговом сайте.

Чтобы защитить пользователей от такого рода опасностей, мы добавили в Яндекс.Браузер технологию DNSCrypt. Она устраняет сразу несколько «слабых мест» системы DNS. Во-первых, все запросы от браузера направляются на безопасный DNS-сервер Яндекса. Даже если злоумышленники атакуют ваш роутер или компьютер и изменят адрес DNS-сервера в настройках (а такого рода атаки — не такая уж редкость), вы не окажетесь на мошенническом ресурсе. Во-вторых, DNSCrypt шифрует все данные, которыми обмениваются браузер и DNS-сервер, — то есть, по сути, выполняет ту же роль, что и SSL при обмене данными по протоколу HTTPS. Благодаря шифрованию перехват трафика становится бесполезен — не имея ключа, перехватчик вместо доменных имён и IP-адресов будет видеть лишь бессмыслицу.

Включение DNSCrypt в настройках Яндекс.Браузера

Протокол DNSCrypt разработала компания OpenDNS, запустившая в 2006 году одноимённый DNS-сервис. Ранее для того, чтобы включить защиту DNSCrypt, требовалось установить на компьютер специальную утилиту. Теперь это необязательно — если вы пользуетесь Яндекс.Браузером, достаточно обновить его до последней версии и включить DNSCrypt в настройках. Защита доступна в версиях браузера для операционных систем Windows и OS X. В ближайшем будущем мы планируем добавить в браузер поддержку альтернативных DNS-серверов — вы сможете выбрать тот, который подходит вам. Подробнее о DNSCrypt в Яндекс.Браузере читайте в нашем блоге на «Хабрахабре».

42 комментария
Почему в моем Яндекс.Браузере этого нет ?
Версия
16.3.0.7843
mrskyway,
Включить
обновил, теперь есть.
Версия
16.4.0.7918
DNSCrypt поддерживают не все DNS сервера
поэтому вы остаетесь защищены на том же уровне
AvitoBot YoulaBot,
так же технология DNSCrypt тормозит открытие страницы в два раза
AvitoBot YoulaBot,
а зачем ему поддержка всех DNS-серверов? При включении используется ровно один – DNS-сервер Яндекса, который поддерживает DNSCrypt.
AvitoBot YoulaBot,
у нас не тормозит. Думаю, Вы говорите о тех случаях, когда технология используется в связке с медленным DNS-сервером. У нас он быстрый.
AvitoBot YoulaBot,
https://avatars.mds.yandex.net/get-bunker/120922/800387395adb9dd06fdf6db219100bea2d88f7fa/orig
Кирилл Варнаков
20 апреля 2016, 10:05
Интересно теперь все смогут порнуху смотреть )
Антон Валерьевич
20 апреля 2016, 17:17
Кирилл Варнаков,
А что, раньше не все могли?
Кирилл Варнаков
20 апреля 2016, 17:23
Антон Валерьевич,
раньше можно было использовать безопасный поиск google и yandex, ну и на уровне dns блочить порно сайты, теперь видимо еще одна лазейка как обойти фильтры ).
Антон Валерьевич
20 апреля 2016, 17:42
Кирилл Варнаков,
Ну да, через файл hosts уже не получится заблокировать, как и в настройках роутера. Остаётся только блокировать IP-адрес.
Кирилл Варнаков
20 апреля 2016, 21:52
Антон Валерьевич,
Причем ip DNS yandex )
Антон Валерьевич
20 апреля 2016, 17:04
А Линукс что, пролетает?
Антон Валерьевич,
Почеу пролетает? Можно же просто установить пакет DNSCrypt'a и вписать его ip в настройках сетевого соединения...
"то есть, по сути, выполняет ту же роль, что и SSL при обмене данными по протоколу HTTPS" а если мой интернет-банк использует https, я могу спокойно любым браузером пользоваться?
Света Чистякова
22 апреля 2016, 18:43
girl-without,
здравствуйте. SSL в протоколе HTTPS шифрует данные, которыми обмениваются интернет-банк и ваш компьютер. Но прежде чем загрузить сайт (того же банка, например), браузер запрашивает у DNS-сервера его IP-адрес. Защиту данных, которыми обмениваются браузер и DNS-сервер, обеспечивает DNSCrypt.
Сообразили вы бы. У вас такая процедура браузера, после обновления браузера создает новую вкладку об обновлении, что можно было добавить в нем небольшую информацию о DNSCrypt, то есть писать "рекомендуем включить функцию и тд" это для не опытного пользователя, чтобы мне или другим не приходится каждому пользователю давать советы.
У меня НИЧЕРТА не защищает! Кто знает помагите по скайпу: мой скайп Makc_Cmagin

Господа маркетологи уважаемого Яндекса. Вы ЗАПАРИЛИ продвигать свой браузер на ваших страничках открываемых в других браузерах!!! Ваша навязчивость просто бесит: зачем вы каждый раз делаете яркую полоску сверху окна и выделяете рекламу: "установи безопасный я...с браузер"...  Ну стоит у меня ваш браузер, СТОИТ! А вы мне предлагаете и предлагаете его установить!!!! Что ещё раз и ещё раз устанавливать???? Десять раз в день устанавливать заново ваш браузер???  Скорее вообще в блокировку все сервисы яндекса буду ставить!!! 
LanaLex,
яндекс-браузер устанавливать - себя не уважать
Удалённый пользователь
4 мая 2016, 10:13
Скажите есть ли в планах Яндекс.Браузер с поддержкой x64 архитектуры?
версии для OS X и Linux уже 64-битные. Версия для Windows рано или поздно тоже станет такой. Это зависит от того, когда разница в битах реально скажется на производительности или стабильности. 
Не по теме:
Почему отличается дизайн на разных версиях windows (Например, хр и win7)? Хотя версия браузера и на одном и на другом устройстве одинаковая.
Beta Win10 14342 браузер нельзя установить проблемы с сертификатом безопасности ПО Яндекса.
Howard Saint,
пришлите детали через browser.yandex.ru/feedback, пожалуйста. 
ingamordanova2015
21 мая 2016, 14:00
Здравствуйте! Установите мне пожалуйста браузер против различных вирусов иперехватчиков,А то два дня назад мой роутер былвырублен поль ностью толи погодой толи кемто, рядом ходят рзные несколько вирусов которые  я не могу ничем удалить.Это ужас какой_то!
это круто!
Очень жаль но для Nokia Lumia 530 система не подходит
Света Чистякова
24 мая 2016, 16:16
lyudchicl,
здравствуйте. Да, версии Браузера для Windows Phone, к сожалению, пока нет.
test.testovic.1970
26 мая 2016, 00:01
ну да, ладно. И слышали ли вы о spybot, dbl, или RFC? Думаю нет. Если мне нужно попасть на локальный сервер? Уже кому-то пришло в голову, что hosts файл к чему-то?
test.testovic.1970,
hosts файл работает. 
test.testovic.1970
26 мая 2016, 15:31
Тимур,
hosts -> 127.0.0.1 www.facebook.com
view-source:https://www.facebook.com/
<!DOCTYPE html>
<html lang="cs" id="facebook" class="no_js">
16.4.1.7986 beta (64-bit)
test.testovic.1970
26 мая 2016, 15:49
Тимур,
testovic@testovic-LIFEBOOK-A512:~$ ping www.facebook.com
PING www.facebook.com (127.0.0.1) 56(84) bytes of data.
test.testovic.1970,
у Вас используется локальный Facebook? hosts файл работает, но только для тех случаев, когда DNS-сервер не может найти адрес для домена. Это сделано специально для корпоративного сегмента и локальный сайтов провайдеров. Если же нужно перенаправить запрос существующего сайта на сторонний адрес, то тогда да, DNSCrypt помешает. Потому что в большинстве случаев так поступают мошенники. 

Но учитывая многообразие ситуаций, DNSCrypt не включен по умолчанию.
test.testovic.1970
26 мая 2016, 19:22
Тимур,
Да, у меня всё мошенники в hosts, это называется DBL (DNS black list). Все опасные домены на учете в hosts с адресом 127.0.0.1 Это обычный метод.
Просто вам это не хочется исправить, и поэтому это объявите за стандарт. 
test.testovic.1970
26 мая 2016, 19:49
Тимур,
http://hosts-file.net/?s=Download
Частные IP-адреса IPv4 или localhost никто не может использовать для мошенничества. Несмотря на то, что серверы могут иметь два адреса, публичный ip и локальный ip.
Не могу "поднять" нижнюю границу окна Вашего прекрасного браузера. Порой мышь не заходит туда. И у Хрома та  же проблема . Сделайте кнопку справа внизу или решите как-то. Типа делать окно на 10 пикс меньше высоты монитора и т.п.
+++
А что сделать,если у меня появилась похожая проблема ? Я организатор СП,работаю с помощью сайта Sliza.Недавно попался подобный сайт,попробовала с ним поработать один день. А теперь не могу попасть на Sliza.Не один браузер не находит этот сайт.Как исправить ситуацию.
Удалённый пользователь
9 октября 2017, 11:27
Включил настройку DNSCrypt в одном из профилей браузера, на следующий день обнаружил эту же настройку включённой в другом профиле, который используется специально для разработки, поэтому там DNSCrypt только мешает.
Планируется ли разнести эти настройки по профилям, а не включать на весь браузер?
Удалённый пользователь
24 февраля 2019, 11:00
Спасибо сотрудникам компании Яндекс за безопасный браузер.