Míg a felhasználók szeretik a DoH-t, és áldásosnak tartják azt adatvédelmi szempontból, addig az internetszolgáltatók, a hálózat üzemeltetők és a kiberbiztonsági cégek enyhén szólva, ki nem állják. Kiszivárgott egy, az amerikai törvényhozás félrevezetésére szánt dokumentum is, aminek célja a DoH Egyesült Államokban történő tiltásának elérése volt.
A DoH beállítása Chrome, Edge, Firefox, Opera, Vivaldi böngészőkre és részletek itt találhatók. Safarira egyelőre nincs DoH-támogatás. Ugyanakkor a Safari fejlesztői általában minden új szolgáltatás bevezetésével késnek, és az Apple a közelmúltban a felhasználói adatvédelemre összpontosító szolgáltatásokat erősítette, tehát nagyon valószínű, hogy a DoH bevezetése a Safariban is hamarosan megtörténik.
A DoH elterjedése miatt egyesek főképp a Mozillát tartják felelősnek. Korábban már a HUP is foglalkozott azzal, hogyan lehet a Firefox böngészőben a DoH-ot bealláítani.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nem értek hozzá pontosan, de akkor hogy fogják nemzetbiztonsági szinten figyelni a forgalmat?
aminek hozzáteszem egy csomó kötelező pozitívuma is van
pl: nemzetbiztonságilag kifogásolható oldalak szűrése
statisztikák készítése hogy a lakosság melyik oldalakat milyen mértékben látogatja és ez hogy alakul
malware-k "központjainak" ISP általi tiltása
megfigyelések
reklámok kezelése
Mindez nemzeti kézből átkerül majd google kézbe?
- A hozzászóláshoz be kell jelentkezni
“reklámok kezelése”
Na, azokat ugy, ahogy vannak, irtani kene.
- A hozzászóláshoz be kell jelentkezni
> Nem értek hozzá pontosan, de akkor hogy fogják nemzetbiztonsági szinten figyelni a forgalmat?
HTTPS === a biztonság mesterségesen keltett illúziója
- A hozzászóláshoz be kell jelentkezni
Nem, csak a cső túlvégén szimatolnak.
Viszont az e végén lassan már fogalmad sincs, hogy mi megy be a csőbe. Csőbe vagyunk húzva az ssl-el.
„Az összeomlás elkerülhetetlen, a katasztrófa valószínű, a kihalás lehetséges.” (Jem Bendell)
- A hozzászóláshoz be kell jelentkezni
Kazahsztán próbálkozott ilyennel, de már elmúlt miután a böngészők blokkolták ezt a root cert-et.
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
Jelenleg amúgy nincs ilyesmire szükség a blokkoláshoz, mert a domain (SNI) titkosítatlanul utazik https csatlakozáskor is. Már van rá megoldás, de nincs elterjedve: https://www.cloudflare.com/ssl/encrypted-sni/
- A hozzászóláshoz be kell jelentkezni
A mozilla nem küldi (jelenleg) az EU forgalmat a cloudflare-nek, az amerikai forgalmat viszont igen.
Ennek a hátránya, hogy központosítja a DNS-t egy nagy céghez.
Az NSA-nak ez jó, mert már csak 1 helyre kell bekopogtatnia.
(Másrészt az USA-ban valóban, a nagy szolgáltatók sniffelik a dns kéréseket és
eladják a gyűjtött adatokat reklámcégeknek.
EU-ban ez nem jellemző.)
A google a chrome-ban nem tervezi default-ba bekapcsolni,
illetve ha bekapcsolja akkor is a userhez tartozó ISP-nek küldi a DNS forgalmat DoH technológiával, ha az támogatja: https://www.theregister.co.uk/2019/09/10/chrome_78_dnsoverhttps/
- A hozzászóláshoz be kell jelentkezni
Eddig minden munkahelyem lekérték a userek dns lekérdezéseit.
Illetve szerintem minden szolgáltató átbogarássza azokat, csodálkoznék ha nem lenne ez is az egyik kötelezettségük.
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
- A hozzászóláshoz be kell jelentkezni
Mi az, hogy kötelesség? Biztos félreértem.
Aggregáltan lehet nézni, ha erre gondolsz, ezzel nincs baj.
Dolgoztam olyan helyen ahol mindent néztek és logoltak,
de erről előre tájékoztattak és én explicite beleegyeztem.
- A hozzászóláshoz be kell jelentkezni
Es tenyleg, mert kotelezettseget irt, nem kotelesseget. :)
- A hozzászóláshoz be kell jelentkezni
A reklámok kezelése mióta nemzetbiztonsági kérdés? Vagy mi köze van az államnak ahhoz, hogy a lakosság milyen oldalakat látogat?
Desktop: MacOS | Server: CentOS
- A hozzászóláshoz be kell jelentkezni
Vagy mi köze van az államnak ahhoz, hogy a lakosság milyen oldalakat látogat?
http://zrubi.hu/2015/nav-szef/
a linkek havonta változnak így a cikkben a legtöbb már nem elérhető, de könnyen megtalálhatóak egy kis guglizással.
íme néhány aktuális:
https://www.nav.gov.hu/szerencsejatek/archivum/blokkolt_honlapok
https://www.nav.gov.hu/szerencsejatek/archivum/gyik/nemnevesitett
Ébredj fel, Neo!
- A hozzászóláshoz be kell jelentkezni
Míg a felhasználók szeretik a DoH-t, és áldásosnak tartják azt adatvédelmi szempontból, addig az internetszolgáltatók, a hálózat üzemeltetők és a kiberbiztonsági cégek enyhén szólva, ki nem állják.
nagyon jó. ez remekül mutatja hogy nem csak igény hanem szükség is van rá.
"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."
- A hozzászóláshoz be kell jelentkezni
valami konkrét indok is van amúgy?
- A hozzászóláshoz be kell jelentkezni
van!
semmi közük hozzá! :)
- A hozzászóláshoz be kell jelentkezni
Ez csak a céges rendszergazdáknak szívás, és ők joggal nem fogják komálni, bár céges eszközökön biztosan tíltható lesz, a hátombötüsek már úgy is biztos felkészültek rá, csak a kóbor apácákat vezethetik álhőbörgéssel.
- A hozzászóláshoz be kell jelentkezni
Nálam "Not available on your platform." (Chrome 78)
Csak akkor szólok hozzá egy témához, ha értelmét látom.
- A hozzászóláshoz be kell jelentkezni
Könyvjelzőed. :)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Tudom, hogy a szokások nehezen kopnak ki, de a kommentek bal alsó sarkán van egy +1 lehetőség beépítve...
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Uhh köszi, ezt nem is figyeltem. Használni fogom ;)
- A hozzászóláshoz be kell jelentkezni
de az nem bookmarkolja az oldalt
- A hozzászóláshoz be kell jelentkezni
Az a lényege. :)
A könyvjelző (a nyitó hsz alján) viszont igen. Annak meg az a lényege. :)
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
de nem ugy. vagy mar igen?
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam firefox (cloudflare az alapértelmezett) alatt. Ha létező domain szerepel a kérésben, akkor szépen működik, wireshark alatt látszik hogy nem látszik dns kérés. Ha viszont a cloudflare nem ismeri a domaint, pl. kutyafasza.hup.hu, akkor rápróbál az os dns kiszolgálójára is, így már látja az ISP a forgalmat.
Azzal egyébként előrébb vagyunk, hogy az ISP nem látja a DNS kéréseinket, de a cloudflare igen?
- A hozzászóláshoz be kell jelentkezni
Baromira nem és nem értem, hogy miért ez a default.
Vagy csak a teszt időszakban?
- A hozzászóláshoz be kell jelentkezni
Nem kell feltétlenül a cloudflare-t használnod. Ha jól gondolom, akkor egy vps-en csinálasz egy saját DNS szervert, aztán megtolod VPN-en keresztül, és máris aggódhatnak az arra kíváncsiak. (Az is lehet, hogy a VPN-t is kihagyhatod.)
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Nem csak cf nyújt DoH szolgáltatást.
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek
- A hozzászóláshoz be kell jelentkezni
Erről beszélek, és végső soron használhat sajátot is.
READY.
▓
- A hozzászóláshoz be kell jelentkezni
btw jelenleg nincs lehetőség saját szerver hozzáadására, 3 választási lehetőséged van chrome-ban: google, cloudflare quad9
amúgy ha választanom kell, hogy az ISP-hez vagy egy központi céghez fusson be az összes dns lekérdezésem, akkor én az ISP-t választanám.
- A hozzászóláshoz be kell jelentkezni
A DoH súlyosan károsítja Ön, és billentyűzete egészségét!
Where do you want to go today?
[nobody@salcay:~]$_
- A hozzászóláshoz be kell jelentkezni
Egyes europai orszagokban a nem helyben adozott szerencsejatek nem szerettet, tehat
a szolgaltatokat kell revanni hogy dns csomagokat elfogjak es a nem adozo oldalakat jol letiltsak ..
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Nem pontos. A szolgáltatót arra veszik rá, hogy az oldalt elérhetetlenné tegye, és tájékoztassa az azt elérni szándékozó felhasználót, hogy ez nem véletlen.
Az, hogy ezt a szolgáltató legegyszerűbben és legpraktikusabban DNS manipulációval tudja megoldani, csak egy technikai részletkérdés.
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Nálam ez fut a gépen egy containerben: https://github.com/DNSCrypt/dnscrypt-proxy
OS szinten ezt használom DNS-nek, így nem csak a böngésző megy DoH-n. Resolver így nem csak Clouflare lehet.
- A hozzászóláshoz be kell jelentkezni
Bookmarkolom. OS szinten, ha a gép egyben routol is, kicsit macerásnak tűnik, de mindenképpen kevesebb terheléssel jár, mintha a böngésző végezné el a feladatot. Kicsit tesztelem a plugint, ha jól teljesít, akkor a DoH-ot ráteszem. Köszi a linket.
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Van olyan DoH, ami tudja az adblock list-et is?
Pl. ezt:
config source 'disconnect'
Option adb_src 'https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt'
- A hozzászóláshoz be kell jelentkezni
Ezek közül egyik sem?
https://dnscrypt.info/public-servers
https://github.com/DNSCrypt/dnscrypt-proxy
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Hát ez nagyon király.
Ezeket fel lehet venni Firefox-ba is?
Azzal előrébb vagyunk, ha az ISP nem látja a kéréseket?
- A hozzászóláshoz be kell jelentkezni
Azzal előrébb vagyunk, ha az ISP nem látja a kéréseket?
Jogos kérdés. Tovább megyek: és azzal előrébb vagyunk, hogy egy harmadik fél meg igen? ;)
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Es akkor az SNI-vel most mi van?
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"Encrypted SNI
Your browser did not encrypt the SNI when visiting this page."
Melyik titkosítja?
Egyébként ennek az lesz a vége, hogy a nagyobb cégeknél tiltva lesz belülről minden titkosított kapcsolat. Már most is sokan csinálják, hogy céges CA-tól kell root certet felvenni és mindent azzal titkosítanak kliensek fele és csak kifele mennek az adott oldal kulcsával titkosítva a csomagok. Ha ezt a böngésződ beállítása nem engedi, akkor te nem netezel. Használd a céges böngészőt, ami megfelelően van beállítva/fordítva!
- A hozzászóláshoz be kell jelentkezni
> Melyik titkosítja?
By-default egyik sem, firefox-ban be lehet kapcsolni: about:config > network.security.esni.enabled
Egyelőre még nem végleges a specifikáció: https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
> Egyébként ennek az lesz a vége, hogy a nagyobb cégeknél tiltva lesz belülről minden titkosított kapcsolat.
A https oldalak 90+% -a nem érhető el http-ről.
- A hozzászóláshoz be kell jelentkezni
Semmi gond, majd a céges proxy céges certtel áttitkosítja.
- A hozzászóláshoz be kell jelentkezni
Pontosan erre gondoltam.
- A hozzászóláshoz be kell jelentkezni
Nem vagyok benne biztos, hogy DOH+ESNI mellett működni fognak az ssl proxy-k: A publikus kulcs a dns rekordban van, a kliens egyből arra titkosítja a kapcsolatot, így a köztes szereplőknek nincs lehetősége belenyúlni ebbe. (így akár a root cert-ek is feleslegesek?)
Persze ha van hozzáférésed a kliens géphez, akkor tiltható az DOH/ESNI használata (még)
- A hozzászóláshoz be kell jelentkezni
" A publikus kulcs a dns rekordban van, a kliens egyből arra titkosítja a kapcsolatot,"
Még mindig nem érted. Nyugodtan titkosíthatja, csak éppen nem fog tudni kijutni a hálózatból, mert a tűzfal megfogja.
Ha a dolgozó panaszkodik, akkor jön a válasz: "Használj megfelelő böngészőt (a cégest vagy állítsd át a sajátodat)!"
Ez a veszélye ennek az egész játéknak, hogy pont az ellenkezőjét fogják elérni a célnak vagyis még durvábban bele fognak tekinteni a cégek az adatforgalomba. Lehet egyébként ez a burkolt cél, hiszen így lesz hivatkozási alapjuk. Minden mögött a pénzt kell keresni..
Erről az egészről egyébként ez jut eszembe :)
https://xkcd.com/538/
- A hozzászóláshoz be kell jelentkezni
Nem tudom hogy mostanság hogy csinálják ezt a kormányzati cégek, de lehet például transzparens proxy + ssl bump. (Mondjuk olyan helyen biztos nem dolgoznék ahol ilyen van...)
- A hozzászóláshoz be kell jelentkezni
Miért előnyös az, ha eddig
- az internetszolgáltatóm
- a Cloudflare
- a Google
- bármilyen más ingyenes
DNS szerver helyett
- a Cloudflare
- bármi más
címre irányítom titkosítva a DNS forgalmamat?
Onnantól az a szolgáltatás fogja látni az IP címemről jövő igényeket. Miért jobb, ha annak a cégnek adom, és nem az első részen említett cégeknek?
Mi a garancia, hogy a Cloudflare nem használja arra, mint az összes többi cég? Mármint elméletben semmire, a gyakorlatra meg nincs garancia, hogy nem használják bármire is.
Oké, ha jól értem, ha a torrent oldalt DoH-os böngészőben nézem, akkor a szolgáltatóm nem látja, hogy melyik domain-re csatlakozom, de ha már megvan a torrent site ip címe, akkor a kommunikáció már nyilvánvaló, hogy a torrent site-tal zajlik, és megadom a jelszót, látja, hogy mit töltök le, az URL-ből is és magában a HTTPS adatfolyamban is benne van minden, ha nem használok VPN-t.
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
Így van. És ha már az ISP mindenképpen tisztába van a forgalmammal (globális VPN láncon áthajtottól eltekintve), akkor már inkább ott tartanám.
Mégiscsak jobb, mint behúzni a játékba egy külföldi céget, és külföldön tartani dns kéréseim naplóját.
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Azért jobb, mert így a Google (meg a többi nagy cég) még jobban követheti a tisztelt felhasználókat. Semmi más haszna nincs ennek a lépésnek. Ha valóban a DNS forgalom hitelesítése és titkosítása lett volna a cél, akkor a DNSCrypt elterjesztése és tovább fejlesztése mellett kampányoltak volna ennek a taknyolt-barkács megoldásnak a bevezetése helyett.
Igazából kezdem úgy érezni, hogy ebből a szempontból a Google az új Microsoft, aki az új taknyolt "szabványaival" és túlsúlyával teljesen szétcseszi a netet.
Zavard össze a világot: mosolyogj hétfőn.
- A hozzászóláshoz be kell jelentkezni
Amúgy ez (DoH) most épp a mozilla fejéből pattant ki
- A hozzászóláshoz be kell jelentkezni
Ne zavard össze tényekkel! ;)
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
- A hozzászóláshoz be kell jelentkezni
Szerintem ez nekünk MO-n nem annyira érdekes. Jobb a mostani ISP-s megoldás + így tudjuk szűrni akár a helyi router-en is a reklámokat.
Kínában már lehet jól jön a DoH.
- A hozzászóláshoz be kell jelentkezni
IP cím alapján ettől még meg lehet nézni adott Casino oldalakat?
- A hozzászóláshoz be kell jelentkezni
Manapság már nem jellemző, hogy webservert úgy állítsanak be hogy ip alapú kérést kiszolgáljon.
Leginkább a https miatt, mert az értelem szerűen nem működik ip-re.
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
> Leginkább a https miatt, mert az értelem szerűen nem működik ip-re.
Elvileg lehetséges: https://1.1.1.1/
- A hozzászóláshoz be kell jelentkezni
Minden kérés IP alapú. Csak HTTP 1.1 óta a "Host:" headerben átadja melyik domain-t kéri.
Magában a kérésben csak az aloldalak vannak, például: GET /kiskutya.html
"Host:" headert pedig akár egy böngésző pluginnal is tudsz módosítani, így mindenféle DNS kérés és /etc/hosts fájlba való felvitel nélkül.
- A hozzászóláshoz be kell jelentkezni
Az SNI független a Host header-től és a böngésző sem fog más domain-re kiállított cert-et elfogadni.
Tavaly óta a Google és az Amazon enforcolja a Host és az SNI egyezését: https://www.theverge.com/2018/4/18/17253784/google-domain-fronting-disc…
- A hozzászóláshoz be kell jelentkezni
Igen, de ez csak HTTPS-re vonatkozik. Én HTTP-ről beszéltem. De például levelezőszerveremre is a reverse DNS-ben szereplő domainhez x.y.szolgaltato.net-hez kértem tanúsítványt, így IP alapján is lehet titkosítva kapcsolódni hozzá.
- A hozzászóláshoz be kell jelentkezni
A http-ről elérhető webes tartalom elég minimális manapság, a blokkolt fogadó oldalak egyike sem szolgál ki tartalmat https nélkül. (oké nem teszteltem mindet csak az ismertebbeket)
- A hozzászóláshoz be kell jelentkezni
Minden kérés IP alapú
Ha innen nézzük, minden kérés MAC address alapú. Ismerjük a hálózati rétegeket, és most jelezted, hogy minden átmegy a harmadik rétegen. Tény. De a https nem layer3. Ezért nem értem hogy a hozzászólásomtól független tényt közölsz, vagy cáfolod éppen.
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Azért fejtettem ki, hogy nehogy valaki félreértse az "IP alapú kérést". Egyébként pedig nem minden kérés MAC alapú (mert nem csak Ethernet létezik).
- A hozzászóláshoz be kell jelentkezni
most nem azért, de az ISP bármikor ránézhet az IP címekre és azt bármikor visszafejti domain névvé, ha olyanja van, nem?
- A hozzászóláshoz be kell jelentkezni
Google/Amazon hostolt illetve Cloudflare-el proxyzott oldalak esetében nem.
- A hozzászóláshoz be kell jelentkezni
amiota minden megy a felhobe meg cdn-ekre, egyre nehezebb ip-bol kitalalni mit is nez/csinal az user. meg vpn-ezhet is.
- A hozzászóláshoz be kell jelentkezni
Azért megesik, hogy egy szerveren több oldal is fut.
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Régi szép idők... amikor még a Windows-os rendszergazda 2 publikus IP címet vetetett a céggel, mert a hosting teremben tárolt szervernek 2 domain nevet kellett kiszolgálnia egy Windows-os IIS szerveren, mert nem tudta beállítani, hogy 1 IP címen több weboldal is elérhető legyen... :-) Még rontva a helyzeten ezek után kijelentette, hogy ő szakember, mert 1 hálózati kártyán is be tudott állítani 2 különböző IP címet, és nem szükséges 2 hálózati kártya a szerverbe, hogy ezzel milyen sokat takarítanak meg... :-)
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
A megtakarítás szó és a Windows szerver együttes használatáért nem járt soha halálbüntetés?
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Ha járt volna... egy nagy generáció tűnt volna el... :-)
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
Licencdij <= TCO.
Persze el lehet intezni a poliverzum-fele "irtsuk ki a MS usereket" szinvonalon is a kerdest. :)
- A hozzászóláshoz be kell jelentkezni
Nem baj, vedd, úgy, hogy helyetted is nevettem. :-D
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam. Így múlt időben. a Firefox legújabb verziója olyan szépen homokórázott VPN mellett ezzel a beállítással, még egy tabot sem tudott betölteni, hogy öröm volt nézni.
Szóval kikapcsoltam a francba. Ezt nem nekem, és nem vállalati környezethez találták ki.
- A hozzászóláshoz be kell jelentkezni