Chrome kinyírja a reklámblokkolókat

 ( timi | 2019. január 27., vasárnap - 7:05 )

Google Chrome could soon kill off most ad-blocker extensions
Ad-blocker developers fear their Chrome extensions will be wiped out by proposed changes to Chrome APIs.

"Hill's concerns center on Google's proposal to prevent ad blocking through the webRequest API and restrict blocking capabilities to a new DeclarativeNetRequest API."

"The current webRequest API is useful for ad-blocker extensions because it allows them to "intercept network requests to modify, redirect, or block them."

Google explains that the webRequest API can have a significant effect on all network requests, even those that aren't modified, redirected or blocked by the extension because Chrome needs to pass a request to the extension and wait for the extension to process it before handling it itself.

Assuming Manifest V3 is adopted, the new webRequest API would only allow extensions to observe network requests, but not modify, redirect or block them.

Describing the declarativeNetRequest API, Google notes the API allows extensions to tell Chrome what to do with a given request, rather than have Chrome forward the request to the extension."

"Extensions act on behalf of users, they add capabilities to a 'user agent', and deprecating the blocking ability of the webRequest API will essentially decrease the level of user agency in Chromium, to the benefit of websites, which obviously would be happy to have the last word in what resources their pages can fetch/execute/render," wrote Hill.

"With such a limited declarativeNetRequest API and the deprecation of blocking ability of the webRequest API, I am skeptical 'user agent' will still be a proper category to classify Chromium."

https://www.zdnet.com/article/google-chrome-could-soon-kill-off-most-ad-blocker-extensions/

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem meglepő, beépítettek saját adblockert, ami kb sajátjukon kívül minden reklámot tilt, persze ezt nem így nyiltan, hanem névleg zavaró/nem zavaró felosztásban. Remélem azért lesz ebből is egy pár milliárdos bírság.

Vagy csinál az uBlock egy Chromium forkot. Addig is:
How to disable Google Chrome auto update?

Oh már rég kikapcsoltam: váltottam Firefoxra.

Azon nem kell uBlock? Vagy van jobb alternatíva Firefoxon?

Nálam a követés elleni védelem engedélyezése az összes böngészési munkamenetben igencsak hatékony (Firefox -> Beállítások -> Adatvédelem és biztonság -> Követők blokkolása mindig). Ez kiegészítve a felugró ablakok legszigorúbb tiltásával (about:config-ban dom.popup.allowed_events üresen hagyva) tkp. feleslegessé teszi, hogy kiegészítőt használjak tartalomblokkolásra.

Van uBlock Firefox-ra is, de érdemes elé rakni egy hosts szintű tiltólistát is, sokat könnyít rajta.

Ez annak az API-nak a következő változata, amit a firefox is követ. A host szintű tiltó lista elvileg a 63-as ff óta nem működik alapbeállításokkal: https://ungleich.ch/en-us/cms/blog/2018/08/04/mozillas-new-dns-resolution-is-dangerous/

Hát végső esetben lehet szerkeszteni rendszerszinten az /etc/hosts fájlt is. Az minden böngészőben működni fog, csak egy csomó oldal timeoutokra fog várni, amitől lassú lesz.

Most teszteltem a: FireFox DoH-ja ignorálja a hosts fájlt.

Én éppen most ellenőriztem és működik az /etc/hosts
Firefox és Chrome böngészőkkel is.
Furcsa is lenne ha nem működne, ez ugyanis még a DNS korszak előtti időkből maradt itt és még ma is használják eredetileg lan-on szerverek host vagy ha úgy tetszik domain nevéhez ahol nem akarnak dns szervert erre.

Jelenleg nincs mindenkinél bekapcsolva alapból a dns-over-https csak "szerencsés kiválasztottaknál"

Nálam így néz most ki: https://i.imgur.com/FK5ovG0.png

Van pozitív oldala is: vannak oldalak amik nem működnek rendesen letiltott google adwords/adsense/etc. esetén (pl corvinmozi.hu jegyrendelés) Ezeket így a hostfile módosítgatása nélkül tudom használni firefox-ban.

Általános blokkolásra szerintem nem túl optimális az /etc/hosts fájl. Csak nagyon ordas helyek ellen. Ráadásul Windowson sok vírusölő szoftver nem is engedi módosítani még rendszergazda jogokkal sem.

De szerintem az uBlock Origin teljesen jó úgy ahogy ma működik.
Egyelőre letiltom a frissítést Chrome-ban. Majd meglátom mi lesz. Ha talál valami kerülőutat az uBlock gondolom eltart majd egy ideig. Vagy csinál valaki Chromium forkot. Ha nem lesz megoldás áttérek majd Firefoxra.

> Általános blokkolásra szerintem nem túl optimális az /etc/hosts fájl.

Én tapasztalatom szerint meglepően jól működik és ritkán van, hogy eltör valami dolgot. (corvinmozin kívül most nem is rémlik semmi)
Nem rajongok az ötletért, hogy egy extension minden meglátogatott oldalba beszúrja a saját kis javascript-jét és performancia miatt is előnyösebb. (főleg mobil/laptopnál számít)

Egyedül a youtube-on lévő reklámok szűréséhez használok külön extension-t, de az le van korlátozva a youtube.com domainre.

Még régebben használtam. Akkor az volt a bajom ezzel az eljárással, hogy egy csomó oldal sokáig töltött és várt az elérhetetlen de az oldalba beágyazott reklámokra. Ezek szerint azóta javultak ebben a böngészők.

Van már ilyen Chromium fork Brave. Nem kell semmit telepíteni, alapból van reklám blokkolás, ráadásul nem egy Javascriptes bővítmény hanem a böngésző része C++-ban írva.

„A host szintű tiltó lista elvileg a 63-as ff óta nem működik alapbeállításokkal”

- A Chrome-ban végzett ellenőrzés semmit sem mond a Firefox működéséről.
- A 63-as, és annál újabb Firefox-ban működik.
- Alapbeállítások mellett. Tehát meg tudod változtatni.

Kiegészítés:
Beállítások/Általános/Hálózati beállítások/Beállítások gomb -> HTTPS-en keresztüli DNS engedélyezése

Jogos, pontosítás: jelenleg csak egy kisebb csoporton teszteli a firefox a dns-over-https feature default bekapcsolását.

Ha jól értem a toMpEr által linkelt cikket, akkor a Firefox ki akarja kerülni az /etc/hosts fájlt.

Nincs is ezzel semmi probléma ha ki lehet majd kapcsolni. Az internetszolgáltatók valóban sokszor nem ügyelnek a biztonságra és az átlag usernek fogalma sincs arról hol kellene átállítania rendszerszinten a DNS szerverét valami másra. Náluk tudtuk nélkül iktatja ki ezt a lehetséges támadási irányt a Firefox.
Aki pedig ki tudja kapcsolni ezt a Firefox opciót az valószínűleg be tud állítani magának biztonságos DNS szolgáltatót is.
Probléma akkor lesz ha erőszakosan jár el a Firefox és nem lehet majd kikapcsolni.

Már írtam, hogy az /etc/hosts eredetileg nem DNS címek blokkolására lett kitalálva, hanem pont domain nevek kezelésére még a DNS szerverek előtt. Helyi hálózaton ma is használják. Ráadásul ha kikapcsolhatatlanul cloudflare-t erőszakolna a Firefox, akkor nemcsak az /etc/hosts hanem a céges csak belülről elérhető DNS szerver is lenne lehetetlenítve.

Remélem lesz annyi agyuk, hogy nem követik ezt az API változtatást, ha nem, akkor ez szerintem esélyes lesz egy fork-olásra. A hosts megkerüléséről nem tudtam, nálam továbbra is működik az /etc/hosts szinten a domain-ek tiltása, de meg fogom nézni.

Ok, csak a linkben lévő szöveget olvastam :D Ehhez is kell, plusz facebook és google container.

Nincs itt semmi meglepő, maximum annyi, hogy ez csak ily későn következett be.

Szerintem is.
Reklambol elnek es az O szempontjukbol kezd elvadulni a blokkolo piac. Szoval leptek. Nevleg van blokkolo, valojaban agyhalott.

Az a baj, hogy a háttérben a Google áll, és mindenféle hátsó szándékot lehet sejteni. Hogy jogosan-e vagy sem, az jó kérdés :)

Viszont maga a reklámozás:

Én ugyan blokkolok reklámokat, de nem szigorúan. Annó én is felültem az adblock vonalra, és menőnek éreztem magamat, de valójában nem a reklámok létezése volt a bajom, hanem amivel jártak: Zabálták az erőforrásokat, zavaróak és bosszantóak voltak, mostanában a privacy vonal miatt is aggódni kell erősen.

Azóta viszont rálátásom van tartalom szolgáltatóként is a dolgokra, és látom, hogy nem kivitelezhető az, amit a felhasználó akar: Vakon blokkolni mindent, és elvárni, hogy az oldalak ugyanolyan minőségben, ingyen szolgáltassák a híreket, szórakozást, stb.

A felhasználó viszont ha ingyen akarja a minőségi tartalmat, nem akar fizetni miért is ne viselne el pár reklámot? Minden csak a hozzáálláson múlik. Mindkét fél hozzáállásán. Egyik nem tilt, másik nem él vissza az így kapott bizalommal.

Szemely szerint engem a privacy jobban zavar, ill. inkabb a hianya, mint a reklam, foleg ha az relevans.
Azonban mivel az en nezopontombol a reklam piac es a privacy keresztbe sz@rasa elegge osszeepult, mondhatnam, hogy nem erdekel a masik oldal nyomora, blokkolok minden, amit tudok, biztos ami biztos.
Majd ha azt latom, hogy az en szempontombol is rendezodik a piac es a szabalyozas, lehet tolem onszabalyozas is, vagy barmilyen, visszaterek a blokkolas felulvizsgalatara.
Jelen pillanatban, ha nem akarom a kovetoket meg az osszes marhasagot, elegge korbe kell bastyazzam a bongeszot mindennel. De inkabb ez, mint az eletem kiteregetese.

En nem akarok ingyen semmit. Fizetek mindenert, ami erdekel. De az teny, hogy amit irtal a vegen, igaz. Csak ugye ahhoz az kell, hogy a felhasznalo lassa, hogy torodnek az adataival pozitiv ertelemben es bizzon a szolgaltatas gazdaban. Most nem bizik es ez erosen jelzes erteku.
Az, hogy olyan mertekben hasznaljak ezt a feture-t, hogy kozpontilag ki kell nyirni, elegge magaert beszel. De reszemrol ez csak tuneti kezelese a dolognak es talan a leheto legrosszabb.

Sajnos a reklámok amellett, hogy zavaróak, feleslegesen fogyasztják az erőforrásokat, még biztonsági kockázatot is jelentenek.

Ha a reklam relevans, nem felesleges. Ha rendesen van megirva a keretrendszer, nem eroforras zabalo es biztonsagos. Csak ugye a rendesen resz nem nagyon sikerul. Eleg feloldalas szokott lenni a fejlesztesi iranyelv: nyaljunk be mindent, amit lehet, ahogy lehet, lehetoleg gombokert fejlesztve es kesobb aggodunk miatta - a mondas altalaban.
Onmagaban a reklam semmilyen kockazatot nem jelent.

„A felhasználó viszont ha ingyen akarja a minőségi tartalmat, nem akar fizetni miért is ne viselne el pár reklámot?”

Most megnéztem, a The New York Times hetente €1-ba kerül. De ez valami akció, mert a €2 át van húzva. Ennyit hajlandó lennék fizetni egy minőségi magyar tartalmat szolgáltató előfizetésért. Most abba nem menjünk bele, hogy a Trump-hívek számára a példaként felhozott újság nem minőségi tartalmat szolgáltat.

Elég sokáig volt papír alapú újság előfizetésem. Azért mondtam le, mert úgy gondoltam, hogy ideje digitálisra váltani. Igen ám, de ha elrakom a papír alapú újságot, akkor abban 10 év múlva is megtalálok egy hírt (még ha sokáig is tart). Ezzel szemben Magyarországon nincs olyan tökerős kiadó, akinek elhinném, hogy 10 év múlva is elérhetőek lesznek az online megjelent cikkek.

Például korábban a legnagyobb forgalmú magyar könyvesbolt hálózat az Alexandra volt. Már már csak a halvány nyomai látszanak. Vagy a legnagyobb példányszámban eladott napilap is nyom nélkül eltűnt. Ugyan nem volt a kedvencem, de itt most nem arról van szó. Hanem arról, hogy egy ilyen kis országban egy országos kiadó bármikor tönkremehet. És akkor a digitális tartalmak elérhetősége is megszűnhet. Tehát évek múltán nem tudom visszakeresni az engem érdeklő cikket.

A magyar kiadók a digitalstand-ot preferálják. Viszont az ott alkalmazott formátum miatt semmi garancia arra, hogy X év múlva is el tudom olvasni az adott cikket. Már egyszer meglépték azt, hogy a korábbi kiadványok a mobil alkalmazásból nem, csak böngészőből olvashatóak. A gépre/mobilra csak az egyes oldalak pixeles képei töltődnek le, az olvasás pillanatában. Ha megszűnik a szerver, akkor a tartalom is eltűnik.

Az Amazon stratégiája szimpatikusabb lenne, mert ott az eszközön tárolom az előfizetett újságok számait. Sőt onnan le is menthetem a számítógépre, vagy NAS-ra. Igaz, hogy kódolt, de amíg van egy Kindle-em, addig biztosan el tudom olvasni. Még akkor is, ha közben leállnak a mobil kliens fejlesztésével. Tehát, ha az Amazon csődbe menne, a korábban megvásárolt tartalmakat akkor is elérném.

Tehát fizetnék én, ha lenne minőségi tartalom, megfelelő elérhetőségi garanciák mellett.

"Igen ám, de ha elrakom a papír alapú újságot, akkor abban 10 év múlva is megtalálok egy hírt"

Digitalstand és lemented az oldalakat.

Amikor néztem, akkor ez csak képként volt lehetséges. Abban viszont elég nehéz keresni. Ehhez képest az papír alapú keresés sem lassú.

Vagy már változott, és kereshető módon lementhető?

Nem sajnos nem láttam változást. Viszont OCR szoftverek meglepően hatékonyan használhatóak. Még egy mobil kamerával készített képről is 99%-ban felismernek minden karaktert.

Tettem egy próbát. Mikor megnyítok egy újságot (Belenézek), akkor kicsinyítve megjelenik két oldal, ami ebben a formában olvashatatlan. Ha ezt lementem (nem triviális), akkor a képernyőn látható felbontásban, bitképként fog tárolódni. Tehát nagyítás után is olvashatatlan. Ha belenagyítottam, akkor csak az adott oldal éppen látható részét tudom elmenteni. Így viszont egy oldalt kb. 3 részből kellene összerakni. Mindezt oldalanként, minden lapszámra el kell végezni. Majd ha keresni is akarok benne, akkor még ráengedek egy OCR-t is. Ami egy színes újságnál koránt sem biztos, hogy hozza a 99%-ot.

És akkor ezért még fizessek is? Nem kizárt, hogy létezik erre egy spéci add-on, de oldalanként lementeni egy újságot akkor is macerás.

"Egyik nem tilt, másik nem él vissza az így kapott bizalommal."

Hát ha bizalom még volt is, az végleg elfogyott az elmúlt fél évben.
A magam részéről egészen biztosan marad a reklámblokkolás. Ha pedig a Google túltolja a talicskát majd sokan fognak Firefox-ra váltani. Nekik ez nagy lehetőség lenne.
Minőségi tartalom szerintem már pénzért sincs. Sőt pénzért még kevésbé van. Manipuláció megy minden oldalon. Egyre pofátlanabbul.
Ahol pedig még maradt némi minőség, ott alapból ingyenes és nyílt modell működik. Wikipedia, vagy egyetemi oldalak. Reklámok nélkül.

Eszembe nem jutna adathalászatból élő cég, saját maga által, e szempontok szerint fejlesztett böngészőjét bármilyen gépemre telepíteni... (Ez olyan, mint beinvitálni a tolvajt a saját lakásomba, s megkérni vigyen amit csak tud.) - Ha pedig nem érint, akkor is érint.. :)

https://groups.google.com/a/chromium.org/forum/#!topic/chromium-extensions/veJy9uAwS00

To be clear:

1. This change _IS NOT INTENDED TO GIMP AD BLOCKERS_. Rather, it is designed to make them faster and more secure. (Yes, even despite the limitations that might impact uBlock.)

2. The new proposed content blocking API _is not final_ and can/will be changed.

Franc se tudja, hogy mi lesz ebből, és annyira nem is érdekel, de azért jelen állapotban ez kicsit FUD-nak tűnik.

Én mindenesetre egyelőre letiltom az update-t Chrome-on. Majd meglátjuk mi lesz.

Safari FTW

Olvasgatom a Google, és a Mozilla áradozásait, hogy már megint micsoda egy király (adminsz@pató) dolgot találtak fel (dns-over-https/dns-over-tls).

Kérdésem, (tegyük fel, hogy 2-5 éven belül kötelező lesz, ahogy az lenni szokott) mi a fenét csináljon az egyszeri rendszergazda, aki eddig bind9/views-el oldotta meg, hogy ugyanarra a céges címre, a szerver LAN oldali ip-címét szolgáltatja a helyi DNS resolver, a "nyilvános" helyett?

(Mert ugye a Cloudfare csak a nyilvános ip-re tudja feloldani.)

Tényleg csak az iptables+NAT(ipv4 esetén) játszik, vagy van/lesz kiegészítő erre bin9-re is?

+infó:
KKV-ről beszélünk, a nyilvános ip (szerencsére fix), viszont, a szolgáltató modem-jén van végződtetve, így hiába az iptables+NAT, hogyha az a szaros modem kifagy (2hetente), akkor megáll a munka. (erre volt jó a belső ip.)

Nem ertem a kerdesed. Mi valtozott volna attol, hogy nem UDP-n megy a keres ki a helyi szerverrol? A lokalis DNS tovabbra is a te felugyeleted alatt all. Ha akarod a Google is lehet belso host.

Nem, én arra próbáltam reflektálni, hogy mi lesz azokban az időkben, amikor a böngésző rögvest https-en a cloudfare-hoz fordul, és pont telibesz@rja, hogy milyen névszervert oszt a dhcp.

UPDATE:
Nem csak a böngésző, hanem majd az Android is.
Nem csak a Cloudfare-hez, hanem pl. google a sajátjához.

Ertem. Termeszetesen lehet gond az adatok gyujtesebol, de ha mar google mobilod van, ez a legkisebb gond, ami miatt aggodnod kell. Mindenki visz mindent, amit tud. Amig kenyelmi, vagy biztonsagi funkciokent bekajalja a tomeg, nem tudsz nagyon arral szemben uszni.
A bongeszoknel biztos vagyok benne, hogy megmarad a valasztas szabadsaga, ha mas nem, nem chrome lesz, amit hasznalsz.

A szemelyes velemenyem, hogy inkabb a cloudflare lassa a DNS lekereseimet, mint valami dilettans helyi szolgaltato.

> Mindenki visz mindent, amit tud.

Olyan szepen tudjatok ezt igy altalanossagban kijelenteni.

De ez hogy jon le pl. az Apple eseteben? Milyen adatot es milyen mertekben gyujtenek rolam, a Googlelel es a Microsofttal osszehasonlitva?

Hogy mashogy lehet, amikor eddig nem volt olyan ceg es/vagy alkalmazas - szinte - amirol nem derult volna ki, hogy mindent visz, amit tud? Itt a ceges auditalt appok es a par fonek keszult cel dolgok nem szamitanak. Nekem az, hogy minden honapban van valami siras, eleg jol elorevetiti, hogy a helyzet nem valtozott, valtozik, csak a nevek cserelodnek mindket oldalon.

Csak sajat es ez miatt nem pontos valaszt tudok neked adni a kerdesedre. Az otthoni proxymon nagyjabol 30-30% MS es Google a kigyomlalt forgalombol es elhanyagolhato merteku Apple vonatkozasu kapcsolat. (A tobbi dobott cucc a normal elet resze.) Kovetok, reklamok, es az ezzel kapcsolatos dolgok vannak szurve. Meg par sajat preferencia. Ennel pontosabban nem tudom. Soha nem is erdekelt.

Ezt meg csak erdekessegnek https://www.ted.com/talks/finn_myrstad_how_tech_companies_deceive_you_into_giving_up_your_data_and_privacy

Lehetne akkor inkabb azt mondani ahelyett, hogy "mindenki visz mindent", hogy "a G es az MS visz mindent"?

Termeszetesen lehet.
Bar nalam a FB es hasonlok is beletartoznak ebbe a 'tevekenysegi korbe'.
En meglatasom szerint inkabb udito kivetelek vannak.

Koszi!

Es igen, arra akartam utalni, hogy az Apple ugy nez ki, hogy egy udito kivetel ebben a megfigyelesi es kovetesi lazban.

+1

Mondjuk a Google a profilizasbol el, szoval ott nem lesz valtozas.

MS meg lehet visszatalal a helyes utra, foleg ha opt-in kezelik a dolgokat, ahogy (ha jol emlekszem), az Apple is kezeli (reg telepitettem macOS-t, nem vagyok 100%-ig biztos mi a default a diagnosztikaban; lehet opt-out)...

Direkt nem a "lehallgatás" témakörét érintettem, hanem a "technikai" kérdéskört.
(Nem is érkezett érdemi válasz...)

1) Aki "le akar hallgatni" (akár általános adatgyűjtés), az le is fog.
2) A szolgáltató mindig le fog tudni (és kötelessége is) "hallgatni", pont elég, ha azt logolja, hogy mely ip-címeket(+port) látogattál meg, óóó, olyan gyönyörű profilozást lehet ebből gyártani, hogy csak lesnél. (Átlagosan a meglátogatott oldalak 1%-a jön ugyanarról a szerverről.)

3) Vizsgáljuk már meg a kérdést "globálisan" is:
Örökké megy a sírás, hogy "az a fránya xyzl" ezt-meg-azt profilozik, gyerünk titkosítani!, és ugyanezek sírnak arra is, hogy nehogymá az ŐŐŐ munkavállalójuk nézegessen felnőtt tartalmakat, munkaidőben, munkahelyi hálózatról..
de folytatom: ugyanezek a féleszűek sírnak, hogy az ŐŐŐ gyereküket mindenképpmegvédeni! a felnőtt tartalmaktól az iskolai gépen/hálózaton/tableten... persze közben az oktatás csak ONLINE lehet, zöld táblát a gyerek ne is lásson...
Namost, ezt hogy, ezek után? (squid nem old meg mindent)

(Erre a kérdésre nem kérek választ, inkább kis gondolkodást)

Tipikusan a google az a cég, aki legjobban küzd azért, hogy felnőtt tartalmakat is ő felügyelhesse.
(meg lassan má a bioritmusodat is )

4) Ennek tényleg az lesz a vége, hogy a cégnél a cloudfare, meg az összes ilyen nyilvános dns címe tartományonként drop-ra kerül...

5) UPDATE:
Egyébként majd ha emiatt a szolgáltató lekezd squid-ezni, (TLS SNI only) akkor arra mi lesz a válasz?
(perpill. azt nem lehet kivédeni, sem észrevenni)

> A szolgáltató mindig le fog tudni (és kötelessége is) "hallgatni", pont elég, ha azt logolja, hogy mely ip-címeket(+port) látogattál meg, óóó, olyan gyönyörű profilozást lehet ebből gyártani, hogy csak lesnél. (Átlagosan a meglátogatott oldalak 1%-a jön ugyanarról a szerverről.)

Jelenleg igen, de a cloud szolgáltatók és az encrypted sni elterjedésével ebben a tekintetben elvileg javulni fog a dolog.
Persze ez csak elméleti javulás: valójában egyszerűbb lesz a megfigyelés, mert a elég lesz ezeket a cloud szolgáltatókat bedrótozni + bónuszként módosítási jogot is kapnak az adatfolyamhoz, így egy javascript 0day beinjektálással a kliens géphez is hozzáférhetnek.

> 4) Ennek tényleg az lesz a vége, hogy a cégnél a cloudfare, meg az összes ilyen nyilvános dns címe tartományonként drop-ra kerül...

Ezzel az lesz a baj, hogy ip alapján valószínű az más cloudflare-es szolgáltatásokat is tiltasz, mert ugyanarról a címről több dolog is kiszolgálásra kerül.

Esetleg megoldás lehet, hogy az ns-ben "cloudflare-dns.com" (és társaira) adsz vissza nem létező értéket (pl. 127.0.0.1), így a böngésző/os fallback-el a rendes névszerverre. Persze lehet, hogy idővel az kiszolgálók ip-je be lesz égetve a forráskódba. (ha jelenleg még nincs)

> Ezzel az lesz a baj, hogy ip alapján valószínű az más cloudflare-es szolgáltatásokat is tiltasz, mert ugyanarról a címről több dolog is kiszolgálásra kerül.

Igen, tudom, ez egy örök "rókafogta csuka", nem is áll szándékomban mindenkit kizavarni, de azért megnézném ezen cégek orcáját, ha akár csak 1 napra, legalább egy Európányi ember tenné őket büntibe, csak 1 napra...
Meg figyeld meg, ha majd sokan drótozzák bele az iptables-ükbe az 1.1.1.1-et, akkor majd naponta fognak új ip-címet kitalálni.

> Encrypted SNI
erről még nem is hallottam, ezidáig..

F@sza, de tényleg, a szegény iskolai adminokat törvény kötelezi, hogy foggal-körömmel védjék a gyerekeket, eközben ezek a szolgáltatók mindent elkövetnek, hogy kicsavarják az összes eszközt a rendszergazdák kezéből...

Extra kérdés:
Nálunk a cégnél (meg gondolom kb mindenhol) van olyan belső, https oldal, (még cert is lett hozzá vásárolva) ami nem elérhető a netről, azt is cloudfare-sek akarják majd végződtetni?

> elég lesz ezeket a cloud szolgáltatókat bedrótozni
Érdemes elolvasni a cloudfare kínához szóló kampányát...

En ezt egy beszelgetesnek vettem, nem technikai vitanak, szoval elnezest kerek a valaszert. Szamomra nem szetvalaszthato a lehallgatas es az azt kivitelezo eszkoz, mert hogy altalaban osszefuggenek.

DNS over HTTPS: Megfogod a forgalmat egy MIM proxyval es egy sajat megbizhato tanusitvannyal ujra titkositod. Marmint a helyi cert store-hoz ugy van hozzaadva, mint megbizhato. Innentol ha szerencsed van es a kliens nem ellenorzi az impersonating attack-ot, siman megy. Ha ellenorzi, kidobod, vagy ha nagyon kell, korbelovod egyeb eszkozokkel, hogy csak azzal a szerverrel tudjon kommunikalni, ami szamodra elfogadhato. Ha nem nezi az impersonating-ot, ott vagy mint egyebkent, van egy kibontott forgalmad, amivel azt teszel, amit akarsz.

A tobbi kerdesed legalabb olyan altalanos, mint az en valaszom volt fentebb, szoval nem technikai.

A TLS SNI proxy nem csinal teljes forgalom decryptalast es encryptalast csak a ClientHello-ig megy el es azon alapulva lovi tovabb a forgalmat, ahol ez ismet lezajlik, de mar a tegyleges host-tal es hozza tartozo cert/key-el. Azon kivul, hogy metaadatot gyujtenek rolad, amit amugy is meg lehet tenni, mi vele a gond?

Kerdes ketto: mi a gond szamodra a CloudFlare-rel es az open dns szolgaltatokkal, hogy tiltolistan vannak?

Ha az ember havonta egy fél hamburgerrel kevesebbet eszik, és az árából vesz egy pici VPS-t, akkor minden telepítés nélkül SSH-n keresztül lehet SOCKS proxy-t indítani:

- az állandó TCP kapcsolat + a szervertermi route-olás miatt minden "olyan pattogós lesz"
- a web és a dns forgalom is az SSH csatornán keresztül a VPS-ből látszik kijönni
- sokkal többet ér, mint a fél hamburger

Ne értsd félre, nem a válaszoddal van bajom, csak azt szeretném elkerülni, hogy most egy vita kerekedjen abból, hogy kinek mit-és-mennyit jelent a "lehallgatás", mert az nagyon elvinné a témát, ezért is rugózom annyit ezen az "iskola" példán, mert oda egy viszonylag tiszta helyzetet teremt a törvény.

Értem én a dns-over-https lényegét, csak a mentalitást, (ha már így belemegyünk) hogy "védjük meg a felhasználót akár saját magától is" ruhellem, mert ez vezet az életképtelen társadalomhoz.

Azt is tudom, hogy telepített cert-tel akármilyen mitm-et el lehet intézni, de azt valahol azért én is pofátlanságnak tartom, mert akkor bárki rámfoghatja, hogy lehallgatom, sima SNI-nél ezt azért meg tudom védeni.
Meg egyébként valahol pont a HSTS hivatott kivédeni a telepített cert-es mitm-et.

Meg ha már az iskolánál tartunk, hogy nézne ki, hogy jön a gyerek, és az admin meg telepítse a cert-eket, a mitm-hez.
(meg nem vagyok benne biztos, hogy ez pl. Android-os készülékeken (pl tablet) működik-e, mert windows/linux, az oké.)

"A bongeszoknel biztos vagyok benne, hogy megmarad a valasztas szabadsaga, ha mas nem, nem chrome lesz, amit hasznalsz."

Khömm...
Egyrészt mi van, ha a mozilla is kicseréli a firefox alatt a motort chromiumra?
Vagy csak kidobja a "normális" névfeloldást, mint a classic preferences oldalt, vagy a régi extension api-t, vagy...

Forkoltak mar kevesebbert is komplett Linux disztrot. :)

Azt értem én, de egy 37 millió kódsoros* sw karbantartása "kicsit" munkaigényesebb, mint egy Hannah Montana Linuxé. Persze ne legyen igazam, de ha jól emlékszem akkor se forkoltak Firefoxot, amikor egy csomó extension elkezdett nem működni egy frissítés után. Pedig akkor volt nagy sivalkodás...

* - google első találat, ha hülyeséget írtam kérlek jelezd!

feliratkozom