> A szolgáltató mindig le fog tudni (és kötelessége is) "hallgatni", pont elég, ha azt logolja, hogy mely ip-címeket(+port) látogattál meg, óóó, olyan gyönyörű profilozást lehet ebből gyártani, hogy csak lesnél. (Átlagosan a meglátogatott oldalak 1%-a jön ugyanarról a szerverről.)
Jelenleg igen, de a cloud szolgáltatók és az encrypted sni elterjedésével ebben a tekintetben elvileg javulni fog a dolog.
Persze ez csak elméleti javulás: valójában egyszerűbb lesz a megfigyelés, mert a elég lesz ezeket a cloud szolgáltatókat bedrótozni + bónuszként módosítási jogot is kapnak az adatfolyamhoz, így egy javascript 0day beinjektálással a kliens géphez is hozzáférhetnek.
> 4) Ennek tényleg az lesz a vége, hogy a cégnél a cloudfare, meg az összes ilyen nyilvános dns címe tartományonként drop-ra kerül...
Ezzel az lesz a baj, hogy ip alapján valószínű az más cloudflare-es szolgáltatásokat is tiltasz, mert ugyanarról a címről több dolog is kiszolgálásra kerül.
Esetleg megoldás lehet, hogy az ns-ben "cloudflare-dns.com" (és társaira) adsz vissza nem létező értéket (pl. 127.0.0.1), így a böngésző/os fallback-el a rendes névszerverre. Persze lehet, hogy idővel az kiszolgálók ip-je be lesz égetve a forráskódba. (ha jelenleg még nincs)