Vlákno názorů k článku DNS over HTTPS: nový standard pro bezpečné a soukromé DNS od Pavel Snajdr - Aha, takze zase znova, stejne jako v RFC...
-
Aha, takze zase znova, stejne jako v RFC samotnem, tady v tom clanku, jako ve vsech clancich - slabe, az zadne ospravedlneni, proc je DNS over TLS nedostacujici a *potrebujeme* to hnat pres HTTPS a zaroven *je to dobry napad*. Presne nula vysvetleni, krome "Mozilla to chce a spouste lidem to prijde jako dobry napad". Ale vsechny vedlejsi efekty, co to bude mit na cely Internet, kdyz jedna sluzba resolvuje jinak, nez *VSECHNY* ostatni...
No proste akorat pekne protazena demonstrace demence lidi od browseru, kteri aktualne diktuji "otevrene" standardy, co na to mam rict. Jak jsem se rozciloval a rozcilovat budu, proces muze byt stokrat verejny, kdyz je debata od zakladu spatne - jenze to je potom diskuze na urovni "twl necpete ty tekuty dinosaury do tech vsech veci, nespalujte je jenom kvuli presunu o par kilometru vedle" - ale kterej blbec by tuhle radu poslouchal, realny dusledky nasledku jsou jeste daleko, na co bychom se zabejvali uz dneska takovou podradnou otazkou, jestli je to *od zakladu* vubec dobry napad.
No co. Potom bude stacit zariznout tcp 443 a beznemu Blbounovi Frantovi Ubrecencovi prestane jit pro nej jeho cely znamy Internet. Pritom mu panove ale stacilo bloknout Facebook a vubec nebylo potreba takhle prevadet DNS nekam jinam.
Na anonymitu reseni *MAME*. A ano, je to DNS over TLS.
Jeste jsem nevidel jeden legitimni argument, proc zabalit legitimni normalne prenositelny provoz do HYPERTEXT transfer protocolu. HYPERTEXT, proboha. To uplne zni jako Name Services, ano, dava smysl...
Kdyz je Internet rozbity a nikdo se jakoze nedostane nikam (port bla bla byva blokovan), nemeli by soudruzi resit radeji to, jakozto pricinu, nez to vsechno presouvat na jeden *jeste snaze* zablokovatelny port, uplne slepe a k smichu, aniz by to vubec kdy melo potencial vyresit ten puvodni problem?
Mne asi praskne prava koule... (z tech dvou kristalovych v zasobe, samozrejme, bo tak moc silne predikuju, ze je to totalni ptakovina, co posle Internet jeste rychlejsi zkratkou do spiraly irelevantnosti, co se vyvoje civilizace tyce, protoze se vyvoj jaksi zastavuje a nastupuje jenom tezka komerce a triskani penez, coz je fakt tezko vyvoj a posun nekam, kdyz se misto odstraneni vohejbaku soustredime na lepsi rovnak...).
-
jouda (neregistrovaný)
Tak mozna myslenka zabezpeceni dotazu je uslechtila, ale uz si dokazu zive predstavit praxi:
- Vsechny Androidy tam budou mit prednastaveny jeden konkretni (napodobne pro jine platformy)
- Typicky BFU si to nikdy v zivote nezmeni
- I kdyby se typicky BFU proti vuli Googlu vzeprel a v tom dotazu kterej tam pri vytvareni uctu je jestli GDPR souhlasi s synchronizaci dal ne, tak stejne jeho historie browseni v podobe DNS ober TLS/HTTPS potece dal k Velkemu Bratrovi
- Pro tech par zlomku procenta uzivatelu, kteri vedi ze si maji zvolit jineho DNS poskytovatele jestli se chtej zbavit smirovani stejne uz ted pouzivaj napr. always on VPN a pro ne to nepredsavuje zadnou zmenuZaverem nevim jestli vic neduverovat providerovi, ktery samozrejme ze zakona loguje taky, ale aspon se obvykle nezivi prodejem soukromi, nebo jednomu z nekolika globalnich hracu, ze kterych nejmene u jednoho je vseobecne smirovani zakladnim business modelem.
-
j (neregistrovaný)
Uz tu par desitek let mame ... voiala ... ipsec, takze netreba ani vymejslet kokotiny na tema kazdej protokol budem sifrovat zvlast, kazdej jinak, a nejlip, jeste kazdou cast jinak. Viz trebas narovnavak na vohejbak na tema nesifrovany hlavicky https ...
Jenze vis, to by misto sracek musel nekdo neco realne delat ... https://bugzilla.mozilla.org/show_bug.cgi?id=14328 ... tohle je muj oblibenec, na vyroci zapaluju svicky - podle poctu let, ale brzo to budu muset omezit, spis na pocet desetileti.
