Vlákno názorů k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS od Seesa - Pár poznámek: 1. Nelíbí se mi jak prohlížeče přebírají...
-
Seesa (neregistrovaný)
Pár poznámek:
1. Nelíbí se mi jak prohlížeče přebírají stále více funkcí OS. Celý OS má být jen bootloader pro Chrome/Firefox/cokoli? Jaký to má smysl?
2. Tak jako prohlížeč teď obsahuje seznam důvěryhodných certifikátů (kterým Já nedůvěřuji ale při každé aktualuzaci se mi nacpou z5), bude teď obsahovat seznam důvěryhodných DNS?
3. Argumenrace proti NAT/PAT je jak v kruhu - něco jako: Vchodem do jeskyní foukalo, tak jsme vymysleli dveře. Potom někdo přišel na to, že když dveře zamkne, nedostanou se dovnitř zloději. Teď ale máme tepelné clony a vchody jsou od toho aby se jimi vcházelo, tak všechny dveře zrušíme a zloděje budem řešit správně proškolenou ostrahou v každém vchodu..
4. V každé firmě je několik systémů, které slouží pouze pro vnitropodnikové potřeby. Vystavováním jakýchkoli informací o těchto systémech mimo firmu znamená vytvoření potenciálního postranního kanálu pro dosud neznámé vektory útoku na interní systémy.. Proč? -
Proc tihle zastanci IPv6 pusobi jako zastanci zniceni soukromi? Co takhle zdrojova adresa a dohledatelnost skrz ni? Ne vsechno jde vyresit stateless firewallem. A zdaleka ne kazdy ma povinnost logovat spojeni na sve NATovaci GW (zdravim czfreecka, ktera se ochrany soukromi svych clenu jeste nevzdala), takze ospravedlneni logovanim v ramci “stejne si te dohledaji” neni validni argument.
-
Filip JirsákStříbrný podporovatelIPv6 nezakládá povinnost přidělovat koncovým uživatelům statické IP adresy ani nezakazuje hnát provoz přes proxy nebo přes NAT. Pokud uživatelé takové nesmysly budou chtít, třeba protože budou věřit tomu, že to ochrání jejich soukromí, může ISP klidně měnit IP adresu v jednom paketu třeba čtyřikrát, přidělovat uživateli každou půlhodinu jinou IP adresu, v serverovně rozprašovat ocet a veškerý provoz hnát přes homeopatický krystal. „NAT jako ochrana soukromí“, to je nové „NAT jako firewall“?
-
Filip JirsákStříbrný podporovatel
Dobře, napíšu to stručně: váš předpoklad, že NAT nějak přispívá k ochraně soukromí uživatele, je mylný. Existuje mnoho způsobů, jak identifikovat konkrétní zařízení i uživatele za NATem. Nevím, co bych měl na měnění IP adresy každou půl hodinu vydržet – samozřejmě by se měnila automaticky a já jako uživatel bych nic nepoznal. Dokonce speciálně pro paranoidní uživatele, kterým vadí mít statickou IPv6 adresu, existují SLAAC privacy extensions. EUID64 není IPv6 adresa.
Navrhnout lepší řešení můžu, ale nejdřív to bude chtít, abyste vy popsal problém. Bez problému není řešení.
