Браузер против перехватчиков

19 апреля 2016, 13:30

Когда вы хотите позвонить тому или иному человеку, вы заглядываете в адресную книгу — бумажную или в мобильном телефоне. Это очень удобно — чтобы совершить звонок, достаточно знать имя человека, которое запомнить куда проще, чем номер из десятка цифр. Примерно то же самое происходит и в интернете. Как и у людей в записной книжке, у сайтов есть имена и номера — они, соответственно, называются доменными именами и IP-адресами. Например, доменное имя главной страницы Яндекса — yandex.ru, а один из её IP-адресов — 5.255.255.55. Людям проще работать с именами, а машинам — с цифрами, поэтому каждый раз, когда вы набираете адрес какого-нибудь сайта, браузер сталкивается с необходимостью преобразовать доменное имя в IP-адрес. Для этого используется система DNS — она хранит соответствия между доменными именами и IP-адресами сайтов. Именно поэтому DNS иногда называют «адресной книгой интернета».

На запросы браузера («Эй, у меня тут есть доменное имя, какой IP ему соответствует?») отвечает DNS-сервер. DNS-серверов очень много — с каким именно будет взаимодействовать ваш браузер, как правило, определяет интернет-провайдер.

Информация, которой обмениваются браузер и DNS-сервер, никак не защищена, и её довольно легко перехватить. С первого взгляда, браузер и сервер не передают друг другу ничего сверхсекретного — ни номеров банковских карт, ни ваших личных данных. Но всё равно возможны неприятности — например, перехватив DNS-трафик, можно узнать, какие сайты вы посещаете. Злоумышленники также могут взломать домашний роутер и заменить адрес DNS-сервера в настройках. Мошеннический DNS-сервер может давать неправильные IP-адреса — по его вине вместо интернет-банка легко оказаться на фишинговом сайте.

Чтобы защитить пользователей от такого рода опасностей, мы добавили в Яндекс.Браузер технологию DNSCrypt. Она устраняет сразу несколько «слабых мест» системы DNS. Во-первых, все запросы от браузера направляются на безопасный DNS-сервер Яндекса. Даже если злоумышленники атакуют ваш роутер или компьютер и изменят адрес DNS-сервера в настройках (а такого рода атаки — не такая уж редкость), вы не окажетесь на мошенническом ресурсе. Во-вторых, DNSCrypt шифрует все данные, которыми обмениваются браузер и DNS-сервер, — то есть, по сути, выполняет ту же роль, что и SSL при обмене данными по протоколу HTTPS. Благодаря шифрованию перехват трафика становится бесполезен — не имея ключа, перехватчик вместо доменных имён и IP-адресов будет видеть лишь бессмыслицу.

Включение DNSCrypt в настройках Яндекс.Браузера

Протокол DNSCrypt разработала компания OpenDNS, запустившая в 2006 году одноимённый DNS-сервис. Ранее для того, чтобы включить защиту DNSCrypt, требовалось установить на компьютер специальную утилиту. Теперь это необязательно — если вы пользуетесь Яндекс.Браузером, достаточно обновить его до последней версии и включить DNSCrypt в настройках. Защита доступна в версиях браузера для операционных систем Windows и OS X. В ближайшем будущем мы планируем добавить в браузер поддержку альтернативных DNS-серверов — вы сможете выбрать тот, который подходит вам. Подробнее о DNSCrypt в Яндекс.Браузере читайте в нашем блоге на «Хабрахабре».

38 комментариев
Подписаться на комментарии к посту
Почему в моем Яндекс.Браузере этого нет ?
Версия
16.3.0.7843
обновил, теперь есть.
Версия
16.4.0.7918
DNSCrypt поддерживают не все DNS сервера
поэтому вы остаетесь защищены на том же уровне
respektangarsk,
так же технология DNSCrypt тормозит открытие страницы в два раза
respektangarsk,
а зачем ему поддержка всех DNS-серверов? При включении используется ровно один – DNS-сервер Яндекса, который поддерживает DNSCrypt.
respektangarsk,
у нас не тормозит. Думаю, Вы говорите о тех случаях, когда технология используется в связке с медленным DNS-сервером. У нас он быстрый.
Кирилл Варнаков
20 апреля 2016, 10:05
Интересно теперь все смогут порнуху смотреть )
Антон Валерьевич
20 апреля 2016, 17:17
Кирилл Варнаков,
А что, раньше не все могли?
Кирилл Варнаков
20 апреля 2016, 17:23
Антон Валерьевич,
раньше можно было использовать безопасный поиск google и yandex, ну и на уровне dns блочить порно сайты, теперь видимо еще одна лазейка как обойти фильтры ).
Антон Валерьевич
20 апреля 2016, 17:42
Кирилл Варнаков,
Ну да, через файл hosts уже не получится заблокировать, как и в настройках роутера. Остаётся только блокировать IP-адрес.
Кирилл Варнаков
20 апреля 2016, 21:52
Антон Валерьевич,
Причем ip DNS yandex )
Антон Валерьевич
20 апреля 2016, 17:04
А Линукс что, пролетает?
Антон Валерьевич,
Почеу пролетает? Можно же просто установить пакет DNSCrypt'a и вписать его ip в настройках сетевого соединения...
"то есть, по сути, выполняет ту же роль, что и SSL при обмене данными по протоколу HTTPS" а если мой интернет-банк использует https, я могу спокойно любым браузером пользоваться?
Света Чистякова
22 апреля 2016, 18:43
girl-without,
здравствуйте. SSL в протоколе HTTPS шифрует данные, которыми обмениваются интернет-банк и ваш компьютер. Но прежде чем загрузить сайт (того же банка, например), браузер запрашивает у DNS-сервера его IP-адрес. Защиту данных, которыми обмениваются браузер и DNS-сервер, обеспечивает DNSCrypt.
Сообразили вы бы. У вас такая процедура браузера, после обновления браузера создает новую вкладку об обновлении, что можно было добавить в нем небольшую информацию о DNSCrypt, то есть писать "рекомендуем включить функцию и тд" это для не опытного пользователя, чтобы мне или другим не приходится каждому пользователю давать советы.
У меня НИЧЕРТА не защищает! Кто знает помагите по скайпу: мой скайп Makc_Cmagin

Господа маркетологи уважаемого Яндекса. Вы ЗАПАРИЛИ продвигать свой браузер на ваших страничках открываемых в других браузерах!!! Ваша навязчивость просто бесит: зачем вы каждый раз делаете яркую полоску сверху окна и выделяете рекламу: "установи безопасный я...с браузер"...  Ну стоит у меня ваш браузер, СТОИТ! А вы мне предлагаете и предлагаете его установить!!!! Что ещё раз и ещё раз устанавливать???? Десять раз в день устанавливать заново ваш браузер???  Скорее вообще в блокировку все сервисы яндекса буду ставить!!! 
LanaLex,
яндекс-браузер устанавливать - себя не уважать
ponosov@enaza.ru
4 мая 2016, 10:13
Скажите есть ли в планах Яндекс.Браузер с поддержкой x64 архитектуры?
ponosov@enaza.ru,
версии для OS X и Linux уже 64-битные. Версия для Windows рано или поздно тоже станет такой. Это зависит от того, когда разница в битах реально скажется на производительности или стабильности. 
Не по теме:
Почему отличается дизайн на разных версиях windows (Например, хр и win7)? Хотя версия браузера и на одном и на другом устройстве одинаковая.
Beta Win10 14342 браузер нельзя установить проблемы с сертификатом безопасности ПО Яндекса.
Howard Saint,
пришлите детали через browser.yandex.ru/feedback, пожалуйста. 
ingamordanova2015
21 мая 2016, 14:00
Здравствуйте! Установите мне пожалуйста браузер против различных вирусов иперехватчиков,А то два дня назад мой роутер былвырублен поль ностью толи погодой толи кемто, рядом ходят рзные несколько вирусов которые  я не могу ничем удалить.Это ужас какой_то!
это круто!
Очень жаль но для Nokia Lumia 530 система не подходит
Света Чистякова
24 мая 2016, 16:16
lyudchicl,
здравствуйте. Да, версии Браузера для Windows Phone, к сожалению, пока нет.
test.testovic.1970
26 мая 2016, 00:01
ну да, ладно. И слышали ли вы о spybot, dbl, или RFC? Думаю нет. Если мне нужно попасть на локальный сервер? Уже кому-то пришло в голову, что hosts файл к чему-то?
test.testovic.1970,
hosts файл работает. 
test.testovic.1970
26 мая 2016, 15:31
Тимур,
hosts -> 127.0.0.1 www.facebook.com
view-source:https://www.facebook.com/
<!DOCTYPE html>
<html lang="cs" id="facebook" class="no_js">
16.4.1.7986 beta (64-bit)
test.testovic.1970
26 мая 2016, 15:49
Тимур,
testovic@testovic-LIFEBOOK-A512:~$ ping www.facebook.com
PING www.facebook.com (127.0.0.1) 56(84) bytes of data.
test.testovic.1970,
у Вас используется локальный Facebook? hosts файл работает, но только для тех случаев, когда DNS-сервер не может найти адрес для домена. Это сделано специально для корпоративного сегмента и локальный сайтов провайдеров. Если же нужно перенаправить запрос существующего сайта на сторонний адрес, то тогда да, DNSCrypt помешает. Потому что в большинстве случаев так поступают мошенники. 

Но учитывая многообразие ситуаций, DNSCrypt не включен по умолчанию.
test.testovic.1970
26 мая 2016, 19:22
Тимур,
Да, у меня всё мошенники в hosts, это называется DBL (DNS black list). Все опасные домены на учете в hosts с адресом 127.0.0.1 Это обычный метод.
Просто вам это не хочется исправить, и поэтому это объявите за стандарт. 
test.testovic.1970
26 мая 2016, 19:49
Тимур,
http://hosts-file.net/?s=Download
Частные IP-адреса IPv4 или localhost никто не может использовать для мошенничества. Несмотря на то, что серверы могут иметь два адреса, публичный ip и локальный ip.
Не могу "поднять" нижнюю границу окна Вашего прекрасного браузера. Порой мышь не заходит туда. И у Хрома та  же проблема . Сделайте кнопку справа внизу или решите как-то. Типа делать окно на 10 пикс меньше высоты монитора и т.п.
+++
А что сделать,если у меня появилась похожая проблема ? Я организатор СП,работаю с помощью сайта Sliza.Недавно попался подобный сайт,попробовала с ним поработать один день. А теперь не могу попасть на Sliza.Не один браузер не находит этот сайт.Как исправить ситуацию.