Конфиденциальность DNS в Firefox стала быстрее и теперь доступна на Android. Веб-сёрфинг начинается с DNS-запроса для поиска IP-адреса сайта. Раньше эти запросы отправлялись в открытом виде, но DNS-over-HTTPS (DoH) шифрует их, защищая от прослушивания провайдерами или в публичных сетях Wi-Fi.

В 2020 году Firefox первым включил DoH по умолчанию в США, а в 2023 году — в Канаде. Теперь мы улучшили производительность и добавили поддержку мобильных устройств.

DoH для Android

С выходом Firefox 143 для Android пользователи могут включить DoH, выбрав режим «Повышенная защита». После тестирования скорости мы планируем включить его по умолчанию в некоторых регионах.

Улучшение производительности

Совместно с партнёрами мы ускорили DoH-запросы на 61%. Теперь они почти не уступают по скорости обычным DNS-запросам, обеспечивая приватность без потерь в производительности. Эти улучшения также помогли другим пользователям CIRA и Akamai.

Контроль и прозрачность

Firefox предоставляет пользователям выбор: можно отключить DoH, выбрать свой резолвер или настроить уровень защиты, сохраняя прозрачность и приватность.

• Firefox для Android ценится за полную поддержку расширений, таких как uBlock Origin, что является ключевым фактором для многих пользователей.
• Обсуждаются альтернативные браузеры с поддержкой uBlock Origin для iOS и Android, включая Orion, Brave, Samsung Browser и Lemur.
• Внедрение DNS-over-HTTPS (DoH) в Firefox воспринято неоднозначно: одни видят в нём улучшение приватности, другие — централизацию трафика и проблемы для тех, кто управляет своими DNS-серверами.
• Поднимаются вопросы о выборе провайдеров DoH (Quad9, Mullvad, NextDNS) и их легитимности, а также о латентности и практических аспектах настройки.
• Отмечается, что DoH не полностью скрывает трафик без Encrypted Client Hello (ECH), но Firefox включает ECH при использовании DoH.
• Обсуждаются технические сложности принудительного отключения DoH на уровне сети и его сравнение с системными реализациями в Android.
• Высказывается критика в адрес Firefox для Android за медленную работу, высокое потребление батареи и неудобный интерфейс, несмотря на поддержку расширений.

Утечка IPv6 в PureVPN

В конце августа 2025 года я отправил два отчёта о безопасности в PureVPN. Через три недели ответа не последовало, поэтому публикую результаты для информирования пользователей.

Проблемы затрагивают как GUI (v2.10.0), так и CLI (v2.0.1) клиенты на Linux (тестировалось на Ubuntu 24.04.3 LTS). Вот что обнаружено.

1. Утечка IPv6

После переподключения Wi-Fi или возобновления работы из спящего режима клиент PureVPN не восстанавливает защиту IPv6:

• CLI: Клиент автоматически переподключается и сообщает о статусе "подключено", но система получает маршрут IPv6 через Router Advertisements. Egress-трафик идёт вне туннеля.
• GUI: При обнаружении отключения GUI блокирует IPv4, но IPv6 остаётся рабочим до явного переподключения.

Результат: можно использовать IPv6-сайты и почту с реальным IPv6-адресом провайдера, хотя клиент утверждает о защите.

2. Сброс файрвола

При подключении PureVPN сбрасывает конфигурацию iptables пользователя:

• INPUT устанавливается в ACCEPT
• Все правила -A сбрасываются (включая UFW, Docker)
• После отключения изменения не восстанавливаются

Результат: система остаётся более уязвимой после использования VPN, чем до него. Это противоречит ожиданиям пользователя.

Пример:

# Базовая защита
$ sudo iptables -P INPUT DROP
$ sudo iptables -I INPUT -p icmp -j DROP

# После подключения VPN
$ sudo iptables -S | head -3
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
# Правила удалены

Итог

PureVPN:

• Неправильно реализует kill-switch для IPv6
• Оставляет IPv6 открытым после переподключений
• Сбрасывает состояние файрвола и не восстанавливает его
• Применяет политики ACCEPT для работоспособности

Обе проблемы имеют практическое влияние. Заявления о конфиденциальности подрываются, когда реальный IPv6 утекает, а состояние файрвола теряется.

Полные технические отчёты отправлены на security@purevpn.com. Ответа нет. Используйте с осторожностью.

• Автор поста благодарит за обсуждение и согласен с рисками использования проприетарных VPN-клиентов, отмечая полезность сетевых пространств (network namespaces) для изоляции трафика.
• Многие участники критикуют VPN-провайдеров за плохую реализацию поддержки IPv6, выделяя Mullvad как исключение, но и ему предъявляют претензии.
• Несколько комментаторов настоятельно не рекомендуют использовать PureVPN из-за доказанных в суде случаев логирования трафика, вопреки их заявлениям.
• Высказываются серьёзные сомнения в надёжности закрытого исходного кода клиентов и серверов VPN, предлагается использовать решения с открытым кодом и изоляцией трафика (например, через Vopono или Gluetun).
• Участники обсуждают ненадёжность популярных провайдеров (NordVPN, ExpressVPN) из-за агрессивного маркетинга, моделей ценообразования и возможных связей с определёнными юрисдикциями.
• Предлагаются технические решения для предотвращения утечек: отключение IPv6, использование kill-switch и настройка сетевых пространств через systemd-nspawn или другие инструменты.
• Отмечается, что основная функция VPN — подключение к удалённой сети, а конфиденциальность и безопасность являются вторичными и зависят от доверия к провайдеру.

Ключевые выводы исследования

• 8 популярных коммерческих VPN обслуживают >700 млн пользователей, но скрывают собственность и имеют критические уязвимости.
• 3 VPN связаны с НОАК Китая, у остальных найдены признаки китайского контроля.
• Отсутствие прозрачности позволяет злоумышленникам снимать шифрование и перехватывать трафик.

Почему важна прозрачность
VPN переносят доверие от интернет-провайдера к самому сервису. При выборе пользователи должны решить:

• Прозрачность — знать, кто видит данные.
• Анонимность — не знать, но полагаться на обещания.

Риски для пользователей

• Авторитарные государства могут использовать скрытые связи VPN для слежки.
• Отсутствие публичной информации о владельцах и разработчиках усиливает уязвимости.

• Коммерческие VPN часто продаются через страх не-технических пользователей, хотя реальные сценарии — это обход геоблоков, торренты и «неполиткорректный» контент.
• Модель доверия к единому VPN-узлу критикуется; предлагаются решения вроде iCloud Private Relay и MASQUE-релеев, разделяющих «кто» и «что».
• Подозрения вызывают «популярные» VPN (Nord, Express), их рекламные бюджеты и возможные связи с разведками; Mullvad считается одним из самых прозрачных, но его IP-адреса всё чаще банят.
• Некоторые «бесплатные» или малоизвестные VPN/прокси-сервисы превращают клиентов в узлы резидентного прокси и продают их трафик третьим лицам.
• Даже при смене IP браузерное фингерпринтирование легко идентифицирует пользователя; HTTPS сделал старые аргументы «VPN для безопасности в публичном Wi-Fi» почти бесполезными.

vp.net
Извините, сайт не работает без JavaScript. Включите его и обновите страницу.

• Ключевая идея VP.NET — использовать Intel SGX и remote-attestation, чтобы «доказать», что сервер запускает именно опубликованный код.
• Подавляющее большинство участников не верит: SGX неоднократно взламывали, а сами основатели (Mark Karpeles и Andrew Lee) вызывают недоверие из-за историй с MtGox и Freenode.
• Даже если SGX «чист», нет гарантии, что именно этот enclave обслуживает ваш трафик: можно поставить балансировщик и направлять пользователей на другой, незащищённый сервер.
• Критикуют и практические моменты: дорогие планы, нет Monero/наличных, регистрация требует почту и имя, ошибки при оплате криптой.
• Альтернативы: Mullvad (фиксированные 5 $, оплата наличными), собственный AlgoVPN-сервер или OVPN с «бездисковыми» машинами.

Я использую Tailscale около четырех лет, чтобы объединять свои устройства, серверы и приложения. Расскажу, как применяю его, о полезных фишках и подводных камнях.

Tailscale — это по сути оркестрация WireGuard с приятными надстройками. Продукт по подписке, но у него очень щедрый бесплатный тариф для личного использования. Клиенты — с открытым исходным кодом; есть и сторонний контроль-сервер Headscale, если не хочется облака.

Базовое подключение

Tailscale позволяет легко связать устройства, даже если они не торчат в интернет. Ставите клиент на телефон/компьютер/сервер/Raspberry Pi, авторизуете — и он общается с остальными по приватным IP Tailscale.

Это обычная идея VPN, но здесь всё просто: не нужно настраивать сеть и раздавать ключи — ставите клиент и логинитесь.

Например, мой домашний автоматизационный сервис на Raspberry Pi за двумя роутерами: поставил Tailscale, вошел — и сразу могу SSH с ПК или телефона, даже из разных сетей.

Есть особая поддержка SSH: Tailscale принимает подключения на 22 порт с tailnet и сам выполняет аутентификацию. Никаких ключей и паролей: вошли в Tailscale — можете войти на машину. Особенно удобно с телефона, где управлять ключами неудобно.

Можно публиковать не целую машину, а отдельные сервисы как отдельные узлы tailnet: есть официальный Docker-образ, Go-библиотека, и сторонние инструменты (например, мои Centauri и tsp).

Это больше, чем VPN

Чтобы не запоминать IP, я долго вручную добавлял DNS-записи. Перешел на MagicDNS — он автоматически создает DNS по имени машины.

Сначала меня смущало, что он меняет резолвер на устройствах — “слишком магично”. Разобрался, привык. Можно задать и свой upstream DNS. Я везде использую NextDNS, и Tailscale сам настраивает его на всех устройствах.

Помимо коротких имен, есть формат machine.your-tailnet.ts.net. Его можно «перебросить» на глобальную маршрутизацию и получить TLS-серты.

Нужно быстро показать локальный сервис? Включите funnel: tailscale funnel 127.0.0.1:8080 Без доп. опций сервис будет доступен по HTTPS:443. Дайте ссылку https://machine.your-tailnet.ts.net — трафик пойдет на ваш 8080. У посетителей Tailscale не нужен. Пользуюсь редко, но удобно.

Команда serve делает похожее, но только внутри tailnet. Так же работает Docker-образ Tailscale для публикации обычного сервиса. Для тестов с телефона: вместо танцев с Wi‑Fi/локалхостом/IP просто запускаю tailscale serve и захожу с устройства.

• Включение tailscale funnel мгновенно привлекает ботов, сканирующих новые HTTPS-сертификаты из CT-логов.
• Пользователи делятся альтернативами: Headscale, NetBird, Nebula, Zerotier и «чистый» WireGuard.
• Mullvad-интеграция позволяет использовать выходные ноды Tailscale для смены геолокации.
• Настоятельно не рекомендуют запускать dev-серверы и OIDC-серверы через funnel из-за риска блокировки и атак.
• Чтобы не светить домены, применяют wildcard-сертификаты и нестандартные порты.
• Tailscale собирает телеметрию по умолчанию; её можно отключить, но это не анонимный VPN.