Vlákno názorů ke zprávičce Firefox bude používat DNS přes Cloudflare od Danny - Trusted Recursive Resolver ve Firefoxu ma vicero konfiguracnich...
-
DannyStříbrný podporovatelTrusted Recursive Resolver ve Firefoxu ma vicero konfiguracnich voleb. Krome uplneho vypnuti to jde take nasmerovat i na jiny (vlastni) server a pak to v konecnem dusledku z pohledu ochrany soukromi i pro paranoika zas tak strasne byt nemusi.
Vychozi nastaveni je sice asi diskutabilni, ale vzhledem k tomu, jak se u nekterych ISP caruje s DNS rekurzory (kde se taky dejou ruzne veci bez vedomi koncoveho uzivatele) je mozna lepsi, kdyz se dotazy nasmeruji na nekoho, komu alespon trosku verite a tedy uzivateli se vrati to, co se mu skutecne vratit ma (a Mozilla zjevne Cloudflare duveruje). Nesmi se zapominat, ze vychozi nastaveni prohlizece je urcene tem, kteri problematice prilis nerozumi.
-
neregistrovany (neregistrovaný)
Moznosti nastavenia TRR vo Firefoxe su neadekvatne. Ziadny pouzivatel, co ma napr. laptop a pripaja sa do viacerych sieti - doma, v praci, u zakaznikov - nebude po kazdom pripojeni do siete rekonfigurovat rucne to, co mu predtym robilo DHCP. Dalsie problemy pridu s VPN, sedi v praci, potrebuje internu DNS, k tomu urobi VPN spojenie k zakaznikovi kde by sa mu normalne nastavila DNS pre resolvovanie iba zakaznikovej domeny - a toto s Firefoxom uz nenastavi vobec.
V tomto ohlade si Mozilla ukusla z kolaca viac, ako bude realne schopna stihat realizovat. (Ich schopnosti realizacie slubov vid: API pre extensions ktore odstrihli s Quantum, akceleracia kompozitora pomocou GPU pod Linuxom, alebo akceleracia dekodovania videa pod Linuxom).
Ti, co problematike moc nerozumeju, a pre ktorych je vraj toto default nastavenie urcene, budu mat jednoducho vsetko zrazu rozbite a nebudu si to vediet poskladat naspat. Fakt dobra pomoc, diky Brona.
-
DannyStříbrný podporovatel
DNS, ktere prideli DHCP hadam nebude podporovat DOH - tedy zjednodusene receno posilani DNS pozadavku over HTTPS, dost casto ani jinou formu zabezpeceni transportu (treba DNS over TLS). A zabezpeceni na urovni transportu je take jedna z veci, o ktere tu v konecnem dusledku jde.
Pokud se zactete skutecne pozorne do toho, co jsem odkazoval vyse, tak zjistite ze onen "lokalne nastaveny" DNS se stejne pouzije - k tomu, aby si prelozil IP adresu onoho DOH serveru (ktera je v konfiguraci jako hostname, nikoliv jako IP). Firemnimu uzivateli s VPN muzete klidne nastavit korporatni DOH server - mj. tam jde pouzit i autorizaci jmenem/heslem - takze ani povesene do internetu to nebude pouzitelne kymkoliv a porad tam bude jista mira soukromi pro firemni uzivatele (aniz by to bonzovalo provozovateli DNS serveru prideleneho z DHCP, na jake hostname se leze).
Argumentaci "problemy s uzivateli" jde klidne pouzit i obracene. Nezridkakdy se stava, ze z VPN prideleny korporatni DNS server neni schopny prelozit vubec nic krome firemnich veci a pak uzivateli soubezne s vytocenou VPN taky nefunguje nic. Nekdy nejsou dostupne ani samotne DNS - typicky, kdyz se dobastli VPN pro externistu s pristupem povolenym jen na urcitou vnitrni IP (a uz ani na DNS se nepusti, i kdyz ve VPN je vedle samotne IP klientske strany posle).
