- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Beállítottam "3"-ra (kizárólag DoH), meglátjuk hogy szuperál. Eddig működik.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem működik a kizárólagossággal, gondolom, maga a DoH nem megy... Hmmm...
Szerk.: Nálam csak az opcionális DoH-compatible DNS resolverrel, az 1.1.1.1-gyel megy.
Most találjam ki, melyik a DNS szervere a böngészőmnek!
- A hozzászóláshoz be kell jelentkezni
"effectively bypass local ISPs traffic filters" ... a macska-egér játék újabb szintre léphet, szivassuk csak a rendszerüzemeltetőket.
- A hozzászóláshoz be kell jelentkezni
Nem csak a rendszer üzemeltetőket:
By planning to support DNS-over-HTTPS, Mozilla is throwing a monkey wrench in many ISPs' ability to sniff on customers' traffic and filter traffic for government-mandated "bad sites."
Source
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Nem nagyon értem a sirámokat. Eddig a privacy volt a fő cél. Most itt egy lépés a privacy felé, ami miatt az ISP-k elkezdenek sipárogni, hogy "jaj, hát kikerülik vele a filtereket".
Oké. Tovább?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Tokre nem olvastam utana semminek, de hogy erinti ez a local DNS szervereket, ha minden bypass? Teszem azt a gep LAN-ban van, es a helyi DNS szerver kiszolgal egy rakas hostnevet ami *CSAK* a belso halorol elerheto.
Akkor most ezek nem fognak feloldodni Firefoxban, vagy mi? Es meg csak nem is filterezni, logolni, meg ilyesmit akarok, erted... Eddig is kurva nagy szopas volt, hogy az userek fele 8.8.8.8-at allitott be DNS szervernek, aztan meg jott rinyalva h. a "host amit megadtal nem letezik", ezt vegul megoldottam ugy h. force-redirect minden kimeno DNS requestet a belso DNS szerverre, most akkor ez ugrott. Remek.
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
network.trr.mode == 3 eseten pontosan az a gond van, amit mondasz, lokalis LAN-on elerheto DNS nevek eltunnek a sullyesztoben. 2-es ertek mellett (DoH mellett lesz backup DNS query is) nincs ilyen problema.
Mondjuk nalam out of the box egyaltalan nem mukodott a DoH, meg kellett adni egy network.trr.bootstrapAddress-t is (gyarilag ez ures volt).
Most hogy kiprobaltam, megyek vissza a rendes DNS-re.
- A hozzászóláshoz be kell jelentkezni
Hogy részletesebben leírjam: ki van adva feladatul, hogy facebook.com, stb. nincs a cégnél.
Eddig a lokál DNS-ből behazudtunk egy nem létező címet. A hosts fájlt a user nem tudta birizgálni.
Jövőben? Ha HTTPs feletti webDNS lesz, kénytelenek leszünk kibontani a HTTPs forgalmat.
Pivacy? Nem érzem hogy a fő cél teljesülne a HTTPs forgalomba való belenézéssel.
A macska-egér játék kimenetele így nem biztos, hogy a user érdekét fogja szolgálni.
- A hozzászóláshoz be kell jelentkezni
Ne, akkor most már lehet jobb/olcsóbb lesz megbízni az emberekben? :-)
- A hozzászóláshoz be kell jelentkezni
Céges felhasználáson kívül is van élet.
--
Sent from my OnePlus 5T
- A hozzászóláshoz be kell jelentkezni
Mondjuk senki sem allitotta az ellenkezojet.. :)
- A hozzászóláshoz be kell jelentkezni
És a DNS beállítást tudja a user birizgálni?
- A hozzászóláshoz be kell jelentkezni
Hát igen, de jó is lenne, ha a Mozilla már másfél évvel ezelőtt tett volna Group policy támogatást a böngészőjébe, hogy Winen is kényelmesen és központilag lehessen konfigurálni, és ha lenne erre beállítás benne (szerk.: nem tudom, lehet-e sort linkelni fájlban GitHub-on, mindenesetre: https://github.com/mozilla/policy-templates/blob/master/windows/en-US/f… <string id="DNSOverHTTPS">).
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
> Jövőben? Ha HTTPs feletti webDNS lesz, kénytelenek leszünk kibontani a HTTPs forgalmat.
Ez nem fog működni, mert az SNI is titkosítva van: https://blog.cloudflare.com/encrypt-that-sni-firefox-edition/
Szóval max az egész cloudflare-t tudod csak kitiltani.
- A hozzászóláshoz be kell jelentkezni
Nem kell kitiltani semmit. Csinálhatsz saját CA-t és mindent újracsomagolsz. A böngésző persze vinnyogni fog (jogosan), de hozzáadod megbízhatóként a CA-d a hivatalos céges böngészőbe és kész. Ha pedig a sajátját használja, akkor IJ.
- A hozzászóláshoz be kell jelentkezni
A munkahelyemen pont ezt csinaljak. Csak tor browser-el bridged modba tudom megkerülni :(
---------------------------------------------
Support Slackware: https://paypal.me/volkerdi
- A hozzászóláshoz be kell jelentkezni
Mondjuk ha az SNI encryptelve van ezzel a módszerrel, akkor egy kicsit nehezebb lesz a buli, mert nem látod, hogy milyen certet kellene hazudni a kliensnek.
Mondjuk pont ennél DoH-nál kicsit tyúk-tojás, mert ugye a publikus kulcs is a dnsben van, szóval ott ezt vagy nem játszák, vagy a sima dnssel játszák, akkor meg tulajdonképpen bele lehet harákolni egy saját publikus kulcsot. Kivéve, ha DNSsec, bár lehet azellen az se véd.
Szóval azért elsőre nem triviális :)
- A hozzászóláshoz be kell jelentkezni
Az ukrán kollégám mondott valami hasonlót (mindketten Németországban dolgozunk), hogy Oroszországban mintha lenne valami hasonló már most is (vagy jóváhagytak hozzá valami törvényt és éppen vezetik be, nem emlékszem), hogy a szolgáltató felrakatja veled a saját HTTPS certjét mert államilag kötelező, és szétproxyzza a forgalmat mintha sima HTTP lenne, kész. így a hatalom nagyjából abba néz bele amibe akar, szevasz.
Nem kérdéses, hogy céges gépeken is így lesz (vagy már most is így van) ergó még annyi privacy-d sem lesz, mint korábban. GOTO 10.
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
"Nem kérdéses, hogy céges gépeken is így lesz"
Érdekes ez a nyugatról jövő terror magyar cég "rendszergazdájaként" nézve. Nálunk pl. fel sem merült a vezetés részéről ilyen igény még felvetés szintjén sem soha.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
+1, a munkaido elkummantasahoz es a ceges adatok ellopasahoz is van ezer jobb modszer a facebookon kivul, nem ertem, minek a nagy elovigyazatossag - ha annyira nem bizik meg benned a munkaltato, akkor miert ad egyaltalan belepokartyat az irodahoz, es accountot a rendszerekhez?
- A hozzászóláshoz be kell jelentkezni
+1
Kedvencem Oregon egyik kommentje volt, valahogy igy hangzott: "bizalom nelkul nincs uzlet".
- A hozzászóláshoz be kell jelentkezni
Én letiltom mindenütt az fb-hez tartozó összes címtartományt (AS32934). Van némi collateral damage, de szerintem nem kár érte...
- A hozzászóláshoz be kell jelentkezni
Ez csak a szokásos játék, amit már az IT is jó pár évtizede nyom: A szoftver cégek igyekeznek egyre biztonságosabb termékeket csinálni (miközben azok komplexitását folyamatosan növelik), miközben csomó mindenkinek meg pont az lenne az érdeke, hogy a programok ne legyenek annyira biztonságosak, szóval elkezdenek újabb és újabb sérülékenységeket keresni, vagy épp megakadályozni, hogy adott technológia használható legyen (így, vagy úgy). Nem véletlenül volt tiltva US-ben az erős encryption jó ideig..
Ez most kb ugyan ez pepitában: Magasabb szinten szeretnék ha a userek mindennapi életébe bele tudnának szólni, de így már nem működne az a megoldás amivel ezt régebben meg tudták oldani.. Nincs itt kérem semmi látni való, csak a szokásos arms-defence race megy még mindig (és nincs sok esély arra, hogy ez valaha megálljon)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Sub
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
1
____________________
echo crash > /dev/kmem
- A hozzászóláshoz be kell jelentkezni
Hát nemtudom...az álmoskönyv szerint a megbízhatóság és privacy szempontból sem jó ötlet az internet összes dns lekérését 1 cégre bízni.
https://ungleich.ch/en-us/cms/blog/2018/08/04/mozillas-new-dns-resoluti…
- A hozzászóláshoz be kell jelentkezni
A linkelt cikk nagyon "jó" elrettentésként öreganyámnak, hogy miért ne állítsa be ezt. Nem is neki való az ilyen beállításokat túrni. Laikusnak hangzatosak a SPoF stb. szavak. A Cloudflare-ezésre pedig ott a cikkben is, hogy egy rakás DoH-kompatibilis szerver közül választsz, de magadnak is felállíthatsz egyet.
--
Sent from my OnePlus 5T
- A hozzászóláshoz be kell jelentkezni
Maga az opció jó, de mint a cikkben is írták előbb-utóbb default lesz
- A hozzászóláshoz be kell jelentkezni
Ez miben más mint az ssh tunnel, vpn vagy a proxy?
Vagy csak egy másik módja, a kliens "elrejtésének"?
- A hozzászóláshoz be kell jelentkezni
Ezeket használva a DNS query-jeidet pont úgy látja az ISP, mintha egyiket sem használnád. Csak a pina.hu-t nem a te IP-dhez, hanem ahova tunnelezel, VPN-ezel, proxy-zol, annak az IP-jéhez köti.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Socks5 proxy a dns lekérdezéseket is támogatja: https://en.wikipedia.org/wiki/SOCKS#SOCKS5
- A hozzászóláshoz be kell jelentkezni
Persze, ha firefoxban : "y.socks_remote_dns = false" akkor igen, de ellenkező esetben azt hiszem nem látja az ISP a DNS kéréseimet. Bár ebbe most már nem vagyok biztos.
- A hozzászóláshoz be kell jelentkezni
-
- A hozzászóláshoz be kell jelentkezni
Némileg off: https://1.1.1.1/ mióta lehet ip címre https cert-et kérni?
- A hozzászóláshoz be kell jelentkezni
Így elsőre ami legkorábbi találtam az a 99 januári RFC 2459.
Defined options include an Internet electronic mail address, a DNS name, an IP address, and a uniform resource identifier (URI).
Szerk.: fogalmazás van, közel éjfél van :(
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
+1: eredetileg a HTTPS IP alapú volt, az SNI viszonylag új dolog (2005 óta van). Pl. az első Android-ok nem is támogatták.
--
https://naszta.hu
- A hozzászóláshoz be kell jelentkezni
Nem volt ip alapú akkor sem, a certet SNI nélkül is a domain-hez kapod. (nincs külön SNI-s meg nem SNI-s cert)
Az SNI csak azt engedte meg, hogy több SSL-es domaint szolgálj ki egy IP-ről.
- A hozzászóláshoz be kell jelentkezni
Az SNI-s certben már nincs IP cím csak a domain. Régen pedig (mintha, de jó rég volt) kellett az IP is.
--
https://naszta.hu
- A hozzászóláshoz be kell jelentkezni
Securing a Public IP Address - SSL Certificates
https://support.globalsign.com/customer/portal/articles/1216536
Note: Only public IP addresses can be used on OrganizationSSL certificates. You must be the owner of the public IP address as per the records held with the RIPE Network Coordination Centre (NCC).
Sőt! Korábban még engedékenyebbek voltak:
"Beginning 1 November, 2015, the CA/Browser Forum will prohibit the use of internal server names and reserved IP addresses in publicly-trusted SSL Certificates. This means if you normally receive SSL Certificates from a public CA (such as GlobalSign), you won't be able to use their certificates for internal server names any more."
- A hozzászóláshoz be kell jelentkezni
Követem. Nagyon
- A hozzászóláshoz be kell jelentkezni
Nekem nem mögy, bekapcsoltan nincs névfeloldás - kikapcsolva, majd a mellékelt linket meghívva (https://mozilla.cloudflare-dns.com/dns-query) ez fogad:
Nem kapcsolódott: lehetséges biztonsági probléma
A Firefox egy lehetséges biztonsági kockázatot észlelt, és nem lépett tovább a(z) mozilla.cloudflare-dns.com oldalra, mert ez a webhely biztonságos kapcsolatot igényel.
Mit tehet?
A(z) mozilla.cloudflare-dns.com oldal a HTTP Strict Transport Security (HSTS) nevű biztonsági házirendet használja, amely azt jelenti, hogy a Firefox csak biztonságosan kapcsolódhat hozzá. Nem adhat hozzá kivételt, hogy felkeresse ezt az oldalt.
A probléma valószínűleg a weboldallal van, és semmit sem tehet a megoldása érdekében. Értesítheti a weboldal rendszergazdáját a problémáról.)"
(Hibakód: SSL_ERROR_BAD_CERT_DOMAIN)
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Már a másodlagos DOH-ot is be lehet állítani az új verzióban https://www.zdnet.com/article/mozilla-to-add-second-dns-over-https-doh-…
READY.
▓
- A hozzászóláshoz be kell jelentkezni