Názory k článku Centralizované DoH škodí ochraně soukromí, v roce 2019 i do budoucna

Napísal som príspevok nižšie - keď už, má sa to zaviesť na úrovni OS a nie každá aplikácia zvlášť.
Okrem toho, prínosy, ktoré spomínate, boli v článku imho celkom presvedčivo spochybnené.

Než se to dostane do OS, bude to na dlouho. Navíc to přirovnání k certifikátům je mylné – když různé programy používají různá úložiště certifikátů, musíte důvěryhodný certifikát nahrávat na víc míst. DoH by mělo fungovat bez zásahu uživatele.

Článek řešil jen jednotlivé uživatele, to skrytí se v mase, což je podle mne nejpádnější argument pro, vůbec neřeší – nebo jsem to přehlédl. Článek jako hlavní argument pro zavedení DoH vidí ochranu soukromí v demokratických zemích, což následně rozcupuje – ale já tohle nepovažuju vůbec za smysluplný důvod pro zavedení DoH, takže pro mne je článek dost slaměný panák. A že autor varuje před sledováním ze strany provozovatele DoH, třeba Cloudflare? Když to řeknu kulantně, radši bych se zaměřil na existující problémy.

Lenze DoH si nabastlila Mozilla do Firefoxu, kde funguje bez ohladu na zvysok systemu. To iste zrejme urobi za chvilu Chrome/ioum a zrejme dalsie programy. Cize kazdy jeden program bude mat vlastny DNS resolver (mozno sa to castom standardizuje do nejakej kniznice (nieco ako OpenSSL), ale aj ked - kazdy z tych programov sa moze obracat na ineho providera). Neviem ako Vy, ale ja osobne toto povazujem za uplne uchylne, pretoze zanedlho si bude kazdy jeden program tahat so sebou aj IP stack (pre istotu ;-)) a cojaviem co este...
Co sa tyka toho udajneho prinosu - ak som zaujmova osoba v nedemokratickej krajine, nebude problem si cez ISP odchytit metadata mojho traficu a stacia mi IP adresy na to, aby bolo jasne ktore stranky som navstivil (navyse, ako bolo v clanku spravne spomenute, v pripade DNS vidim len, ze stranku navstivil niekto na podsieti, kdezto pri DoH to viem sparovat s konretnym strojom, resp. s inymi jeho dotazmi).
Co sa tyka podvrhnutia DNS, na to existuju IMHO lepsie mechanizmy, takze aby som to zhrnul - za jedinu spolahlivu ochranu pred sledovanim povazujem VPN (cez spolahliveho providera). DoH je v tomto smere uplne zbytocne, ak nie skor kontraproduktivne.

Pokud jste zájmová osoba v nedemokratické zemi, asi budete muset dělat víc opatření, např. používat VPN. Ale nemusíte být hned exponovaný disident, můžete být někde mezi – a nepotřebujete na sebe hned upozorňovat. V ČSSR někdo třeba vybočoval jen tím, že poslouchal Hlas Ameriky nebo Svobodnou Evropu. Nebylo to na to, aby ho režim nějak sledoval, na druhou stranu to dotyčný nevytruboval do světa.

navyse, ako bolo v clanku spravne spomenute, v pripade DNS vidim len, ze stranku navstivil niekto na podsieti, kdezto pri DoH to viem sparovat s konretnym strojom, resp. s inymi jeho dotazmi
Jenže je podstatný rozdíl, kdo to dokáže spárovat. Jestli čínská vláda nebo Cloudflare. Navíc to není vlastností DoH, ale toho, že je implementováno přímo v prohlížeči a ne na síťovém resolveru. Což není chyba prohlížečů ale těch resolverů.

za jedinu spolahlivu ochranu pred sledovanim povazujem VPN
To je bohužel inženýrský pohled na svět, který se zabývá jen technikou, ale nebere v úvahu reálný svět. Pokud se chce někdo v nedemokratickém státě podívat na něco zakázaného (ani ne politického, stačí třeba „západní seriál“), asi na sebe úplně nechce upozorňovat používáním VPN.

vycnievat z radu budete uz len tak, ze sa Vasa IP-cka objavi ako zdrojova IP-cka, ktora oslovila IP-cku servera s nepohodlnym obsahom. Pre krajiny, ktore maju konektivitu s okolnym svetom pod kontrolou, je odfiltrovanie takehoto traficu uplne trivialna uloha a ziadne DoH Vas pred tym zial neskryje...

dizzy: Například Google, Amazon, Azure? To pak budou „vyčnívat“ všichni… Navíc když chcete klasifikovat obsah jako nepohodlný, musíte ho nejdříve znát. Z IP adresy nezjistíte nic, DNS název už se dá zkoumat, „závadné“ názvy předhodit robotovi, ať stáhne a automaticky posoudí obsah, když bude podezřelý, posoudí to člověk. A pak teprve můžete sledovat přístupy k tomu obsahu a může začít někdo vyčnívat. Ale když nemáte ten DNS název…

citujem z clanku:
"Konečně bylo zjištěno, že více než 95 % webových stránek lze jednoznačně identifikovat pomocí pouhé sady IP adres, na nichž jsou hostovány, a tyto IP adresy také nelze zašifrovat."

Takze zial nemte pravdu - stacia IP adresy. A keby aj nie, inde v clanku je tiez spominane, ze hostname sa da zistit z SSL handshake (bez nutnosti desifrovat). Neviem - mozno si vymyslaju, ale ak nie, je cele DoH dost zbytocne...

18. 11. 2019, 09:53 editováno autorem komentáře

> Navíc to přirovnání k certifikátům je mylné – když různé programy používají různá úložiště certifikátů, musíte důvěryhodný certifikát nahrávat na víc míst. DoH by mělo fungovat bez zásahu uživatele.

Zatímco když mám svoje DNS nastavené podle sebe, musím DNS over HTTPS řešit... no, centrálně to nebude :)

Když máte DNS nastavené podle sebe aspoň trochu rozumně, prohlížeč to zjistí a DoH používat nebude. Zároveň když máte DNS nastavené podle sebe, je to proti původnímu principu DNS – je to jeden globální strom a nemá na něm být nic jinak v závislosti na tom, zda se díváte od sebe nebo od souseda.

"Když máte DNS nastavené podle sebe aspoň trochu rozumně, prohlížeč to zjistí a DoH používat nebude. Zároveň když máte DNS nastavené podle sebe, je to proti původnímu principu DNS – je to jeden globální strom a nemá na něm být nic jinak v závislosti na tom, zda se díváte od sebe nebo od souseda."
1) co to je "rozumně" a proč, při rozumném nastavení ho nepoužije? Nastavení DNS v typickém klientovi je přes DHCP, co na tom rozpozná prohlížeč jako rozumné nebo nerozumné? Když máte zapnuté DoH, tak se použije a hotovo.
2) nastavené podle sebe proti principu DNS: no jasně, a proto všechna interní jména budeme inzerovat do internetu (není důvod) a to včetně neveřejných (lokálních) adres (to je už přímo nevhodné). Normálně se to vyřeší pomocí split horizon DNS nebo neveřejné domény, ale DoH to lidem znefunkční. Ve firmě to ještě můžete napravit přes GPO, aspoň u počítačů v doméně, ale u těch, co v doméně nejsou?
Zapnutí DoH považuji za špatný nápad z technických důvodů, a že by to pomohlo v nesvobodných zemích, tím si nejsem moc jistý.

Kancelář k uvádění románových příběhů na pravou míru k tomu uvádí:

O tom, zda prohlížeč použije DoH, rozhoduje několik podmínek. Přečtěte si například Firefox začíná postupně zapínat DNS-over-HTTPS, umí ho i vypnout

Internet je globální síť umožňující komunikaci každého s každým. Pokud máte interní jména a lokální adresy, nemáte internet, ale intranet. V intranetu si dělejte, co chcete, ale nechtějte po ostatních, aby upravovali programy tak, aby fungovaly zrovna ve vašem intranetu.

DNS názvy se nikam neinzerují. DNS funguje opačně – na DNS název se zeptáte a server vám odpoví.

Split horizon DNS a neveřejné domény jsou zlo – tohle je ten problém, ne to, co s nimi nefunguje. I přesto si s nimi prohlížeče s implementovaným DoH poradí.

Pokud je nějaká síť rozbitá ještě jiným způsobem, než jaký předpokládali autoři prohlížečů, může s tím mít prohlížeč problém. Pokud pak síť ani nebude signalizovat, že se DoH nemá používat, bude mít problém i uživatel. Nicméně snažil bych se spíš opravovat ty rozbité sítě než se snažit o to, aby programy fungovaly v libovolně rozbité síti.

"Split horizon DNS a neveřejné domény jsou zlo – tohle je ten problém, ne to, co s nimi nefunguje. I přesto si s nimi prohlížeče s implementovaným DoH poradí."
S neveřejnými doménami souhlas, ale i ty jsou poměrně běžnou realitou. Split horizon DNS je v pořádku: jak chcete používat interní servery s neveřejnými adresami (protože máme NAT), mít pro služby vystavené správné certifikáty (třeba mail.firma.cz) a přitom nespoléhat jen na hairpin-NAT a taky nemuset všechny služby mít přístupné z venku?
Přístup přes VPN je další moment.
V reálném světě se vám prolíná, co je uvnitř, co je (také) venku, co je na veřejných nebo privátních adresách. Jen ty privátní adresy nemají (nesmí?, neměly by?) být ve veřejném DNS. Vystavíte do internetu DNS s Active Directory?
Chcete spoléhat na to, že Mozilla a současně Google to správně vyhodnotí a DoH vypne? I v každé další aktualizaci? Třeba když se ukáže, že kanárková doména DoH likviduje všude tam, kde by DoH dávalo smysl (hádejte, co udělá ROSKONADZOR v nejbližší době, pokud to už neudělal)?
Ten krok je nesystémový a proto špatný. Prohlížeč dělá něco, co mu nepřísluší. A uživatel si to může zapnout (přepsat tu detekci), takže zdroj problémů pro správce, který lze jen obtížně ovlivnit. A to pro každý prohlížeč jinak.

Záleží na tom, zda se bavíme o tom,jak je to správně a k čemu chceme směřovat, nebo jestli se bavíme o workaroundech pro současný rozbitý stav. Každopádně si myslím, že bychom měli věci spíš spravovat a směřovat k tomu správnému stavu, než přidávat další a další workaroundy, které síť víc a víc rozbíjejí.

Správný stav je takový, že máte jen veřejné DNS a jen veřejné IP adresy. To neznamená, že musí být z internetu dosažitelné, ale jsou globálně unikátní. Pak není žádný problém, funguje vystavování certifikátů, DoH a vše ostatní.

Píšete o interních službách na privátních IP adresách. Ale opravdu dneska musíte interní služby provozovat na IPv4? Nemůžete mít alespoň v interní síti plně funkční IPv6 a interní služby provozovat na něm?

Ale i když ty interní služby musíte z nějakého důvodu ještě provozovat na IPv4 privátních adresách. Tímhle krokem porušujete ten nejzákladnější princip internetu, je to workaround, spíš ošklivý hack – a jakmile začnete používat ošklivé hacky, vezete se v tom a musíte hackovat dál a dál. Vystavit privátní IPv4 adresy do veřejného DNS v takovém případě považuju za nejmenší zlo. Ano, děláte věc, o které RFC říká, že by se dělat neměla, ale je to v tomto případě nejméně špatný způsob, jak řešit nedostatek IPv4 adres. Porušujete tím RFC jenom pro svou vlastní síť, protože venku ty adresy nikoho nezajímají, takže nemá důvod je překládat. Jediné, kdy se s tím může potkat někdo z venku a co vám může způsobit problém, když používáte externí DNS resolver, který odpovědi s privátními IPv4 adresami zahazuje (srdečné pozdravy pro ODVR CZ.NICu).

No a pokud se přesto rozhodnete tenhle problém řešit pomocí split horizon DNS, pořád to bude fungovat – jak je napsáno v článku, který jsem odkazoval, má na to prohlížeč dokonce dvě řešení. Za prvé, ve firemních sítích (kde je konfigurace prohlížeče řízena firemní politikou), bude DoH ve výchozím stavu vypnuté. Navíc prohlížeč split horizon DNS detekuje, a pokud zjistí, že se v místní síti používá, nebude DoH používat (nevím, zda se vypne kompletně, nebo zda se nebude používat jen pro místní domény).

A mimochodem, split horizon DNS není v pořádku – je to hack, kterým se řeší používání privátních IP adres ve veřejné síti, což je zase hack na nedostatek IPv4 adres.

Na DoH nic nesystémového nevidím. Klientská část DNS se přesouvá stále blíž a blíž k uživateli, přičemž ale nikdy nebylo řečeno, že se má DNS řešit kdesi daleko – byl to jen zvyk. Takže kvůli DNSSEC už se přesunulo z firemního DNS resolveru nebo dokonce resolveru ISP na koncový počítač, teď se posouvá dokonce až do aplikace. Já bych tedy také raději viděl, kdyby to řešil systém – ale kde jsou ty implementace DoH v systémových resolverech? Tohle je jednoznačně chyba operačních systémů. Prohlížeče jsou pružné, dokážou zavést novou technologii v řádu měsíců. Když operační systém není schopen příslušnou službu poskytnout, nemůžeme se divit, že se obchází.

Předpokládám, že ve firemním prostředí (kde se konfigurace prohlížeče řídí firemní politikou) si uživatel nastavení DoH nebude moci změnit.

"Správný stav je takový, že máte jen veřejné DNS a jen veřejné IP adresy. To neznamená, že musí být z internetu dosažitelné, ale jsou globálně unikátní. Pak není žádný problém, funguje vystavování certifikátů, DoH a vše ostatní."
Tolik teorie.
Skutečnost:
IPv4 dostanu 1 veřejnou adresu a dost.
IPv6 možná dostanu (nebo taky ne), ale bude mi to na houby, protože to bude nepřístupné třeba ze všech našich mobilních sítí a lidi, kteří by chtěli pracovat z domova možná taky narazí, protože IPv6 nemají nebo si ho rozbili třeba dalším routerem.
Tohle je realita drtivé většiny sítí menších firem i domácností, včetně toho, že je krajně nejisté, že najdou někoho, kdo jim třeba GPO pro Firefox spustí (pokud mají AD).
A není pravda, že se resolver přibližuje aplikaci: pořád je resolver něco, co je dáno DHCP a dávat resolver na každý počítač je zase cesta do pekla: někde se podělá, všem všechno funguje a někomu nic nejede, protože jeho osobní resolver má problém. Spravuju v síti JEDEN resolver (no dobře, ve větší síti dva), ale ne padesát!

Jak hacknout to, že je nedostatek veřejných IPv4 adres, jsem psal. Ovšem když už je potřeba něco hackovat, snažil bych se napáchat co nejmíň škod. Neberu to tak, že nedostatek veřejných IPv4 adres znamená, že je povoleno vše.

Doporučil bych méně se soustředit na to, že musíte všechno negovat, a víc se soustředit na to, zda ještě dává smysl to, co píšete. Psal jsem o použití IPv6 ve vnitřní síti. Vy máte vnitřní síť dostupnou z mobilních sítí operátorů?

Nepsal jsem, kde se určuje, který DNS resolver se má použít, ale kde je umístěn. Dříve bylo obvyklé, že se používal přímo resolver ISP. Pak se ve firemních sítích začal používat interní DNS resolver té sítě. A dnes už se kvůli DNSSEC resolver přesouvá přímo na koncový počítač.

Že chtějí mít správci sítě přehled o veškerém provozu v síti je sice do jisté míry pochopitelné. Ale ona ta původní myšlenka internetu jako docela hloupé sítě, která se nestará o obsah a jenom přenáší pakety sem a tam, byla docela chytrá a funkční. A ukazuje se, že pokusy o centralizaci nemají moc dlouhou životnost. Takže se správci sítí holt budou muset smířit s tím, že jejich síť jen přenáší pakety, o kterých nic nevědí, a případnou inspekci provozu musejí dělat až na koncových zařízeních. Protože jenom na nich vidí nešifrovaná data a znají jejich význam.

Kedy ta povodna myslienka internetu ako siete, ktora sa nestara o obsah bola chytra a funkcna a pokusy o centralizaciu nemali dlhu zivotnost?
Toto platilo tak max. v uplnych zaciatkoch, kedy by som to nenazival internetom. Potom sa prislo na to, ze decentralizacia pri vecsom objeme dat(sluzieb, pouzivatelov,...) roztrusenom kade-tade nefunguje. Malo to aj dalsie nevyhody.
Internet od kedy je naozaj interentom je centralizovany. Centralziacia je/bola nevyhnutna. Problem dneska je, ze je az prilis centralizovany a zalozeny(finan­covany) na zbere dat o uzivateloch. Takz ano spravcovia sieti maju s prichodom sifrovania problem ale tam sa pouzivaju ine paky na kotrolu a pre tych uplne hore nemaju problem, lebo staci donutit tie centralne body aby im data o uzivateloch poskytovali, ktore tak, ci tak maju, lebo z nich ziju.

Ještě před dvaceti lety internet centralizovaný nebyl. Každé zařízení mělo svou veřejnou IP adresu a zařízení spolu komunikovala přímo, nebyla snaha v lokální síti veškerou komunikaci kontrolovat a povolit jen jeden protokol. Decentralizace naopak funguje perfektně, s větším objemem dat naopak selhává centralizace, protože ty centrální prvky holt nestíhají. Řeč byla o místních sítích, správce vaší firemní sítě snad data o uživatelích nesbírá a nezpeněžuje je.

Tak zrovna tohle chodí od zdi ke zdi.
0. Počítače jako ENIAC, SAPO1,... - nebylo je s kým nebo čím spojovat, decentralizace a každý na svým písečku.
1. Mainframy a terminály. Všechno se dělo na jednom stroji a s uživateli na modemech.
2. Éra domácích strojů a BBS, lidi se připojovali po telefonu navzájem a každý měl svou kopii dat, který si aktualizoval.
3. Doba webová, kdy se všechno házelo na web servery a kdo chtěl, dostal se k centrální kopii dat na serveru, kterou měl max. v cache. Zlatý to věk bloggerů.
4. Věk torrentový, kdy byli sice lidi zvyklí hledat informace na netu, ale multimedia jenom ve Flashi a ještě s pomalým připojením, takže se sdílelo pomocí torrentů a zase se synchronizovaly kopie dat na domácích strojích.
5. Přítomnost čmoudová, kdy se díky nedostatku IPv4 adres, nadbytku NATů a nezanlosti uživatelů nedá efektivně mít data přímo doma a všechno musí ležet někde mimo barák.

A dost možná přijde budoucnost s IPv6, kdy díky zvyšování cen, vnucování nesmyslných pravidel a bezpečnostním průšvihům (snad) nebudeme muset kvůli každýmu pšouku lítat na online služby někde na centrále... Dokud zase někdo nepostaví velký CML....

Psaná elektronická komunikace taky - e-mail (decentralizovaný), Jabber/ICQ (centralizovaný), ICQ (před M$) - decentralizovaný, FB/Snapchat/ICQ v Ažůru (centralizovaný)...

A co videa? Televize (centralizovaný), VHS (decentralizovaný - záznam u každýho doma), první DVD (centralizováno v půjčovnách), torrent (zase měl každý kopii), VoD (centralizováno u provozovatele),...

Každopádně nevěřím ani tomu, že současný stav je nejlepší, ani že je neměnný.

> Pokud máte interní jména a lokální adresy, nemáte internet, ale intranet. V intranetu si dělejte, co chcete, ale nechtějte po ostatních, aby upravovali programy tak, aby fungovaly zrovna ve vašem intranetu.

Ono by stačilo, aby se programy nesnažily intranet aktivně rozbíjet :) Nakonec i sám firefox přiznává, že existují případy, kdy DNS over HTTPS nedává smysl - firemní prostředí, rodičovská kontrola [1]...

Jo, jakým způsobem firefox rozhoduje, jestli se má DNS over HTTPS nepoužít? Podle domény use-application-dns.net? Takže síť, která bude chtít odposlouchávat DNS to vyřeší dost jednoduše. Nehledě na to, že Opravdu Zlá Vláda <tm> problém sledování vyřeší prostě kriminalizací použití DNS over HTTPS...

[1]: dovolím si reagovat ještě o úroveň výš:
> Zároveň když máte DNS nastavené podle sebe, je to proti původnímu principu DNS – je to jeden globální strom a nemá na něm být nic jinak v závislosti na tom, zda se díváte od sebe nebo od souseda.
Existuje dost důvodů, proč by z mého počítače neměly být nějaké domény dosažitelné: blokování sračkodomén (redakce doufám promine), rodičovská kontrola (firemní filtr), případně naopak dosažitelné: pc-obyvak na 192.168.0.102. Zkrátka žijeme v reálném světě...

"Než se to dostane do OS, bude to na dlouho."

Podmínkou toho, aby se něco dostalo do rozumnýho systému, je
1) Standardizace nebo nezbytnost najít řešení za každou cenu
2) Přínosnost té námahy.

DoH minimáně ve 2. bodu selhalo. Takže doufám, že nebude.

No a co se řešení "každý svůj píseček" je přesně vidět na Widlích a aktualizacích aplikací. Protože widlouni neznají repozitáře, řeší každej z nich update po vlastní ose. Někdo vůbec, další si pingne na svůj web při startu programu a informuje uživatele, třetí si rovnou spustí proces s kontrolou na pozadí,... Myslíš, že každý autor SW má zkušenost s tím, jak to udělat, aby cestou někdo nepodvrhl informaci, že je někde na nějakým úplně cizím serveru nová verze binárky? A myslíš, že je super, když jenom kvůli tomu třeba textový editor musí mít na aplikačním FW povolen přístup na net?

Buďto ať přesvědčí lidi okolo DNS, že to má smysl a že to mají přidat do knihoven (to se těm mimoňům nepodaří, pokud lidi od DNS nejsou blbější než oni), nebo ať sami pošlou patch s vysvětlením, jaký je přínos, nebo ať to nes..ou ani do svýho SW. Kdyby místo chvostovin jako krmení certifikačních autorit, DoH apod. převzali standardy jako DANE, udělají líp.

Ale snad to dopadne jako s tím slavným SocialAPI u FF...