Názor k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS od Petr M - Asi tak. Zase se někdo po večerech nudil,...
-
Petr M (neregistrovaný)
Asi tak. Zase se někdo po večerech nudil, flašky s rumem už byly prázdný, tak rychle začal sepisovat RFC, než vystřízliví.
Když se člověk podívá, jak klasický DNSko funguje, rozdělí se dotazy (na root levelu se ptá jenom na TLD apod.), v síti je jeden DNS resolver, tak je ztráta soukromí minimální. S DoT útočník vidí jenom to, že se někdo ptal na TLD .cz na nějakou doménu, neví na jakou. DNS pro .cz ví, že se někdo ze sítě XY dotazoval na root.cz, ale neví kdo přesně... A díky cache v DNS ani nevidí všechny dotazy. Vypadne jeden server, odpoví jiný.
Teď se ještě vožungři můžou zaměřit na to, aby veškerá komunikace šla na "agregátor", který teprve bude komunikovat s HTTPS servery místo něho, protože někdo může podle IP adresy vidět, s kým se síť vlastně baví... Ideálně agregátor v rukách státu nebo velké firmy, která ví, co je pro uživatele dobrý.
Správný řešení je, že pokud se objeví bezpečný standard, nahrazující původní nebezpečný/nešifrovaný (telnet->ssh, ftp->sftp, dns->DoT...) a začne ho používat > 60% uživatelů na netu, za půl roku se stane povinným a za rok od dosažení 60% zablokovat komunikaci s ním na veřených sítích. Jinak se furt budou vymýšlet rovnáky na ohybáky a další krávoviny, jak to udělat, když to někdo nechce udělat správně. Takhle budou sabotéři out of busines a hotovo.
ČLÁNKY DO MAILU