Názory k článku
Android přichází s podporou DNS-over-HTTP/3
-
Spíš tím Google bojuje proti systémovým adblockerům (pihole, blokada, ...) kteří blokují reklamní domény na úrovni DNS. Takhle žádný z těchto nástrojů po cestě nevidí předmět dotazu a tak nemůže nic blokovat, a reklamy mají o překážku míň. Naštěstí stále máme uBlock a jemu podobné přímo v prohlížečích, i když i proti tomu Google zbrojí (v lednu 2023 ukončují podporu Manifest V2 a jeho nástupce API pro adblockery silně redukuje).
-
> Cílem je zajistit uživatelům více soukromí při resolvování DNS dotazů v méně důvěryhodných sítích a zároveň nabídnout nižší latence i bezproblémový přechod mezi různými typy sítí.
Já se obávám, že cílem je opět zamknout uživatele na pár velkých DNS uzlů a odvézt DNS provoz od vlastních DNS (ať už domácích, nebo v síti ISP), kteří dneska moc možností jak provozovat DoQ vlastně nemají. Byl vytvořený protokol, který je takhle rychle schopno naimplementovat jen pár technologických obrů, ale jinak nikdo.
Kdyby jim šlo o zajištění více soukromí, tak by nejprve zajistili, aby všechny open-source implementace DNS serverů podporu pro DoQ měly. To se ani náhodou nestalo.
-
RaviseStříbrný podporovatel
> Cílem je zajistit uživatelům více soukromí při resolvování DNS dotazů v méně důvěryhodných sítích
Takže to půjde vypnout v sítích, které označím jako důvěryhodné? Třeba na domácí wifi? Skvělé, už se těším.
-
Tohle je výbornej chyták!
Ony se tyDNS-over-cokoliv
stejně nakonec doptají na primárním DNS té domény. Ale mít na veřejné doméně záznamy s IP adresou privátního rozsahu se nemá.
Nicméně: máme tu IPv6 a tedy spoustu veřejných IP adres pro neveřejné stroje - a oddělení provozu pak zvládne poměrně jednoduché pravidlo na firewallu. ;o) -
Ano, proc by se nemeli pouzivat verejne DNS s privatnimi adresami?
Ja mam treba verejne DNS i pro moje interni stroje. Kdyz to nekomu v necem pomuze, tak si posluz: mam tiskarnu na 192.168.1.61 a PC na 192.168.1.101. Diky verejnym DNS muzu interne testovat verejne platne certifikaty.
Google ma taky privatni rozsahy ve verejnem DNS.
-
Filip JirsákStříbrný podporovatelJe to napsané v jednom z RFC. Ale ony se také privátní IP adresy nemají používat tak, jak se dnes používají – jako náhrada nedostatkových veřejných. Doba ale pokročila, nezbývá, než privátní IPv4 adresy používat špatně – a z toho pak plyne i porušení toho, že privátní IP adresy nemají být v DNS. Já to také používám a považuji to za nejmenší zlo. Přesně jak píšete, dají se na to např. vystavit důvěryhodné certifikáty.
-
Trochu problém je v tom, že tak na veřejnost dáváte informace o své síti. Tedy nejen rozsah používaných adres, ale také třeba jména těch zařízení, což může být třeba: "router.doma.name", "laserjet.doma.name", "raspberry...", "lednice...", "tvlg...", "aegpracka...", "ap...", "tplink...", "nas...", "webcam..." - a tím případnému útočníkovi dost zjednodušujete práci s vytipováním zranitelného zařízení a případně dodání malware na míru.
Nehledě na to, že ty adresy jsou pak universálně veřejně použitelné pro všechny, kteří si třeba dají tiskárnu/kameru/router na stejnou IP - třeba jen pro tu legraci, že mohou psát "webcam.doma.name" a nepotřebují na to ani vlastní doménu. -
Předpokládá, že v té DNS bude "vedle" i nějaká veřejná IP adresa, třebas jako "www.doma.name" - a to by napovědět mohlo. Krom toho by šlo asi odposlechnout, odkud chodí na (obyčejné) DNS nejvíc dotazů.
Tímuniversálně veřejně použitelné
myslím, že stačí dodržet stejné IP adresy ve "své" privátní síti (router = 192.168.1.1, tiskárna = 192.168.1.10, atd..) a pak můžete klidně přistoupit na "router.doma.name" a dostanete se - na svůj router (tiskárna obdobně...) Nepotřebujete mít "svou" doménu a přesto můžete využívat jména z "doma.name". To není nijak nebezpečné, ale jen zajímavé. Prostě taková legrácka... ;o) -
Jan HrachStříbrný podporovatelJestli narážíš na rebinding protection, tak to zrovna Google normálně resolvoval. Jediné kde jsem narazil byla defaultní konfigurace openwrt (dnsmasq).
ČLÁNKY DO MAILU