Vlákno názorů k článku Tak to zablokujme v DNS. Nebo ne? od Ondřej Novák - Nikde jsem si nevšiml, že by někdo zmínil...
-
Sob (neregistrovaný)
Jenze tim nejde selektivne zablokovat pouze https://www.obrazky-roztomilych-chlupatych-kotatek.com/ostatni/zabava/poker. Pravda, to nejde ani pomoci DNS. Ale hlavne uz je to vykonove trosku narocnejsi, takze se do toho ISP moc hnat nebudou.
-
DNS jde obejít vlastním serverem DNS.
Blokovat IP adresy je úplný nesmysl, protože na jedné IP může být tisíce serverů
Ale blokovat dle SNI lze efektivně zablokovat doménu na úrovni ISP. Tam už pak pomůže jen VPN..
Pravdou je, že nelze zablokovat cestu v doméně.
A jak je to náročný netuším. Není třeba kontrolovat každý paket. Jen pakety na HTTPS a jen první po navázání spojení. V případě HTTP/2.0 to může pokrývat kompletní komunikaci jednoho uživatele, což je rozhodně méně, než kdyby se měl analyzovat každý paket. -
Filip JirsákStříbrný podporovatelNestačí kontrolovat jen první paket, musíte rozparsovat hlavičky navazovaného SSL spojení. Může to být už v prvním paketu, ale také nemusí. Navíc SNI není povinné, takže existuje docela snadný způsob, jak takovou blokaci obejít.
-
Zkuste si představit, co je cílem politiky a jaké má technické prostředky. Politika, a potažmo hlavně tenhle zákon má dopadnout na BFUčka, používající běžné prohlížeče. Nevědí nic o VPN, o TORu, ani o možnostech vypnutí SNI. Blokace nemusí být stoprocentní, stačí když bude 95%. Těch 5% lidí, co budou mít jiné informace lze řešit jinak, buď je rovnou pochytat, nebo z nich udělat blázny, případně nepřítele státu.
Takže ano.mluvím o prvním paketu po navázání spojení, tedy zhruba prvních 512 bajtů (minimální MTU, většinou tam bude 1.5kB) payloadu, kde stačí nasadit jednoduché hledání textu. Pokud se zákon naplní, vždycky se najde nějaký výrobce, co takový fw vyvine a prodá.
-
Filip JirsákStříbrný podporovatel
Cílem politiky je správa věcí veřejných a v demokratické zemi rozhodně není účelem politiky, aby na někoho „dopadla“. O tom, jestli stačí 95% blokace, bohužel nerozhodujete vy, nevyjádřilo se k tomu ani ministerstvo financí, takže o tom bude rozhodovat až soud.
První paket po navázání spojení je podstatně něco jiného, než první paket spojení – je to až třetí paket spojení, což znamená takový „detail“, že musíte všechna HTTPS spojení sledovat. Což celé řešení podstatně komplikuje a prodražuje (a činí náchylným na DDoS). Jistě, výrobce to rád vyvine a prodá, jenže to celé bude k ničemu, protože to půjde triviálně obejít tak, že se závadný obsah nedá do kořenové složky webu, ale do nějakého adresáře, a vedle něj se dá něco neškodného, aby MF nemohlo zablokovat celý web. A pokud to neudělá provozovatel, protože nějakou ČR ani nenajde na mapě, udělá to jako proxy někdo přímo z ČR a přilepí k tomu spoustu reklam.
