Cloudflare, Apple a Fastly navrhly Oblivious DoH

14. 12. 2020

12 nových názorů

DNS

Autor: Depositphotos

Minulý týden Cloudflare, Apple a Fastly navrhly nový DNS standard pro větší soukromí. Je založený na DoH (DNS over HTTPS), ale i když obsah DoH komunikace je šifrovaný, reslover bude znát IP adresu, která dotaz zasílala.

Toto má odstranit Oblivious DoH (netečný DoH, ODoH), který přidává mezi uživatele a resolver ještě proxy server. Potom resolver (target) zná jen dotaz a IP adresu proxy. Proxy pak nevidí dotaz a zná jen IP adresu uživatele. Proxy server samozřejmě zpomalí dotazy asi dvakrát oproti DoH, ale je to pořád rychlejší než DoH přes tor. Cloudflare již zprovoznil ODoH server na své známé adrese 1.1.1.1. Více detailů naleznete v draftu ODoH.

(zdroj: slashdot)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

14. 12. 2020 17:53

tele ceka na schvaleni roky

Dovolte mi lajcké dotazy: bude možné použít ještě hosts.conf? bude možné použít optimálně firewall ? uvidím domény stejně jako dnes nebo se budou vracet nějaké generované řetězce?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 18:23

J ouda (neregistrovaný)

Tak předně, tohle je (poměrně dobrý v rámci možností) návrh, jak za určitých okolností (pokud je provozovatel proxy a targetu ten samý, tak je každá rada drahá) zabezpečit DNS dotazy a jejich anonymizaci.

To jak bude nebo nebude použit už záleží na konkrétní implementaci - tam se obávám že (O)DoH v prohlížecí je ta nejhorší zhůvěřilost co mohla kdy vzniknout. Jako ideální by mi připadlo kdyby aplikace používaly bezvýhradně systémový resolver, a ten se řídil v defaultu typem sítě (alespoň ve windows) - u public sítí posílal na DoT/ODoH, trusted na to co mu dá DHCP. Ale bojím se že výsledek bude jakýsi kočkopes jak už je teď.
A když dojde na lámání chleba ("boj proti cenzuře") tak to skončí asi jako v 2018 případně jako před nedávnem takhle https://github.com/SixGenInc/Noctilucent
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 20:59

Nickless account

"A když dojde na lámání chleba ("boj proti cenzuře") tak to skončí asi jako v 2018"

Bojovat proti zavedene cenzure technickymi prostredky je reseni dusledku, resit je treba pricinu proc a kym je cenzura zavadena....
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 21:50

tele ceka na schvaleni roky

Hezky popsáno https://laptrinhx.com/oblivious-dns-over-https-odoh-an-attempt-to-improve-dns-privacy-1412518024/

Bohužel odpověď na moje dotazy jsem z toho nevyčet:-(
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 21:39

Jan Hrach

Pokud aplikace bude nadále používat služby systému (funkce typu gethostbyname), a až libc bude dělat resolvování přes DoH/jakkoli jinak, tak samozřejmě ano (tedy, ne ve firewallu na síti - cílem právě je, aby to někdo, kdo poslouchá na síti, neviděl - ale v konfiguraci systému, logu systémového resolveru atd. samozřejmě ano).

Pokud si to aplikace bude dělat sama, což je bohužel smutný poslední trend (na druhou stranu si za to můžou vývojáři OS částečně sami, minimálně to linuxové API je staré a příšerné a neumožňuje třeba rozlišovat různé chybové stavy), tak samozřejmě smůla (což už máš dnes u jiných věcí taky).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 22:45

Pavel Tavoda

Vidim to takto. Za chvilu pride niekto so skvelym napadom vytvorit lokalny DoH service ktory sa napoji na systemovy resolver ktory bude pouzit nejaky systemovy (DNSOverTLS). :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 22:54

Vantomas

Stříbrný podporovatel

https://github.com/LinkTed/doh-client ?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 12. 2020 23:30

Pavel Tavoda

Tento sa pripaja na vzdialeny DoH service v tom velky vyznam nevidim.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 12. 2020 7:42

oss

Ja som taky napad mal (plus k tomu blacklist a moznost routingu dotazov, napriklad aby som googlovske hosty posielal na googlovske DoH, osttane lokalne), len som sa este nepustil do implementacie.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 12. 2020 10:17

Pavel Tavoda

A lepsie by bolo keby sa nielen dali dat blacklisty ale mat moznost nahradit scripty z tych 3rd party stran inymi 'neskodnymi' scriptami. Dnes si kadejake stranky kontroluju ci nie je spusteny adblocker a bohuzial jedina cesta je umoznit im pristup.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 12. 2020 12:48

J ouda (neregistrovaný)

Pak už jsme trochu hodně jinde než na úrovni DNS, potřebujete k tomu navíc minimálně vlastní CA importnutou do zařízení a vlastní webserver/proxy/něco.
(a ano mám to a těch scriptů jsou jednotky)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 12. 2020 7:22

uname-a

dnscrypt to (že medzi userom a resolverom je proxy) už má dlho (nepamätám si kedy to spustili ale je to možno cca rok)

Zasílat nově přidané názory e-mailem

Jan Fikar

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.

Témata:

Apple