Názory k článku
Firefox bude používat DNS přes Cloudflare
-
Z (neregistrovaný)
Firmy to budou muset vypnout, ale z pohledu běžného uživatele je to super.
Viděl jsem implementaci eduroamu, která zahazovala DNS provoz pokud jsem nepoužil jejich DNS server.
Podobně kdejakej ISP má tendence unášet DNS provoz jdoucí ven a odpovídat na něj sám.
Nebo třeba tenhle článek:
https://www.dasm.cz/clanek/jak-muze-isp-unaset-dns-pozadavkyatd,atp.
Nebrečte. Komunita správců sítí si tohle způsobila sama. Kdybyste se někteří z vás nechovali jako prasata, nikdo to řešit nebude.
-
Filip JirsákStříbrný podporovatelMáte konkrétní příklad, kdy vědomě dělali něco špatně? Nebo kdy se dopustili nějaké školácké chyby?
-
-
Filip JirsákStříbrný podporovatel
Abych pochopil co? Že tu plácáte nesmysly? Nejdřív se tváříte, že Mozilla dělá špatně, protože se spojí s něčím tak zlým, jako je CloudFlare. A když se zeptám, co je na CloudFlare špatné, dozvím se, že to, že spolupracují s Mozillou. To jste se trochu zacyklil, ne? Abych pochopil, neměl bych spíš opakovat do zblbnutí „všichni jsou zlí, áno“.
-
j (neregistrovaný)
A kokot jjistak kterej tady pravidelne vytvari tzv jirsakovo lkolecko , tady opet zvany naprosty kokotiny, jako ve vsech svych postech ... jirsaku, zasadni bezpecnosti riziko je uz v tom, ze se dns dotazy vubec posilaji mimo sit uzivatele a to zcela vzdy bez ohle na to jestli fuufu nebo komukoli jinymu. Navic se tim rozbii internet jako takovej a jeho distribuovanost.
-
j (neregistrovaný)
To jiste ... az na to ze to driv nebo pozdejs vypnout nepude, nehlede na to, ze chrofoxe nijak normalne centralne konfigurovat nelze. Ale firmam je to u rite, protoze uz chrofoxe stejne zrusily, tohle je jen dalsi vec ktera z toho dela naprosto nepouzitelnej bazmek. On se totiz v korporatu nesutale pouziva flash (vmwware se bez toho administrovat neda vubec a to neni zdaleka jedina vec) neustale se pouzivaji java applety (tusim pres ppl bez toho nikdo nic neposle) atd atd.
-
X! (neregistrovaný)
No zrovna vmware bych jako priklad nebral...pokud nepouzivate nejakou starou verzi, tak od 6.0 (jako fling) nebo 6.5 oficialne existuje html5 klient a pokud chcete byt striktne linuxovi a bezflashovi tak co neni implementovano pod html5 muzete spravovat pres powercli ktere taky jede pod linuxem i kdyz teda microsoft ted zaridil aby jste pri rozjizdeni toho zesileli... no a treba orchestrator je v jave takze taky multiplatformni. Ano jsou veci co bez flashe nejedou, ale vmware se hodne snazi se toho zbavit...
-
j (neregistrovaný)
Jasne, zvani nekdo co to vzivote nevidel ... hosane, ano verze 6.5 (posledni) ma html administraci ... ve ktery je 1/2 funcionality a pri kazdym prihlaseni na tebe bleje hlaseni, ze to neni kompletni. A i ta html verze vyzaduje ... voiala ... addon (pro cast funcionality), kterej ale v chrofoxovi samozrejme uz nefunguje.
Powercli toho umi asi tak 1/20 ... a je mi uplne jedno jak moc se toho wmvare snazi zbavit, bez toho to proste adminovat nejde a nic se na tom nezmeni ani behem pristich nekolika let.
-
Lokální resolver se použije pouze tehdy, neblude-li CloudFlare schopno název resolvnout. Takže ano, u názvů, které mají jednu IP dostupnou z internetu a jinou z intranetu bude Firefox ve výchozím stavu používat tu internetovou.
Vypnout DoS.. totiž DoH se dá v about:config nastavením network.trr.mode = 5
-
Budte odvazny (neregistrovaný)
Vyzera to tak, ze konecne naberiem odvahu (https://brave.com/)
-
end (neregistrovaný)
Domeny *.example, *.local, *.localhost a *.test su rezerovane a obycajne sa pouzivaju pri vyvoji na localhoste, takze pravdepodobne (isty si nie som) ich vyriesi localny resolver - nema vyznam ich posielat von do internetu.
Ale pozor pri domene *.dev, ta je general, teda da sa normalne zaregistrovat a pouzivat. -
X! (neregistrovaný)
No super. Ještě by mě zajímalo, jak to bude fungovat bez přístupu k internetu v uzavřeném labu. Tvůrci všeho dnes slepě spoléhají na to že všichni mají konexi všude... ale že někdo chce používat jejich produkt "offline" to nikoho nenapadne. No doufám že to půjde vypnout, nebo aspoň nastavit na lokální dns.
-
Pokud si projdete popis nastaveni na https://blog.usejournal.com/getting-started-with-dns-over-https-on-firefox-e9b5fc865a43 , tak lze videt, ze se planuje i nejaka fallback podpora pro nativni dns serveru OS.
Nicmene i me timto krokem Mozilla nemile prekvapila. :/ -
A proč bych měl podle tebe udržovat dva servery pro jednu doménu?
https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html
https://www.isc.org/downloads/bind/doc/ -
BobTheBuilderStříbrný podporovatelHodně blbý nápad.
Takže nejen že Firefox ignoruje systémové úložiště certifikátů*, ale teď k tomu ještě přidají DNS.
* já vím, že to lze zapnout, ale pak nesmíte mít master password na uložených heslech, pokud chcete, aby FF fungoval normálně -
MP (neregistrovaný)
Tak zda se, ze jiz vydali GPO, ktere umozni konfigurovat FF pres AD - jak to udelaji linuxari, jsem zvedav. Ale jestli tam je i tahle vec, to fakt nevim. Kazdopadne, ze bych remodifikoval 100+ profilu v user accountech rucne, na to se muzu...Takze bude stop update FF a pripadne definitivni odstraneni FF z firemniho prostredi.
-
BobTheBuilderStříbrný podporovatel
Jo, ale pro GPO platí totéž, co pro systémové úložiště certifikátů - při použití master password se to poněkud rozsype.
Ještě se dá spouštět FF ze síťového disku a tam to změnit v prefs. -
Ondřej CaletkaZlatý podporovatelČekal bych, že s tímhle přijde jako první Chrome a bude otočené proti už několik let funkční službě Google Public DNS over HTTPS. Tam by to bylo mnohem méně kontroverzní, protože Chrome už dnes odesílá každý úhoz v omniboxu do Google, takže Google by tímto nedostal žádná nová data.
Taky by bylo fajn, kdyby se takto tunelované DNS používalo primárně tam, kde je lokální DNS infrastruktura rozbitá, nepropouští DNSSEC data či nějaké speciální záznamy. Mohl by to být pěkný první krok na cestě k podpoře DANE v prohlížečích. Jinak je to celé takové pochybné.
-
j (neregistrovaný)
Dohnat a predehnat soudruzi!
DANE chozilla NIKDY resit nebude, protoze sou to neschopny trotlove ... Tohle s tim totiz uzce souvisi https://bugzilla.mozilla.org/show_bug.cgi?id=14328
Jo, sak je to jenom 20 let ...
-
Pale Moon (neregistrovaný)
Pale Moon, https://www.palemoon.org/
Z mého pohledu poslední prohlížeč, který (možná :) pracuje tak, jak si ho uživatel nastaví, tak jak uživatel chce. Všechny ostatní prohlížeče pracují primárně pro "velkého bratra". -
Zkus Basilisk - v podstatě je to fork FF 52 ESR (aktuálně se označuje jako 52.9), ale kromě XUL v něm fungují experimentálně i některé WebExtensions.
https://www.basilisk-browser.org/features.shtml -
DannyStříbrný podporovatelTrusted Recursive Resolver ve Firefoxu ma vicero konfiguracnich voleb. Krome uplneho vypnuti to jde take nasmerovat i na jiny (vlastni) server a pak to v konecnem dusledku z pohledu ochrany soukromi i pro paranoika zas tak strasne byt nemusi.
Vychozi nastaveni je sice asi diskutabilni, ale vzhledem k tomu, jak se u nekterych ISP caruje s DNS rekurzory (kde se taky dejou ruzne veci bez vedomi koncoveho uzivatele) je mozna lepsi, kdyz se dotazy nasmeruji na nekoho, komu alespon trosku verite a tedy uzivateli se vrati to, co se mu skutecne vratit ma (a Mozilla zjevne Cloudflare duveruje). Nesmi se zapominat, ze vychozi nastaveni prohlizece je urcene tem, kteri problematice prilis nerozumi.
-
neregistrovany (neregistrovaný)
Moznosti nastavenia TRR vo Firefoxe su neadekvatne. Ziadny pouzivatel, co ma napr. laptop a pripaja sa do viacerych sieti - doma, v praci, u zakaznikov - nebude po kazdom pripojeni do siete rekonfigurovat rucne to, co mu predtym robilo DHCP. Dalsie problemy pridu s VPN, sedi v praci, potrebuje internu DNS, k tomu urobi VPN spojenie k zakaznikovi kde by sa mu normalne nastavila DNS pre resolvovanie iba zakaznikovej domeny - a toto s Firefoxom uz nenastavi vobec.
V tomto ohlade si Mozilla ukusla z kolaca viac, ako bude realne schopna stihat realizovat. (Ich schopnosti realizacie slubov vid: API pre extensions ktore odstrihli s Quantum, akceleracia kompozitora pomocou GPU pod Linuxom, alebo akceleracia dekodovania videa pod Linuxom).
Ti, co problematike moc nerozumeju, a pre ktorych je vraj toto default nastavenie urcene, budu mat jednoducho vsetko zrazu rozbite a nebudu si to vediet poskladat naspat. Fakt dobra pomoc, diky Brona.
-
DannyStříbrný podporovatel
DNS, ktere prideli DHCP hadam nebude podporovat DOH - tedy zjednodusene receno posilani DNS pozadavku over HTTPS, dost casto ani jinou formu zabezpeceni transportu (treba DNS over TLS). A zabezpeceni na urovni transportu je take jedna z veci, o ktere tu v konecnem dusledku jde.
Pokud se zactete skutecne pozorne do toho, co jsem odkazoval vyse, tak zjistite ze onen "lokalne nastaveny" DNS se stejne pouzije - k tomu, aby si prelozil IP adresu onoho DOH serveru (ktera je v konfiguraci jako hostname, nikoliv jako IP). Firemnimu uzivateli s VPN muzete klidne nastavit korporatni DOH server - mj. tam jde pouzit i autorizaci jmenem/heslem - takze ani povesene do internetu to nebude pouzitelne kymkoliv a porad tam bude jista mira soukromi pro firemni uzivatele (aniz by to bonzovalo provozovateli DNS serveru prideleneho z DHCP, na jake hostname se leze).
Argumentaci "problemy s uzivateli" jde klidne pouzit i obracene. Nezridkakdy se stava, ze z VPN prideleny korporatni DNS server neni schopny prelozit vubec nic krome firemnich veci a pak uzivateli soubezne s vytocenou VPN taky nefunguje nic. Nekdy nejsou dostupne ani samotne DNS - typicky, kdyz se dobastli VPN pro externistu s pristupem povolenym jen na urcitou vnitrni IP (a uz ani na DNS se nepusti, i kdyz ve VPN je vedle samotne IP klientske strany posle).
-
dnskar (neregistrovaný)
Som tu asi jediny, kto to uvita. Konecne (snad) dokazem prelstit OpenDNS blokovanie domen v mojej kniznici (blokuju aj niektore technicke weby, ...).
Tiez casto pouzivam 1.1.1.1 ako DNS server = Cloudflare. Cize iba zmenim protokol ako dosiahnem ich DNS server.
Zapnutie TRR zvysi bezpecnost ochrany BFU. Non BFU si to stale mozu vypnut, pokial teda nemaju svoj pripad kde sa im to hodi (OpenDNS hacking v mojom pripade). Vytykane pripade z uvedeneho blogu su spravne, avsak pockajme si na konecnu implementaciu. Kludne tam moze pribudnut moznost nastavenia viacerych TRRs, takze nebude to iba o CloudFlare, nebude to SPOF, ...
-
Filip JirsákStříbrný podporovatel
Vzhledem k blokaci nepovolených internetových hazardních her je to myslím dobré řešení. Akorát je škoda, že ISP musí vynakládat náklady na něco, co bude fakt už úplně k ničemu.
-
Filip JirsákStříbrný podporovatel
Ve všech zemích, které mají páky na to vymáhat po Google nebo CloudFlare nějakou pokutu, platí, že pokuta může být udělena jedině v případě, kdy byl porušen nějaký zákon.
-
j (neregistrovaný)
jop, je to dobry, pristi mesic prekona uspesne chrofox 5% .... http://gs.statcounter.com/browser-market-share
-
Ondra Satai NekolaZlatý podporovatelKoukam, ze j neveri zadne statistice, do ktere si nezahrne i matlafouny ;)
