Vlákno názorů k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS od Hobbit - Nejak me nenapada, ze by se to dalo...
-
Nejak me nenapada, ze by se to dalo pouzit k centralnimu zablokovani domeny, ale asi je moc brzo rano.
Spis se mi libi, ze to hazi dalsi klacek pod nohy uzasnemu zakonu o elektronickych komunikacich a to jejich "blokovani" na urovni DNS (ktere je samozrejme naprosto k nicemu) bude k nicemu jeste vic.
Uvidime, jake oblezlicky v DoH vymysli pro privatni DNS server ve firmach a podobne.
-
Filip JirsákStříbrný podporovatelJak přesně bude to globální zablokování umožněno nebo posíleno tím, že uživatelé používající DNS servery Google nebo Cloudflare budou pro přístup k těmto serverům používat DNS over HTTPS a ne klasické DNS přes UDP nebo TCP? Myslíte, že lokální ISP unese provoz pro 8.8.8.8, 8.8.4.4 a 1.1.1.1 a na svém DNS serveru bude hrdinně poskytovat překlad adres, které budou Google a Cloudflare blokovat?
-
Meh (neregistrovaný)
Misto X (= vetsiho poctu) DNS serveru budou dva, resp. jeden, protoze Cloudflare muzeme ignorovat, jeho DNS over HTTPs implementuje maximalne Firefox s uzivatelskou zakladnou vytrvale smerujici k nule.
Tzn. posileno je to tim, ze pro stejny vysledek staci provest zablokovani na jednom, misto na X mistech. -
Filip JirsákStříbrný podporovatel
Ono něco brání DNS over HTTPS implementovat komukoli jinému? Já bych si myslel, že je to vydáno jako otevřený standard právě proto, aby to mohl implementovat každý. Navíc DNS over HTTPS je jen nová možnost, současné DNS servery se tím neruší. A ve skutečnosti to bude používané spíš výjimečně tam, kde opravdu je podstatná ochrana soukromí, protože DNS over HTTPS bude logicky pomalejší, než klasické DNS přes UDP z blízkého serveru ISP. Vždyť autoři prohlížečů odmítají implementovat DNSSEC kvůli zdržení překladu, a teď by se najednou hromadně přešlo na něco ještě pomalejšího?
-
Jíra (neregistrovaný)
Jirsák, Jirsák nějak zapomínáš. Autoři prohlížečů na to už :
https://www.root.cz/zpravicky/firefox-bude-pouzivat-dns-pres-cloudflare/Jestli teda ta neochota implementovat DNSSEC nebude způsobena něčím jiným.
-
ja. (neregistrovaný)
A co brani presadzovacom DoH definovat DHCP tag pre DoH a zabezpecit jeho implementaciu tak, ako je dnes implementovane klasicke DNS? Malo by to vyhodu, ze by DoH pouzivali vsetky aplikacie, ktore volaju gethostbyname/getaddrinfo/getnameinfo a nemuseli by si implementovat DoH sami.
V DoH nie je problem jeho implemetacie do resolverov. Jeho problem je, aby:
1) aplikacie respektovali nastavenie v systeme,
2) siet mala moznost autokonfiguracie systemov prostrednictvom DHCP.Pokial si niekto vo svojej sieti nastavi 8.8.8.8 alebo 1.1.1.1, tak kludne moze. Treba ale zachovat moznost, aby si ostatni mohli nastavit to, co vyhovuje im. Aby bola autokonfiguracia a nemuseli to rucne prestavovat po kazdej zmene siete (prides z domu do firmy => prestavit. Prides z firmy k zakaznikovu => prestavit. Prides naspat do firmy => prestavit. Prides domov z prace => prestavit. Toto nikto rucne robit nebude).
-
Petr M (neregistrovaný)
Tahle možnost tady přece je i bez téhle krávoviny. Prostě si nastaví resolver podle sebe a je to. Pokud to ISP neumožňuje, je to porušení legislativy EU (síťové neutrality) a musí vysvětlit, proč blokuje provoz. Pokud to dělá jenom svévolně, je to na dost mastný flastr.
Ale nejdůležitější je, že místo tlaku na lumpy a jejich trestání můžeme furt hledat metody, jak protunelovat dvě sítě za různýma CGNATama se třema firewallama, který mají DROP na veškerý traffic, že...
-
Filip JirsákStříbrný podporovatel
je to porušení legislativy EU (síťové neutrality)
Jo, z porušení legislativy EU budou Čína nebo Rusko celí nesví a hned to napraví.
ČLÁNKY DO MAILU