Microsoft: "A Windows növelni fogja a felhasználói privát szféra védelmét a DNS over HTTPS-sel"

Mint az ismert, a nagyobb böngészők már jelezték, hogy támogatni fogják a DNS over HTTPS (röviden: DoH) protokollt. A Microsoft úgy véli, hogy használna az Internet ökoszisztémája egészségének, ha a Windowsban is megjelenne megfelelő módon a DoH támogatás:

We also believe Windows adoption of encrypted DNS will help make the overall Internet ecosystem healthier. There is an assumption by many that DNS encryption requires DNS centralization. This is only true if encrypted DNS adoption isn’t universal. To keep the DNS decentralized, it will be important for client operating systems (such as Windows) and Internet service providers alike to widely adopt encrypted DNS.

Arról, hogy a Microsoft Core Networking csapat hogyan képzeli a DoH integrálását a Windows DNS kliensébe, arról itt lehet részletesen olvasni.

Hozzászólások

Windows vs privát szféra

LOL

 

Welcome to the security theater.

pont ezt akartam én is írni... windows és privát szféra egy mondatban, igencsak mókásan hat

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Hurra, mindig is arra vagytam, hogy az allamon es a szolgaltatomon kivul kivul meg 3-4 szervezet mondja meg milyen oldalakat nezhetek meg es milyeneket nem... Plusz ugyanezen szervezetek loggoljak es profilozzak a szokasaimat.

Par evvel ezelott jo kis hirig volt a dns hijack es a dns poisoning sebezhetosegekbol. Ma onkent es dalol a allnak be emberek olyan megoldasok moge moge amik nagyvallatok monopoliumava teszik ugyanezt a funkciokat.

Vegul, ott tartunk mint 25 evvel ezelott, IP-ket memorizalhatunk, ha megfelelo tartalmat akarunk nezni...

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Szerkesztve: 2019. 11. 19., k - 15:58

Az ugye megvan mindenkinek, hogy ez a normális működés, azaz a rendszergazda által beállitott vagy dhcp-n kapott, rendszerszintű dns-t fogja használni, ugyanúgy ahogy eddig, csak éppen egy újabb protokollt is támogatni fog az UDP53 és TCP53 mellett.

Szemben azzal az őrülettel, amikor a user a böngészőjében megkerüli  rendszerszintű dns beállitásokat és teljesen más dns szerverektől kér le - egyébként tűzfalon MiTM nélkül szűrhetetlen - adatokat, mint amik a rendszerben be vannak állitva.

Az is ugyan olyan kamu - itt most csak az van hogy az MS megy a google után a kéretlen "privacy fícsöröket" tekintve.

De szerintem örömmel teszi, mert innentől majd ő is gyűjthet "önkét és nagy örömmel kiadott" DNS forglamat, mint a "nagyok" :D

persze mindezt a (l)userek privát szférájénak növelése érdekében...

 

De majd meglátjuk, amint implementáció is lesz.

Milyen kéretlen privacy feature, ha 2 helyett 3 protokollon tud DNS lekérdezni, ugyanaz a jól működő rendszer mint eddig?

" ő is gyűjthet "önkét és nagy örömmel kiadott" DNS forglamat "

Te érted egyáltalán miről beszélsz? Hogy kerül a MS szerveréhez a DNS forgalom?? Hacsak nem éppen én beállitom az ő szerverüket mint forwarder. Baromira nem érted, hogy miről van szó, csak lököd a agyatlan ms fikát.

Holnap délután kettőig.

Hogyhogy honnan? Ahonnan be van állitva, hogy szedje. Normális esetben az általam üzemeltetett helyi DNS szervertől, ami meg már kérheti (policy, szűrés, logging stb. után) akár DoH-al, az általam beállitott forwarertől, vagy éppen round robinolva a root DNS-ektől, ha épp ahhoz van kedvem. Ennek ez a normális rendje, nem az, hogy a kliens gép böngészője, meg a torrent kliens, meg majd a józsika bt appja is tűzfalat megkerülve saját maga végez DNS feloldást.

Nem, az átlagos netes fejlesztések idejét ismerve még 1-2 évig meyg a körbeszopkodásos koferenciázgatásos pénzkoncsorgás és utána kiveszik a hagyományos névfeloldást a böngészőből, hogy azután már "so secure"-ként, csakis a saját https alapú névfeloldást fog végezni.
Azzal, hogy te szolgáltatsz "DNS over HTTPS"-t nagyjából élőben példázod, hogy miért agy talicska lótrágya az egész koncepció. Mert ugye az lenne a kucs, hogy mindig és mindenhonnan szűretlen, manipulálatlan, biztonságos és valid névfeloldást tudjon végezni a user. Csak épp már alapban elvégzed ezt neki.
De, a tévedések elkerülése végett itt nem az userek biztonsága és szabadsága a lényeg, hanem az, hogy miképp lehet őket még egy módszerrel eladni, megfigyelni, korlátozni és rákényszeríteni újabb és újabb szoftvertermékek elfogadására.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Kurvára nem érted még a koncepciót sem, gondolom már a firefox-ban sem értetted, ott is azt a szervert állitod be amelyiket akarod, hogy honnan kérdezze, pont ugyanúgy lehet ott is egy általam üzemeltett szervertől kérdeztetni, csak ott koncepcionálisan van baj, mert a névfeloldás nem a böngésző dolga, annak a rendszer DNS kliensét kellene használja. És azon a rendszer DNS kliensen kellene beállitani, hogy melyik szervertől kérdezze (amelyikben te éppen megbizol) és azt milyen protokollon érje el.

" De, a tévedések elkerülése végett itt nem az userek biztonsága és szabadsága a lényeg, hanem az, hogy miképp lehet őket még egy módszerrel eladni, megfigyelni, korlátozni és rákényszeríteni újabb és újabb szoftvertermékek elfogadására. "

Hülyeségeket beszélsz, ezzel semmivel jobban nem lehet megfigyelni senkit sem. Ez csak harmadik protokoll az meglévő kettő mellé, ami egyébként pont ugyanúgy működik, mint a korábbiak, csak éppen titkositott a kommunikáció a kliens és a szerver között.

Nem véletlen, hogy a firefoxban alkalmazás szinten került ez a fostalicska behuzalozásra. Mert a pénz a webes metrikákban van és nem abban, hogy egy marginális szoftver milyen gyakran kérdezi meg a gyártóját, hogy él-e még az előfizetése. És itt a kulcs az, hogy ki kontrollálja azt, hogy te mit látsz a gépeden.
Ahogy az se zavarjon össze, hogy most még beállíthatod, hogy melyik szerverben bízol meg. Idővel majd lesznek "megbízható" szerverek és neked "nem kell majd semmit beállítani".

Majd ha sikerül ezt feldolgoznod akkor beszélgethetünk arról, hogy miből és milyen irányvonalak mentén kerülnek fejlesztésre a free, open-source zászlóshajók.

A https autentikációnál egyedi kulcsok cseréje történik, amik ha rögzítésre kerülnek a kiszolgáló oldalon használhatóak deanonimizálásra, adott kliens felől érkező lekérdezések közötti kapcsolatok felállítására. Ha ez kombinálva van egy megfelelő időbélyeggel, ezen adatbázis aranyat ér, mert adott szolgáltató a saját szervereinek oldallekéréseinek logjaival való összevetésével azt is láthatja, hogy az oldalára való látogatás előtt merre járt a felhasználója.
Eddig, ezen adatbázisok a névfeloldás decentralizáltsága, rendszerszintű konfigurálása, különféle állami és szolgáltatói manipulálása miatt nem voltak elérhetőek és nem voltak kellően használhatóak.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Nincs azzal baj, hogy lesz titkosított csatornán át feloldás, aminek a tartalmát nem látja a szolgáltató. 

Azzal már nagyobb baj van, ha a user kezéből kiveszik az irányítást és csak olyan feloldó szolgáltatás elérését engedik, amit a szolgáltató vagy a microsoft atyaúristen megenged. Céges hálózatban jelenleg is meg tudják oldani, hogy ne tudjon elérni akármilyen feloldó szoláltatást a végpont. Van, aki nem csak a munkahelyén használ internetet, nekik nem mindegy, hogy milyen "enforce" lesz bevezetve, amivel korlátozni akarják és kiszolgáltatottá tenni egy cég felé.

Szerkesztve: 2019. 11. 20., sze - 09:01

...error 404 (host not found)...