Vlákno názorů k článku Tak to zablokujme v DNS. Nebo ne? od Meh - "Pak mě pochopitelně ještě napadá, zda je moudré...
-
Meh (neregistrovaný)
"Pak mě pochopitelně ještě napadá, zda je moudré odhánět uživatele od používání lokálních DNS serverů. Pouze to pochopitelně znamená závislost na nějaké další službě a co z toho může vyplynout jsme se například přesvědčili u výpadku služeb firmy Google."
Mne zase napada, co je komu (statu?) do toho, ze uzivatelum Google DNS nefunguje net, protoze Google kleknul. Bud si ten DNS nastavili sami, v konextu clanku napriklad proto, aby se dostali na weby, na ktere se dostat nemaji, a v tom pripade je to jejich problem, nebo jej maji zadratovany v nejakych zkriplenych mobilnich aplikacich, a v tom je to opet jejich problem, nemuzou cekat, ze rozbite aplikace budou fungovat.
"No a poslední otázka, která mě napadá – když to nebude fungovat, jaký to má smysl?"
Ma to uplne stejny smysl, jako nenechavat klicky v zapalovani nebo zamknout byt/dum, trebaze lze rozbit okno; v 99% pripadu to staci. Pokud web prestane resolvovat, je to konec, 99% gambleru se tam nedostane, oni si proste DNS zmenit nedokazi uz proto, ze nevedi, ze nejake DNS je. Vetsina patrne ani nedokaze napsat adresu do adresniho radku. Takze tyhle starosti, ze to nekdo bude obchazet, muzete pustit z hlavy.
-
Já bych se toho nebál. Být ISPíkem, tak nahodím blokovací stránku, na které bude napsáno, že je stránka blokována kvůli tupýmu Blábolišovi, kterej nechápe, že se to účinně blokovat nedá a rovnou bych k tomu přihodil odkaz na stránku s návodem, jak na to :D
I tak je návodů na obcházení všelijakých omezení plnej net, on si ten gembler poradí. -
Sinuhet (neregistrovaný)
Pokud vím, v HTTPS je v plaintextu minimálně doména kvůli SNI. Takže deep packet inspection bude fungovat.
Na HSTS je v Česku nejspíš pozdě, Babiš byl rychlejší, jen počkejte, až ISP začnou svlékat HTTPS na HTTP. HSTS akorát způsobí, že ten web přestane fungovat úplně, a to přeci žádný poskytovatel obsahu nechce... už teď je to okrajová technologie, a za chvíli se všichni budou klasicky ptát, k čemu je to potřeba. Však kdo nedělá nic špatného, nemá co skrývat. -
> Pokud vím, v HTTPS je v plaintextu minimálně doména kvůli SNI.
Typicky ano. Teoreticky to jde vypnout.
> Takže deep packet inspection bude fungovat.
Ano. A i kdyby ne, jsou tu i jiné možnosti detekce, např. IP adresa. (Ano, má to své nevýhody.)
Ale já reagoval na jiný scénář: Chci přistoupit na zakázaný web a ISP se mi místo toho pokusí naservírovat návod na obejítí blokace. Pokud půjdu rovnou na HTTPS, bude se mu to dělat těžko.
> jen počkejte, až ISP začnou svlékat HTTPS na HTTP
Proč by to dělali?
> HSTS akorát způsobí, že ten web přestane fungovat úplně, a to přeci žádný poskytovatel obsahu nechce...
Bude to někdo řešit kvůli teoretické možnosti ISP v ČR nabídnout návod na obejítí blokace? (Do čehož se těžko nějaký ISP pustí, nejspíš by to slízl, když je zákon tak gumový…)
Zadruhé, HSTS pak není jediný problém. Pokud dostanu link vedoucí na HTTPS, mám problém. Pokud mám web v záložkách, taky to nebude fungovat. Pokud mám web v historii, pak AFAIK některé prohlížeče se taky snaží doplnit „https://“, takže to taky nebude fungovat. Takže nepoužívejte itím HSTS si až tolik taky nepomůžete…
> už teď je to okrajová technologie
HTTPS, nebo HSTS? Přes HTTPS se dnes načte cca 50 % stránek. K HSTS statistiku nemám, ale i kdyby šlo jen o 10 %, okrajové to nebude. A méně než 10 % to – měřeno od oka –asi nebude.
-
Sinuhet (neregistrovaný)
Snad máte pravdu.
Něco mi říká, že typický gembler nebude mít dost snahy na to, aby se tím vším prokousal, a zvolí raději jinou formu hazardu. Možností je habaděj, ale je tu šance, že začne hazardovat na "schváleném" místě. Což není výhra pro gemblera, ale pro stát.Sice vůbec nechápu, co je to za dementní zábavu, ale rozhodně nebudu nikomu bránit, aby svoje peníze utrácel libovolným způsobem. Ať si klidně maže pětitisícovky na chleba.
No a s touhle dementní záminkou omezíme všechny. Spřátelený ISP se chystá na DNS hijacking, což znamená přinejmenším konec alternativních DNS stromů, a popření základů Internetu. Z decentralizované sítě si pěkně celé DNS centralizuje k sobě. Nevím, co všechno přestane fungovat, a taky netuším, jak to obejít např. na Windows. A jak to vyřešit na Linuxu elegantně, protože i když si pořídím lokální resolver (což od výpadku Googlu mám), tak mi ten ISP bude dotazy resolvovat místo root DNS. Fuj. Fuj. Fuj.
-
Sob (neregistrovaný)
Popsany praseciny, na kterou se chysta sprateleny ISP, se bojim nejvic. Kdyby jen blokli konkretni domenu na svym resolveru, tak to nikomu nevadi. Jenze i jedincum neprilis bystrym (napriklad tvurcum tady toho skvelyho zakona) jiste brzy dojde, ze je to stejne ucinny, jako kdyby banka misto v bytelnym trezoru mela prachy volne na hromade s cedulkou "prosim nekrast". ISP tak driv nebo pozdeji bude muset prijit s necim ucinnejsim. A pokud nechce zbytecne vyhodit balik, je napad na presmerovani vseho na portu 53 k sobe bohuzel hodne atraktivni. Je to levny, ucinnost celkem ujde a na prvni pohled to vlastne ani nic nerozbije, takze nespokojenych uzivatelu bude minimum. A clovek potrebujici normalne fungujici DNS, coz je naprosto zakladni a samozrejma vec, s tim bude mit akorat zbytecnej opruz. :\
-
Sinuhet (neregistrovaný)
Přesně tak. DNS hijacking je atraktivní, protože to znamená dvě pravidla ve firewallu, a minimální výpočetní zátěž.
Já doufám, že se jim tohle ukrutně vymstí. Holt si vytočím VPN ven do "svobodného" internetu, ale to taky stojí slušnou porci výkonu a nákladů. Naštěstí to už dlouho mám (VPS s RouterOS), ale znamená to omezení na cca 90Mbit half duplex. Zvýšení odezvy je minimální.
ISP tím blokuje daleko víc, než k čemu mu zákon dává právo. Jenže BFU si toho nevšimne, gembler si stěžovat nebude, a na mě všichni koukají skrz prsty, proč zase biju zbytečně na poplach.
A teď konspirace: Podle mě ti zákonodárci (respektive ti, kteří je ovlivňují) žádní idioti nejsou, a tohle bylo jejich cílem.
-
Takže zákazníkům budete zcela férově říkat, že jim za jejich peníze nabízíte částečný přístup k internetu, jehož omezení překračuje oficiální požadavky patřičných úřadů? A samozřejmě to všem stávajícím zákazníkům sdělíte a v případě, že si některé zákazníky vážete smlouvou na nějakou dobu, v souvislosti s tímto krokem jim umožníte na nové podmínky (vámi změněné v jejich neprospěch) nepřistoupit a smlouvu bez sankcí ukončit předčasně?
-
Sinuhet (neregistrovaný)
Představte si, že jste v roli ISP.
Buďto můžete použít DPI, kde budete na šílených nákladech, a povinnost stejně nesplníte (!), nebo se na to vykašlete, a vyřešíte to takhle.
Pokutu vám nikdo nedá, protože jste použil všeobecně doporučované řešení, a prováděcí vyhláška chybí. Klienti si stěžovat nebudou, enterprise používají VPN, běžným klientům je to jedno.Já ty ISP chápu. Je to dementní opatření, to ví všichni, tak proč ho dementně nevyřešit. Myslím, že těch pár naštvaných, kteří budou chtít ukončit smlouvu z důvodů změny podmínek ze strany poskytovatele k horšímu, ISP nevytrhne. Kolik myslíte, že to bude lidí? Stejně se vymluví na to, že jim to zákon nařídil (což není pravda!).
Existují ještě dvě řešení. Jedno je transparentní proxy. Opět povinnost nesplníte, a je to prakticky stejné zlo, co s DNS (až na to, že omezíte jen http, které se mi nezdá tak důležité). Umím si představit, že ISP bude i "svlékat" https.
Jediný způsob, jak povinnost splnit, je stát za userem, a kontrolovat, kam leze. Jakmile zkusí vlézt někam, kde mu v tom musíte zabránit, dáte mu ránu taserem do spánku. To ho poučí.
-
Nejde o to, že na to lidi kašlou a dokud jede xichtovník, nějaký DNS je nezajímají. Jde o povinnost (na rozdíl od kradení trafficu z portu 53 pevně danou zákonem) sdělit zákazníkům změnu smluvních podmínek z "poskytování internetu" na "poskytování zkriplenýho internetu. Já dělal pro jednoho ISPíka několik let a můžu říct, že takových kroků se ISPíci prostě bojí, stejně jako velkých výpadků. U obojího hrozí nebezpečí, že si někteří lidé zjistí, co nabízí konkurence.
-
Sinuhet (neregistrovaný)
Jenda:
https://www.zakonyprolidi.cz/cs/2016-186#cast1 , § 82, odstavec 1.
A norma, která to omezuje z druhé strany, je Ústava České Republiky, respektive její přílohy.
Listina základních práv a svobod:
Článek 17, (3): Cenzura je nepřípustná.
Článek 13 : Nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.Ještě tam někde je uvedeno, že omezení musí být v minimální nutné míře, ale nemůžu to najít. Snad jsem si to nevymyslel.
-
j (neregistrovaný)
2Sinuhet:
" s výjimkou případů a způsobem, které stanoví zákon"A toho bych se drzel, jelikoz zakon zadny zpusob nestanovuje, tak ISP nic blokovat NESMI, protoze by porusoval ustavu (listina je jeji soucasti).
2Jardap:
"Poskytovatelé připojení k internetu"Jelikoz zadni postkytovatele pripojeni k internetu tu neexistuji, tak neexistuje ani jede subjekt, ktery by podle toho zakona mel vubec neco delat. A opet, pokud delat bude, tak porusuje zakony, ktere se na nej vztahuji. Napriklad na vsechny ISP telco zakon, protoze ten pomerne presne definuje, kdo je provozovatelem telekomunikacni site.
-
Jenda (neregistrovaný)
Už mi to zase sežralo příspěvek! ~10:26:30, tato IP, prosím, koukněte se v iinfu do logu jestli tam něco neuvidíte.
--
Kéž by to tak bylo. Bojím se, že soud řekne, že se máme řídit tím, co měl asi zákonodárce na mysli, a tedy nemáme bazírovat na termínech „poskytovatel přístupu k internetu“ a „poskytovatel připojení k internetu“. A až za 10 let vysoudím u Ústavního soudu zpátky náklady na řízení, tak už budu dávno zkrachovalý.
-
A proc byste to meli delat? Jestlize provadeci predpis naridi blokovani na urovni DNS, tak date do vaseho serveru blacklist a serete na to. Mate splneno, protoze vas server nevraci ip danych domen. To by provadeci predpis musel napred narizovat presmerovani trafficu na port DNS a pokud to neudela, tak to nedelejte. Jeste aby se mezi ISP nasli mamlasove, kteri budou delat vic, nez je zakonna povinnost. Par snazivcu u kazdeho ISP a je to totalne v prdeli. Nakonec bude povolen pristup jen na Blabolisovy stranky.
-
Sinuhet (neregistrovaný)
Jarda_P:
Prováděcí předpis není. A myslíte, že tím, že si na nějakém svém DNS ty domény bloknete, splníte následující?
(1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami (dále jen „seznam nepovolených internetových her“).
-
Prováděcí předpis není. A myslíte, že tím, že si na nějakém svém DNS ty domény bloknete, splníte následující?
(1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami (dále jen „seznam nepovolených internetových her“).
Tak vzhledem k tomu, ze soudruzi pozaduji, aby ISP delali neco, co nelze udelat bez prestrizeni dratu, tak nejaky blabol vydat budou muset.
-
Nemusí.Je jasně řečeno blokuj.Jak ?Jak chceš.Neblokuješ?Pokuta.
Mam blacklist v DNS? Mam. A na cizi DNS server sahat nebudu, protoze je cizi. A blokovat pristupy na cizi DNS by bylo nepripustnou cenzurou serveru, jejichz blokovani zakon nenarizuje. Soudruh Bures se bude muset smirit se skutecnosti, ze Internet neni jen web.
-
Jenda (neregistrovaný)
Hm, asi jsem předchozí příspěvek neodeslal.
> Jestlize provadeci predpis naridi blokovani na urovni DNS
Nenařídí. Prováděcí předpis být nemůže, protože v zákoně není nic jako „podrobnosti stanoví vyhláška“.
Může být metodika. Dokážu si představit, že opravdu vznikne a bude tam blokování na defaultních rekurzivních DNS daného ISP. A pak se zjistí, jak triviálně to lze obejít. A za půl roku se metodika změní na nějakou, která to bude řešit důkladněji.
-
Ona je potom taky otázka, jestli to celý není jen past na malý providery. Je to zvláštní, ale pár let zpátky, když jsem pro jednoho providera pracoval, tak se zrovna v době handrkování o LTE pásma začaly množit kontroly frekvencí, stupidní formuláře od ČTU, které bylo nutné vyplňovat a podobně. Mimochodem, otázky typu kolikrát vám průměrně zazvoní linka podpory, než je někdo zvedne... Jestli to celý není zase jenom metoda, jak se zbavit těch menších nežádoucích podnikatelů, kteří se nenaučili rozdávat politikům sedmičky...
-
Může být metodika. Dokážu si představit, že opravdu vznikne a bude tam blokování na defaultních rekurzivních DNS daného ISP. A pak se zjistí, jak triviálně to lze obejít. A za půl roku se metodika změní na nějakou, která to bude řešit důkladněji.
Ovsem blokovani portu 53 a presmerovani na vlastni server by slo nad ramec zakona. Zakon narizuje zablokovani webu s hazardnimi hrami. Blokovani nejakych DNS serveru v zakone neni a tezko podle toho zakona mohou byt blokovany, protoze s danymi weby vubec nesouvisi a maji jineho provozovatele. Byla by to tedy cenzura jeste vice protiustavni, nez ono blokovani hazardnich webu.
-
Sob (neregistrovaný)
Jenze kdyz oni ani autori zakona nevi, co vlastne chcou. Na jednu stranu si vymysli blokovani jen konkretnich cest na webu, coz bylo oduvodnovany tim, aby se nemuselo blokovat zbytecne moc (tzn. celej web, kdyz hazard je jen na kousku). A pak jako jednu z moznosti, jak zakonu vyhovet, doporuci blokovani pomoci DNS (viz ten slint, co byl ted na Lupe)...
-
Jarda_P: Zákon nenařizuje ani nějaké blokování na vlastním DNS serveru. Zákon nařizuje zamezit v přístupu k zadaným internetovým stránkám.
Ano, to je hezke. Ale vzhledem k tomu, ze zakon narizuje neproveditelnou vec, bude muset zakon naridit i to, jak se to ma udelat. Zakon by take mohl naridit, ze od pristiho brezna musi mit vsichni obcane CR zelenou barvu pleti a nesmysl to bude zcela stejny. Zakon je text, ktery ma davat smysl, coz nedava.
Chapu, ze soudruh Bures a dalsi soudruzi uvizli svymi technologickymi znalostmi nekde v ere psacich stroju s dvojbarevnou paskou a elektronkovych gramofonu, ale ze nejsou schopni se aspon zeptat lidi, kteri tomu rozumi, je neschopnost, ktera prekvapi i u nich.
-
Ale to "veškeré úsilí" by znamenalo neposkytovat připojení vůbec, protože všechny ostatní řešení jsou k ničemu. Kradení DNS dotazů je ku lejnu, stačí, aby se k potencionálnímu gemblerovi dostal přitrublej baťák, kterej do host zapíše "1.2.3.4 www.antiblaboliscasino.ru" a je to vyřešený. Pokud bude blokování jinou metodou, pro IT analfabety momentálně stači Opera a zapnout VPN. Zvládne to cvičená opice za půl banánu a je vymalováno.
-
Sob (neregistrovaný)
Jenze jaka uroven vynalozenyho usili je dostatecna? Prestat prodavat pristup k internetu a zmenit to pouze na pristup k webum skrz vlastni proxy server? Kde by bylo podminkou, ze si uzivatel nainstaluje falesnou CA, pomoci ktery bude ISP delat MITM a filtrovat ten fuj fuj osklivej hazard? Verim, ze s timhle resenim uz by snad nikdo nemohl ISP vycitat, ze neudelal dost. Drobnou nevyhodou ovsem je, ze to uz nema s internetem ani vzdalene nic spolecnyho.
