Názory k článku Blokace nevhodného obsahu ve vyhledávání pomocí nastavení DNS

Ďakujem, veľmi pekný článok

Avšak v dnešnej dobe je takéto blokovanie ľahko obiditelne, ak sa použije DoH (ak má užívateľ právo zapnúť si to). Ak už na root-e bol článok o blokovaní DoH (na lokálnom Pc alebo na sieti) tak by som pridal na koniec článku link.

Dá se předpokládat, že uživatel na takovém místě nemá možnost ovládat takové nastavení a měnit si použitý DNS resolver. Musí tedy dodržovat pravidla místní sítě.

Přesně tak, v kombinaci se zakázanou komunikací s jakýmkoliv jiným DNS serverem na úrovni sítě a směrováním modifikovaných záznamů na nějaký vlastní webserver, kde se ukáže jednoduchá stránka ve smyslu "Porušujete... proto bylo zablokováno..." je to už zajímavý nástroj pro alespoň základní omezení.

Takto jsem to používal už před lety pro vybrané jednotlivé stránky. Co by mě ale zajímalo je, zda lze "nakrmit" Bind nějakým seznamem nevhodných domén, zohledňujícím i české prostředí...

Jak prosímtě rozpoznáš DoH od jiného provozu?

inspekci (MITM), stejne jako u jineho https provozu

Zakaz DoH v tuto chvili resi vracet NXDOMAIN na dotaz na domenu use-application-dns.net

Priklad(knot): policy.add(po­licy.suffix(po­licy.DENY, {todname('use-application-dns.net.')}))

Neřeší. To je pouze pro Firefox (pokud vím) a pouze pokud nemá explicitně zapnuté DoH. Automatické DoH zapíná pouze pokud si myslí, že je v USA (možná i v Kanadě, nevím přesně).

Majú tieto opatrenia šancu poradiť s tým, že dieťa zaklikne DNS over HTTPS?

Nezaklikne, protože to má v prohlížeči zakázáno a nemůže do toho zasáhnout. Předpokládá se, že má organizace nad tím počítačem kontrolu, stejně jako nad sítí. V opačném případě samozřejmě nepomůže nic, protože si uživatel může dělat úplně cokoliv.

I tak to lze obejít, existují "browser in a browser" implementace kde je veškerá komunikace čistě v režii javascriptu, včetně DoH.

Nebo si může někdo spustit na nějaké VPS firefox v dockeru a jít přes něj... admin sítě opět vidí jen https traffic někam do neznáma.

Jak se to dá ve FF (či jinde) zakázat, aby to nešlo na úrovni uživatelského profilu změnit? Nebo případně i jiné nastavení? Asi by šlo konfiguračním souborům v profilu ořezat práva/vlastníka, ale něco mi říká, že to by asi nebyla nejlepší cesta :-).

přes policies.json vypneš about:config, uživatel pak nesmí mít právo na user.js a perf.js soubory.

Seznam věcí k zablokování máš tady https://github.com/mozilla/policy-templates. Používám to pro sebe, mám totiž nastavení firefoxu generovaný z repositáře a read-only při runtime.

Zajímavé, díky.

Moje deti by si v browseri nastavili 8.8.8.8 a pozerali by káčera donalda cez nefiltrovaný duckduckgo

Tady se ale bavime treba o skolni siti, kde si bezny student toto nenastavi. Krome toho neni problem jine DNS servery na firewallu blokovat. Otazkou je pak DoT a DoH...

Tohle je boj s větrnými mlýny, nevhodného obsahu je asi na milion let koukání, blokovat to všechno nejde a pokud náhodou tak do toho hodí vidle učitel v podobě povinného videa umístěného mezi ten hnůj. Pokud se jedná o filtraci xxx, tak to je pro děti z ilustračního obrázku totálně nezajímavá věc, ty jdou po úplně jiných nevhodných věcech. Třeba takové hry obsahující platby. Tohle si v praxi nezadá s výherními automaty, akorát to není postavené mimo zákon. Jinak blokace sice krásně funguje ve školní učebně, ale to stačilo za dob Indoše, dneska má v kapse kouzelnou krabičku s neblokovaným připojením kde jaký usmrkanec a když ne on tak spolužák a nějakou filtrovanou LAN mají na háku.

Mohu z praxe rici ze takova blokace prinasela pouze problemy hlavne na strednich skolach - zde pozadavky take byly od rodicu kde se explicitni obsah da ocekavat v rámci vyuky.
Zdravka,veterina, obor reznik,hotelov­ka....

Klasifikace trid obsahu je dost povrchni a nezahrnuje vsechny dimenze uziti.

IMHO v tomhle veku funguje spis vzdelani cloveka a ne umela omezeni.

Vedu k tomu sve deti.

ake vzdelanie konkretne? a co v pripade ak to chcem pre seba aby mi vyhladavanie nepodsuvalo NSFW obsah?

Díky za článek, fintu se jmény jsem neznal a již to začíná být doma pomalu aktuální.
Novější verze Unbound už také umí RPZ.

Také díky za super článek... já doplním odkaz na dokumentaci Unboundu ohledně RPZ.

Chtěl bych se primárně zeptat Petra, proč v ukázce konfigurace "Řešení s DNS resolverem Unbound" používá local-zone: "www.google.com" redirect a pak local-data? Tato konfigurace, aspoň jak to chápu já, přesměruje i všechny subdomény (a navíc neřeší pouhé google.com, ale google.com je na druhou stranu přesměrováno pomocí HTTP redirectu na www.google.com ;-)). Pro přetížení konkrétního záznamu v Unboudu by měl stačit řádek s local-data, aspoň to tak nyní používám.

Bez toho to nefunguje. Pokud se pomocí local-data vloží do DNS jen záznam CNAME, pak Unbound sice CNAME správně vrátí, ale už nerestartuje rekurzivní proces pro resolvnutí pravé strany. Čili vrátí systémovému stub resolveru jen CNAME, ale už ne A/AAAA záznam s IP adresou. Stub resolver se po tom dál nepídí, to není jeho práce. Takže pak se ta doména z uživatelova hlediska jeví jako nefunkční.

Bylo by tedy nutné ručně specifikovat i záznamy s IP adresami, což je ale pracnější a navíc se adresy můžou časem změnit a bylo by nutné to udržovat ručně.

Aha, tak to musím zkusit... je pravda, že já nyní přetěžuji jen A/AAAA záznamy. Díky za vysvětlení.

Zakázaný ovoce nejvíc chutná, nemá cenu to blokovat. Aspoň se naučí co a jak a jejich první partnerka nebude tak moc zklamaná.

Odborníci by s vámi jistě nesouhlasili. Před pár dny jsem poslouchal rozhovor se sexuoložkou a ta zmiňovala velmi negativní dopady: mezi mladistvými přibývá patologického chování a sexuálně motivovaných útoků.

Oni si myslí, že to, co vidí na tom internetu, je normální sexuální lidské chování. Chtějí ho zažít nebo se ho snaží napodobovat. Z toho vzniká poměrně velký problém. Chlapci jsou překvapeni, že normální sexualita funguje, vypadá jinak.

Samozřejmě, že k tomu děti nějakým způsobem přijdou a je chyba je od toho tématu odstřihnout úplně. Ale jde o to, kdy a jakým způsobem se k tomu dostanou. Navíc tu nejde jen o sex, ale i o násilí, sebepoškozování a další ještě nebezpečnější věci.

Blokovani nepomuze. Je potreba informovat a vzdelavat.
Viz. oblibeny serial: https://www.csfd.cz/film/681071-sexualni-vychova/prehled/

Nicmene tento clanek jen popisuje technicky postup. K vychovnym postupum se nevyjadruje, takze mi diskuze prijde trochu mimo :-)

Tak sexuální výchova prostřednictvím afektovaného seriálu amerického střihu (ač britský - zjevně taky degenerují) může napáchat spíše další škody. Takže tudy asi ne.

Pro "domácnost" (= neřeším teď "školní" síť) je IMHO takové blokování spíše kontraproduktivní. Děti je potřeba hlavně naučit, jak se k takovému "nevhodnému obsahu" chovat a jak ho chápat.
Tvrdý zákaz je (obrazně) na úrovni snahy nepouštět děti na ulici, protože by je mohlo přejet auto - když se to včas nenaučí, přejede je první náklaďák, který po konci zákazu potkají.
Mám děti ještě malé, ale počítače jsem jim nijak neblokoval. Zatím se drží toho, že některé věci prostě "nechtějí vidět" a pokud se na něco takového dostanou, prostě stránku zavřou. Taky už vědí, že "to není pravda jen proto, že to bylo na Internetu". (A taky si umí ledacos sami přenastavit a upravit.)
Je to sice pro mne mnohem náročnější a pracnější, neztratit přehled a zároveň jim moc nenabourávat soukromí, ale myslím, že to je správnější cesta.

Souhlasím, že cesta není naprosto zakázat a udělat z toho tabu, ale naopak řízeně vzdělávat. V článku popsaná blokace nemá být konečným řešením celé situace pro všechny strany, je to jen nástroj, který je k dispozici.

Ale už jsme opravdu mimo téma, zůstaňme prosím u technické diskuse.

Domnívám se, že zůstat u tohoto tématu jen u technické diskuze není moc slučitelné s realitou. Je zásadní si uvědomit, že ono blokování nebude nikdy dokonalé - ať už bude dítě schopné ono blokování nějak obejít nebo ne. Takže ta výchova je podle mě zcela zásadní a blokování/fil­trování se dá použít jen jako takové hrubé síto - pokud nechceme skončit na úrovni seznamu explicitně povolených stránek.

A co s tou první partnerkou plánuje dělat, že hrozí zklamání?

A co násilí?

Kolik vám je?

"aspoň se naučí co a jak"
Tak to jsme se naucili taky a internet nebyl. Sice chapu tenhle argument ale vazne nechci aby nektere veci moje deti videli. A pokud mozno nikdy.

Ano. Ale jde o to, jestli je možné tomu realisticky nějak předejít. Snad jen tomu trochu napomoct výchovou, což ale taky nemusí být snadné.

Já mohu doporučit DNS server AdGuardHome: https://github.com/AdguardTeam/AdGuardHome

Ovládá se intuitivně přes webové rozhraní a v článku popisovaný způsob blokování v sobě také integruje. Navíc lze jednoduše black/white listy přiřazovat jednotlivým zařízením v síti.

Na to jsem se chtěl právě zeptat, zda se s tím opravdu musíme prcat sami a zda to už někdo neudělal za nás.

Vidím tam i dockerový ymáž.

Pod blokaci nevhodneho obsahu tak nejak cekam vynuceni provozu pres proxy s URL filtraci. Pripadne proxy se ssl desifraci. I proxy s nastavenym resolverem mi dava moznost aplikovat dynamicky seznam nezadoucich adres, + DNSBL na firewallu. Pak jsou tu placene produkty a sluzby, vetsinou poskytuji "blaho bezpeci" za sve zisky ze smirovani. Cloudflare, Cisco, vsichni vyrobci antiviru, cloud a lepe on-premise.

Predstava, ze se bez default nastaveneho vyhledavace neda vyhledavat a dostat k zavadnemu obsahu mi prijde trochu detinska, co pak teprv detem.

Vetsina deti, ktere o zavadny obsah jeste nestoji, se k nemu bohuzel dnes dostane prostrednictvim reklam. Nevyhledavaji cilene, jen jsou zvedave.
Vsechna tak vynucovana "bezpecnostni" opatreni ale dnes jen a pouze chrani bezpeci investice inzerentu inzertnich sluzeb (Google, Facebook)

Ty deti, ktere chteji, si v patricnem veku cestu proste najdou, za jakychkoliv okolnosti, v jakychkoliv podminkach.

Vzpominam, jak spoluzakovi na zakladce (nekdy okolo 1980) strycek z Australie posilal darky k vanocum, a od urciteho veku pravidelne pridaval francouzske a anglicke casopisy pro pany, dle rostouciho veku synovce s klesajici "urovni" casopisu. V tech prvnich bylo vzdy alespon spodni pradlo a opravdu luxusni devcata, pak uz to na tom luxusnim pradle tolik nebaziroval, a doslo i na kozesiny. I diky nemu nam spravne a vcas dospelo cele panelakove sidliste.

Jak ta vaše proxy s URL filtrací zajistí, aby nebyly nevhodné výsledky vidět ve výsledcích vyhledávání?

Tohle není o ochraně, pouze o zbavení se zodpovědnosti.

Podobné zákazy k ničemu stejně nevedou, pouze se ta aktivita přenese jinam, kde se s tím budou pojit i jiné nežádoucí aktivity. Filtrujte doma dětem internet a ony budou najednou trávit více času na internetu jinde, a knihovna to nebude.

Rodiče kašlou na výchovu svých dětí a myslí si, že nějaká technologie to bude dělat za ně. Zkuste méně vydělávat na tu technologii a trávit více času s vašimi dětmi.

To se přeci ale nevylučuje. Že škola neotevře dětem neřízený přístup k celému internetu zároveň neznamená, že do třídy nechodí odborníci a nebaví se s dětmi na důležitá témata. Mělo by to jít samozřejmě ruku v ruce. Blokování ve vyhledávačích je prostě jen nástroj, který je k dispozici, což je dobře. O jeho použití pak může každý rozhodnout sám, což je taky dobře.

Mna nejaka vychova nezastavila. V podstate az kym nezacal internet a CD-R penetrovat sidliska, tak ombedzenie pristupu mladistvym nejak fungovalo a veci od 18 rokov bolo velmi nedostupne (s vynimkou vysielania komercnych televizii po 22. hodine). A neviem o tom, ze by ktokolvek hodnotil mladost v tej dobe negativne prave z toho dovodu. S internetom je pristup hrackou pre deti akehokolvek veku.

Problém všetkých blokácií obsahu je, že to nejde robiť dostatočne granulárne. Na samotnom youtube je toľko hovadín, pri ktorých by som naozaj nechcel, aby ich moje dcéry (5-9 r.) v ich veku videli, ale zároveň aj mnoho videí, ktoré sú super.

Takže zostáva len stará dobrá výchova, kedy sa človek dieťaťu venuje, rozoberá s ním, čo sa pozerá, a vštepuje mu morálne zásady a vedomosti, aby aj samo dieťa vedelo, čo je a nie je preň užitočné...

Skus youtubekids.com
Maju skalovanie podla veku ktore celkom funguje. Aj ked sa mnohi stazuju, tak je to lepsie ako obycajne YT.

3. 2. 2022, 12:13 editováno autorem komentáře

youtubekids.com - ja mam spis opacnou zkusenost. Zkousel jsem to u deti a treba pro vek 4-5 let to nenabizelo skoro nic. Bud videa pro uplne nejmensi nebo proste to video (bez zavadneho obsahu), ktere je na normalnim youtube a odpovida veku, nenabidne.

To se mi neosvědčilo. Youtube má "svou hlavu" v tom, jaká videa mohou děti sledovat a jaká ne.
Ve výsledku si devítiletý syn nemohl prohlédnout ani video, které sám vytvořil. (Teda do doby, než Youtube usoudil, že porušuje autorská práva a nesmazal to úplně, byť šlo o naprosto nezávadnou domácí animaci vánočního cukroví, beze zvuku. Však jsem psal, že to má vlastní hlavu.)

Ja detem nastavil vyssi vek. Skolkar ma pro 9 lete a skolak do 15 let. Dobre je to kdyz chteji pohadky. Pubertaci chodi an obycejny YT. S filtrama bych u nich nepochodil.

6. 2. 2022, 12:38 editováno autorem komentáře

cez DNS sa da nastavit restricted youtube

https://support.google.com/a/answer/6214622?hl=en#zippy=%2Coption-dns

Clanek je peknej, sam doma pouzivam DNS na blokovani reklam a funguje to super.
Ale to, co je popsany v clanku, bude fungovat jen pro HW patrici skole.
Pokud ma student moznost pripojit do site vlastni HW, tak to pujde vzdy obejit.

Kdyz zablokuju pristup na DNS mimo vnitrni sit, tak se pouzije DoH, nebo nejaka VPN, ktera muze bezet taky klidne na portu 443. Popripade si na nejakym serveru pustit na 443 SSHD a provoz tunelovat. A spousta dalsich zpusobu…

Jako ano, neco je pokrocilejsi, ale verim, ze i na zakladce budou studenti, kteri na to prijdou jen proto, ze prekonani omezeni je vyzva

Jinak VPN server na portu 443 jsem provozal sam doma v dobe, kdy jsem jezdil hodne na sluzebky a nikdy se i nestalo, ze bych se z vlastniho tabletu nemohl z libovolny hotelovy, verejny nebo firemni site pripojit domu do VPN

detekce VPN provozu a následně jeho blokování je tady už dlouho, poměrně často jsem se s tím potkal právě na letištích nebo restauracích (v zahraničí), dnes to má nasazeno i řada našich firem.

Naštěstí stunnel je jistota, stejně tak existuje celá řada vpn, která používá ssl jako přenosovou vrstvu (SSTP je asi nejčastější, já používám třeba tinc a upravil jsem si hlavičky, aby to vypadalo jako ssl).

Někdy je detekce založena na MTU a jiných metadatech TCP/IP, to se naštěstí dá také dobře emulovat a uniknout i tomuhle tagování.

Ne, že bych se tak moc chtěl schovávat, ale vadí mi třeba u některých ISP, že jsou rozdílné rychlosti podle protokolu, jakmile ale vše routuji přes 443, saturuji linku.

Jako nejrychlejší řešení pro domácnosti se mi jeví na vstupním routeru použít Cloudflare DNS, kde je možno využít blokaci Malware a Adult content.

Servery:
1.1.1.1 = All
1.1.1.2 = No Malware
1.1.1.3 = No Malware or Adult Content

Více info zde: https://blog.cloudflare.com/introducing-1-1-1-1-for-families/

Diky, o tech dalsich serverech jsem nevedel. Podobnych filtrujicich DNS serveru je vice. Kdyz jsem to ale resil pro nejakou skolu, tak jsem narazil, ze skola mela projekt Konektivita pro skoly a tam je povinnost DNSSec. No a ty servery, na ktere jsem narazil DNSSec nepodporovaly.
Dnes je ale asi situace jina

Tím ale neodstraníte nežádoucí úryvky a obrázky z výsledků vyhledávání, o čemž je tento článek.

A k čemu že to má být dobré? K tomu aby se děti nemohli dívat na videa pro dospělé na školních počítačích? To by asi stejně nedělali. Pokud si ale přinesou vlastní telefon, tak je všechna snaha marná. A co co vlastně jde? Kdo se na to koukat chce, tak stejně bude třeba doma.
A co je na tom špatného? Nic, dělá to skoro každý.
Ať je ten obsah jakýkoliv, tak na věku záleží jenom z pohledu zákona, jinak je to úplně jedno. Ať se každý kouká na co chce a ať mu do toho ostatní nekecají bez ohledu na věk.

Spatneho je na tom mnoho, verim ze internet filtrovany nemate a mozete si to vyhladat. Deti maju pravo byt pred tymto obsahom chranene.

Díky za článek.

Bez mála 30 let správcuji sítě ve školách.
Dřív jsem také zastával názor, že tam žádné filtrování nevhodného obsahu nechci, že nejlepší ochranou je, když je tam člověk s nimi a má přehled co žáci dělají a když na něco nevhodného zabrousí, že to s nimi bez zbytečných emocionálních výlevů, probere.

I ty učebny IT jsem projektoval tak, aby učitel viděl co žáci dělají, tedy často kolem obvodu, nebo s učitelem za zády.

Bohužel se mi tento status nepodařilo uhájit. Učebny používají i jiní učitelé a Ti s takovým přístupem mají problém.

V dobách pomalého připojení a HTTP(bez s) jsem to řešil cache proxy Squidem a redirectorem Squirm. Nejdříve v roli blokování reklam, později i pro blokování "nevhodného obsahu".

Teď co máme HTTPS používám službu opendns.com a na severu mám PDNSD, který jimi přidělenou adresu bere jako nadřazené DNS.
U nich se dá ve webovém rozhraní nastavit, které oblasti nehodného obsahu chceme blokovat a dá se i nastavit text, který se místo takto zablokované stránky má uživateli zobrazit, aby věděl o co jde.

Samozřejmě to není 100% ani úplně bezchybné, ale pro naše účely to dostačuje.

Správná poznámka je, že cílový uživatel (děti v tomto případě) nemají znalosti nebo nevyvíjí úsilí k obejití blokace... To je takový (rozumný) klíčový předpoklad...

Proto většinou stačí ty nejmírnější blokace

Jo a považuje se za nevhodný obsah malwre domény a reklamní šmírovací systémy jako googlesyndica­tion,googletag­manager, {cidh...}.sez­nam.cz, , adobedtm,caro­da.io,sklik.cz,per­formax,cz,navrcho­lu.cz,truste.com,for­ce.com,cookie­bot,cookiepro­.com,ezo-cdn.com,ezoic­.com,tádydády­dá a dalších zhruba 50 klíčových zásadních domén , dalších 300 celkem běžných domén a dalších asi 5000 domén...?

Taky celkem je zásadní použít resolver, který má dva,tři předpoklady
1. propagaci subdomén (nastaviletelnou flagem, občas je třeba vyjímka)
2. Detekci unášení neexistujících domén, nebo přesněji řečeno detekci
konkrétní resolvované IP adresy. Pro určité domény to vrátí NXDOMAIN případně IP dle zvolení.
3. zpětné resolvování CNAME. To znamená že i domény nevinnadomena­.firstpatry.cz, která míří na omtrdc.net (a to i zřetězeně) , resolver to to pozná. (Opět s flagem volitelnosti)

Umí toto BIND?
dnsmasq umí, 1,2, ale ne 3 (údajně od nějaké nové verze)
personalDNSFilter pro android, android umí 1,3.

S takovým seznamem brzy narazíte, zejména ve školství... Třeba takový velmi oblíbený web "bakalari.cz" bez některých "google-šmíruňgů" nefunguje. (O výuce přes Google Meet & Classroom nemluvě.)

Když jsme u toho nevhodného obsahu, to co běžně vyskakuje na titulní stránce seznam.cz za odkazy na články a videa, to může docela nepříjemně deformovat vnímání světa naší mládeže.

Namátkou:
Články navozující představu, že plastické operace jsou fajn a běžná věc.
Články a odkazy na videa, které popularizují extrémní a šokující věci, často silně za hranou a podávají je s "vtipným" komentářem. (Darwinovy ceny)
Články věnující nepřiměřenou pozornost psycho-sociálně narušeným lidem a jejich vztahům. (Vémola a Lela...)

Takže, jak vhodně banovat stránku Seznamu, aby tam byly tu užitečnější věci a méně "odpadu s potenciálem deformovat"?