Hlavní navigace

Mozilla chce zapnout DoH všem, vyzývá k připomínkování

Sdílet

Petr Krčmář 19. 11. 2020
Firefox DNS over HTTPS

Mozilla už delší dobu připravuje Firefox na nástup DNS-over-HTTPS (DoH). Po prvních smělých experimentech ale začala postupovat opatrněji. V loňském roce totiž postup kritizovali zástupci Velké Británie, kteří poukazovali na to, že nový způsob přenosu informací z DNS znemožní kontrolu provozu ve firemních sítích a zabrání také například funkcím rodičovské kontroly.

Mozilla tedy nyní spustila veřejnou konzultaci, ve které chce posbírat zpětnou vazbu především od zástupců vlád a poskytovatelů připojení. Připomínky bude možné zasílat následujících 45 dnů, tedy do 4. ledna 2021. Všechny zaslané připomínky budou zveřejněny, pokud si odesílatel nebude přát opak.

DoH umožňuje prohlížeči (či jiné aplikaci) obejít místní DNS resolver a ptát se šifrovaným kanálem vybraného poskytovatele v internetu. Cílem je znemožnit monitoring či cenzuru na místní síti nebo na národní úrovni. Mozilla ovšem za plošné nasazení čelí kritice. Na část připomínek už reagovala a zavedla například možnost vynutit na síti použití místního resolveru (canary domain), nastavit si vlastního poskytovatele DoH a přidala konfigurační volby do nastavení.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 11. 2020 10:52

    Jim

    Vyskytuje se zde někdo, kdo má pocit, že nešifrování DNS zvyšuje bezpečnost uvnitř firem, protože na to může firma dohlížet?

  • 19. 11. 2020 11:02

    Cabrón

    Co vídám, lidem spíš vadí že jejich requesty najednou místo do lokálního DNS jedou kamsi ven. Normálního DNS provozu končí většina na nejbližším resolveru, většina ani neopustí barák, protože to vyřídí cache i v nejlevnějším D-Linku. S DoH má provozovatel serveru perfektní záznam navigace uživatele po webu.

  • 19. 11. 2020 11:58

    Jan Hrach

    Nikoli, ale vyskytuju se tu já s názorem, že:

    1) Programy by měly pro všechny možné věci (včetně resolvování) využívat funkce systému, neměl by si to každý řešit sám, protože když chci jako uživatel/admi­nistrátor něco upravit, tak to pak budu muset dělat na 20 místech, a ještě se každý program konfiguruje jinak a má jiné možnosti a jiné nekompatibility a zranitelnosti. Co bude příště? Vlastní filesystém? Správná cesta k DoT/DoH je, že toto začne dělat systémová knihovna/systémový resolver, a tím to automaticky začnou používat všechny programy, aniž by je bylo nutno měnit -- zatímco takto to bude používat jenom webový prohlížeč, ale třeba wget nebo SSH nebo IRC nebo cokoli pojede furt nešifrovaně. Navíc když nebudu spokojen s jedním DoH poskytovatelem, tak to na jednom místě změním. Navíc si na jednom místě můžu přidávat vlastní domény, soukromé stromy a blokovat a logovat a cokoli. Vzhledem k tomu, že už je ve většině linuxových distribucí systemd, tak uvedené stačí zapnout a vyřešeno. (jo, tohle je DoT, DoH nevím jestli už implementovali)

    2) No a pak to taky znamená, že k těm všem věcem, jak Firefox šmíruje, budou mít ještě navíc kompletní historii prohlížených domén.

    Edit: a k tvému původnímu dotazu: bezpečnost firem by mohlo zvýšit, když by jejich admin změnil systémový resolver na vnitrofiremní šifrovaný, a všechny aplikace by to automaticky používaly.

    19. 11. 2020, 12:02 editováno autorem komentáře

  • 19. 11. 2020 13:08

    bez přezdívky

    DNS dotazy je jeden ze zpusobu, jak pasovat data dovnit a ven bez vedomi admina i ze zarizeni, kde je povolene jen to DNS.
    Treba dotazem na TXT zaznam NGNjNTI0YTNhNjQwMGZkMT­JkMTNjZmViYzNhMDZkNDVlMj­E4NDcyMg.root­.cz
    Uz takto je tezke zjistit, jesli ten samotny dotaz neobsahuje napriklad neci prihlasovaci udaje. A v pripade, ze pripustim sifrovany dotaz ven prakticky nemozne.

  • 19. 11. 2020 11:08

    bez přezdívky

    Mně osobně přijde nebezpečnější, když má moc sledovat a případně cenzurovat jeden centralizovaný poskytovatel DOH (byť slíbí, že to dělat nebde), než když ji mají lokální ISP. Je to jen větší koncentrace moci.

  • 19. 11. 2020 11:15

    Petr Krčmář

    Souhlasím, že koncentrace je rozhodně na škodu. Na druhou stranu je třeba si taky uvědomit, že takový velký poskytovatel je pod podrobnou veřejnou kontrolou a kdyby něco resolvoval chybně (záměrně či chybou), rychle se na to přijde. Takový poskytovatel DNS resovleru navíc není pevně určen, ale je možné ho změnit.

    Rozhodně se mi ale víc líbí přístup DNS-over-TLS, který přidává tu šifrovací vrstvu a není nutně spojen s přechodem k jednomu velkému poskytovateli. Chrome třeba jen testuje, jestli používaný resolver umí DoT a přejde na něj. Zůstane ale u stejného resolveru, jaký by se používal s klasickým DNS.

  • 19. 11. 2020 11:38

    Miroslav Šilhavý

    Celé je to nekoncepční.
    O resolvování se má starat operační systém, který je v podniku nastaven podle politik, případně i samotná DNS mohou mít svoje speciální nastavení.

    Je úplně na prd, že vznikne situace, kdy celý OS bude resolvovat jednou cestou, ale debilní prohlížeč jinou. Chyby se budou hledat úplně šíleně.

    Vzhledem k tomu, že je zde cesta přes DNS-over-TLS, tak celý tento počin smrdí tím, že Mozilla chce mít k dispozici statistiky. Uživatelé se mohou zbláznit, když chce nějaký program odesílat telemetrii - tak asi doufají, že touto cestou ji získají a ještě jim lidi zatleskají.

    Mozilla je pod veřejnou kontrolou, ale zjevně je to moc netrápí. Jakmile se toto jednou zavede jako standard, přijdou s tím i další prohlížeče, které se už chovají čistě komerčně. Mozilla poslouží jako užitečný blbeček, který prosadí to, z čeho ostatní získají.

  • 19. 11. 2020 12:01

    Filip Jirsák

    O resolvování se nikdy nestaral operační systém, vždy to byla jen knihovna. Když dodavatelé těch knihoven zaspali a neposkytují potřebnou funkcionalitu, tak si to holt prohlížeče implementovaly samy.

    A ta konspirační teorie o získávání statistik… Co by tím kdo asi získal?

  • 19. 11. 2020 12:33

    Miroslav Šilhavý

    O resolvování se nikdy nestaral operační systém, vždy to byla jen knihovna.

    To už je jen slovíčkaření. Podstatou je, že se o to má starat operační systém (nebo jeho knihovna) a napříč celým systémem to má fungovat a být spravováno jednotně.

    Když dodavatelé těch knihoven zaspali a neposkytují potřebnou funkcionalitu, tak si to holt prohlížeče implementovaly samy.

    A ta konspirační teorie o získávání statistik… Co by tím kdo asi získal?

    A co získali tím, že nakoncentrují požadavky do jednoho místa, když existují i jiné možnosti (DNS-over-TLS)?

    Prohlížeče už roky trpí tím, že je čím dál větší tlak na to, aby se nedaly identifikovat, rozpoznávat, ... DoH je kravský nápad, který všechny tyto snahy popře.

    Stejně byste se mohl ptát, co získávají programy zasíláním anonymní telemetrie? Podle mě taky nic moc, resp. záleží na tom, jestli to někdo na druhém konci nezneužije. Je na prd, pokud existuje snaha tyto praktiky omezovat, a pak zavést takto kruciální vlastnost, která vše popře.

  • 19. 11. 2020 13:44

    Filip Jirsák

    A co získali tím, že nakoncentrují požadavky do jednoho místa, když existují i jiné možnosti (DNS-over-TLS)?
    Použitý protokol (DNS-over-UDP, DNS-over-TLS nebo DNS-over-HTTPS) vůbec nesouvisí s tím, kdo bude překlad provádět. Při použití DNS-over-UDP klidně můžete používat „jedno místo“ (třeba servery Googlu, Cloudflare nebo IBM), stejně tak při použití DNS-over-HTTP můžete klidně používat resolver v místní síti.

    Prohlížeče už roky trpí tím, že je čím dál větší tlak na to, aby se nedaly identifikovat, rozpoznávat, ... DoH je kravský nápad, který všechny tyto snahy popře.
    DoH s tím nijak nesouvisí.

    Stejně byste se mohl ptát, co získávají programy zasíláním anonymní telemetrie?
    Ptát bych se na to mohl, ale odpověď znám, takže se na to ptát nepotřebuju. Získávají tím informace o chybách v programu a o používání programu – takže pak třeba mohou optimalizovat dlouhotrvající funkce, rozšiřovat funkcionalitu, kterou uživatelé často používají, upravovat UI, který se uživatelům těžko používá, odstraňovat nepoužívané funkce.

    pokud existuje snaha tyto praktiky omezovat
    Neříkal bych „existuje snaha omezovat“, když jde o pár jedinců, kteří netuší, o co jde.

    pak zavést takto kruciální vlastnost, která vše popře.
    Ta vlastnost nic nepopírá. Můžete používat lokální DoH resolver ve své síti úplně stejně, jako používáte DNS-over-UDP resolver. Navíc pokoušet se sledovat uživatele skrze jeho požadavky na překlad DNS je asi to nejblbější možné místo, míň informací už asi získat nejde. Prohlížeč uživatele přeloží doménové jméno a pak ho má třeba hodiny nebo i dny v cache. Nevíte vůbec nic o tom, jestli za tu dobu navštěvuje daný web nebo ne, nevíte vůbec nic o konkrétních adresách na tom webu, které uživatel navštěvuje.

  • 19. 11. 2020 13:41

    Jan Hrach

    > O resolvování se nikdy nestaral operační systém, vždy to byla jen knihovna.

    Já běhové prostředí, a v tomto případě třeba libc, považuji za součást OS.

    > A ta konspirační teorie o získávání statistik… Co by tím kdo asi získal?

    Co získala Cambridge Analytica? A napadlo by vás to před tím, než to někdo leaknul?

  • 19. 11. 2020 14:25

    bez přezdívky

    Je to jen trolení, nebo chceš říct, že hierarchicky je prohlížeč nad systémem? Takový názor by mě nepřekvapil od někoho, pro koho internet == Facebook, ale v diskuzi na technicky zaměřeném serveru už docela jo.

  • 19. 11. 2020 15:20

    bez přezdívky

    Možná mi něco uniká, ale stávající způsob fungování, tj. OS poskytující aplikacím funkci resolveru, mi dává daleko větší smysl, a tudíž bych takové řešení sotva považoval za debilní. Jestli bude překlad jmen provádět přes nešifrovaný UDP provoz, přes DOH nebo DOT už je jiná věc, ale bude to logicky soustředěné na jednom místě. Bude to systematičtější a snadnější na správu a řešení problémů, na rozdíl od situace, kdy si každá aplikace bude překlad jmen provádět sama, jak ji zrovna napadne.

  • 19. 11. 2020 17:38

    bez přezdívky

    No tak si odmyslete nedůležitá sprostá slova a soustřeďte se na jádro bince, když ping a prohlížeč polezou každý někam jinam. Je opravdu tak důležité, který z nich je správně?

    "Když máte jedny hodinky, víte přesně, kolik je hodin. Když máte dvoje, nikdy si nemůžete být jisti."

  • 19. 11. 2020 13:33

    J ouda (neregistrovaný) ---.jirkan.cz

    Tak neviděl bych riziko velkého poskytovatele DoH v tom, že by riskoval pověst a úmyslně chybně resolvoval, mnohem větší nebezpečí vidím v tom, že tím že vidíte DNS víte o daném uživateli prakticky úplně všechno. A že takto cenná data nezneužívá ani neukládá mu můžete maximálně naivně věřit.

  • 19. 11. 2020 14:37

    SB

    Tak pravdou je, že nešifrované DNS je z pohledu důvěrnosti dat problémem. Z tohoto pohledu je návrh Mozilly pokrokem. Ale provedení by mělo vypadat tak, že by bylo možno zadat třeba 5 serverů, které se budou náhodně vybírat pro dotaz, aby nebylo možné sestavit kompletní cestování uživatele po webu.

  • 19. 11. 2020 18:16

    bez přezdívky

    Návrh Mozilly je krok späť.

    Mozilla nevie, či operačný systém resolvuje cez 53/udp, 853/udp, DoH, LDAP, NIS, alebo poštovými holubami. Keď aplilkácia zavolá gethostbyname(), tak je od toho pekn odtienená. Správca miestnej siete vie, ako to tam funguje a nastavil politiky OS, aby zodpovedali sieti. Teraz príde Mozilla a ako slon v porceláne všetko rozbije.

    Navyše to, že v lokálnej sieti sa ide 53/udp po najbližší resolver neznamená, že ten resolver ide von tak isto. Kľudne tam môže byť nejaký kresd alebo stubby, ktoré s vonkajším svetom komunikujú cez DoT/DoH, bez toho, aby o tom Mozilla vedela, resp. sa s tým musela trápiť. A ako bonus, takého riešenie nič lokálne nerozbije.

  • 23. 11. 2020 9:19

    SB

    Asi máte pravdu, v OS je to určitě koncepčnější, na druhé straně těžko zakazovat aplikaci, aby někam komunikovala, když to bude potřebovat, např. používat servery DNS s vlastními jmennými prostory.

  • 19. 11. 2020 11:23

    cjohn

    To by asi vyriesila moznost nakonfigurovania viacerych DOH poskytovatelov, kedzi ktorych by sa rozdelovali DNS dotazy podla daneho algoritmu. Ziaden DOH by teda nemal cely zoznam vasich dotazov. Odporucam pripomienkovat Mozille.

  • 19. 11. 2020 13:21

    J ouda (neregistrovaný) ---.jirkan.cz

    Takže jako Google by viděl c9378fe.phcdn.com, Amazon třeba ad123fn.phcdn.com, CloudFlare zase premium.pornhub­.com?
    A provider pro změnu traffic do IPček patřící Pornhubu?

  • 19. 11. 2020 14:41

    SB

    Pak nemůžete v bedně používat DoH. Platí, že zařízení dotazující se šifrovaně si musí řešit případné filtrování samo.

    19. 11. 2020, 14:42 editováno autorem komentáře

  • 19. 11. 2020 18:20

    bez přezdívky

    Thatsthepoint.jpg

    Myslíte, že sa výrobcovia bedien budú pýtať na povolenie? Zhruba asi tak, ako dnes ignorujú otvorené wifi, keď im nedáte heslo k vašej? Jednoducho to tak natvrdo použijú a používateľ má smolu. Tak ako dnes chromecast natvrdo používa 8.8.8.8.

  • 20. 11. 2020 13:48

    bez přezdívky

    Tak to potom sorry. Chcel som poukázať, že bežný používateľ nebude mať na výber, pokiaľ za výber nepovažujeme, že sa danej veci úplne vzdá.

  • 19. 11. 2020 12:07

    KubaV

    Novější verze pihole mají implementovanou canary domain, takže firefox automaticky přepne na normální DNS. To se ale děje jen v případě výchozího nastavení firefoxu. Pokud nastavíš volbu "Enable DoH", bude se canary domain ignorovat.

  • 19. 11. 2020 13:30

    RRŠ

    Zajímalo by mne, jak si to (canary domain) nastavím na domácím routeru?
    Přeci jen je jednodušší mít doma zařízení pojmenovaná, v doméně, která není "zvenku" obsluhovaná (nebo jen částečně). Teď mám DNS server naučený na domácí techniku - a co nezná, na to se doptá. Ale jakmile naskočilo DoH, nedostanu se na NAS, nefunguje "nextcloud", atd. Celé se to rozbilo,
    (A propos: jak vypnout DoH na mobilním FF?)

    19. 11. 2020, 13:31 editováno autorem komentáře

  • 19. 11. 2020 14:09

    Jan Hrach

    > Zajímalo by mne, jak si to (canary domain) nastavím na domácím routeru?

    To záleží, jaký DNS server používáš. Tady je třeba návod pro dnsmasq (co jsem náhodně vygooglil, nezkoušel jsem to). Čekal bych, že informace pro ostatní DNS servery také snadno najdeš.

  • 19. 11. 2020 20:29

    RRŠ

    Myšleno obecně: "co já vím, jak to ten router dělá",
    Většina routerů, co se mi dostaly do ruky, se nechala snadno přesvědčit, aby řídila domácí síť, včetně DNS a DHCP. Nakliká to i poučený laik - a poměrně dobře to fungovalo, dokud nepřišly prohlížeče s tím, že to budou obcházet.
    Pro mne by bylo asi řešením i "domácí DoH", pokud by se choval stejně, jako DNS, tedy resolvoval domácí adresy - ale jak to naučit běžný router? Jak to nastavit na prohlížečích?
    A proč vlastně?
    Ono DoH je velmi dobrá myšlenka, ale mám pocit, že vynucením této funkcionality se napáchá mnohem, MNOHEM víc škod, než (pochybného) užitku.

  • 19. 11. 2020 20:41

    RRŠ

    Jen pro upřesnění - já mám síť postavenou na třech typech routerů: starší ASUSy (WL-500...), nové TP-Linky (OpenWRT) a Turris Omnia. Funguje tam VPN "zvenku" a i na chatě jsem "v domácí síti".
    Podobně to má několik známých (jen bez Turrise): firewall na vstupu, domácí síť s "jednou hlavou", pár chytrých zařízení (NAS, internetové rádio...), To všechno na "interní" doméně, někdy i s "nereálnou" TLD ("www.nas.majer", "pchonza.majer"). Komunikace HTTPS, postavená na soukromé CA, na výjimky v prohlížeči. Není to "úplně správně", ale funguje to.
    Nebo fungovalo.

  • 19. 11. 2020 23:46

    KubaV

    Je to v odkazu do dokumentace mozilly z minulého komentáře, stačí resolvovat "canary domain" (www.use-application-dns.net) a tím se dá firefoxu najevo aby nepoužil DoH. V nastavení prohlížeče se to samozřejmě dá vypnout všude. "Zapnout DoH všem" znamená těm, kteří mají výchozí nastavení. Neznamená to zrušit jiné volby.

  • 20. 11. 2020 8:55

    Miroslav Šilhavý

    @KubaV

    Špatné je to obrácení logiky. Vychází se z toho, že operační systém ví, co dělá a že síť je nastavená. Programy to mají respektovat. Pochopitelně mohou nabídnout jinou alternativu, ale změnit výchozí chování je špatně. Obdobně špatně se chová Mozilla k úložišti certifikátů, kdy obchází systémové a razí si svoje vlastní.

    Jdou silou hlavou proti zdi. Chápu, že se to někdy dělá - může to zaujmout uživatele a přinést konkurenční výhodu. Pochybuji však, že DoH nebo úložiště certifikátů jsou na tolik atraktivní témata, že zajímají širokou veřejnost. Daleko víc mi přijde, že uživatele díky tomu zažívají a zažijí problémy, které jinde nepotkají.

    DoH či vlastní certstore může být zajímavý pro úzkou (avšak stále zajímavou) část uživatelů. Ti zase nesou nelibě, že Mozilla přináší změny v UI a ovládání. Takže mi to přijde, že v Mozille dělají vše pro to, aby něčím naštvali každého.

    20. 11. 2020, 08:57 editováno autorem komentáře

  • 20. 11. 2020 12:17

    KubaV

    @Miroslav Šilhavý
    Reagoval jsem na dotaz jak to nastavit. Jen jsem popsal, co jsem si našel v dokumentaci, když jsem se potýkal se stejnými otázkami. Nesmyslné diskuze o tom jak je mozilla zlá a co všechno můžou různí blázni vyčíst mezi řádky mě nezajímají.

    Jinak mimo téma, docela bych ocenil, kdyby root pro přihlášené implementoval blokování příspěvků od určitých uživatelů. Protože tyhle flamy tady pořád dokola rozjíždí ti samí a rozumná diskuze tak úplně zapadá.

  • 19. 11. 2020 15:09

    Ondřej Caletka

    Nemyslím si, že zapnutí DoH povede k jakémukoli zvýšení soukromí. Dosud většina lidí používá DNS resolvery poskytované místní sítí, která má také přístup k veškerému provozu. Některé z nich nepochybně těží data, ale pokud se jim to pomocí DoH znemožní, budou těžit v podstatě tatáž data z netflow a případně i z SNI hlaviček. Je to sice složitější, ale penzum dat, které se dá takto vytěžit je v podstatě srovnatelené.

    Takže místní síť data o pohybu uživatelů na webu bude mít jak s DoH, tak i bez. Ale v případě varianty DoH stejná data navíc bude mít Cloudflare (případně jiná globální služba). Tedy entit s přístupem k soukromým údajům bude po zapnutí DoH víc než před tím. Proto to efekt může mít jen krátkodobý, než se provozovatelé místních sítí naučí těžit data z jiných zdrojů než DNS.

  • 19. 11. 2020 21:42

    Adam Přibyl

    K cemu ty hierarchicke DNS mame, kdyby se vsichni dotazovali jednoho DNS serveru... ta implementace od mozilly je cela spatne, at to tam nechaji jako vlastnost, ale nedelaji to povinne, kdo to potrebuje at si to zapne (samozrejme to budou delat i pubertaci aby obesli rodicovskou kontrolu atd...).

  • 19. 11. 2020 21:53

    Adam Přibyl

    Tak jsem koukal na ten pripominkovaci proces - no to je hruza, musite precist nekolikastrankove PDF, z nej odpovedet mailem na vsechny body, jinak na vas kaslou. To je jak statni instituce, kdyz vyplnujete formular a jednu kolonku zapomenete... ta mozilla je teda v tristnim stavu. :( A ty blaboly jak poskytovatel DoH musi splnovat jakesi podminky pro soukromi. Me to tedy smrdi spis tim, ze Mozilla potrebuje penize, google vysycha a tak prihravaji data nekomu jinemu. A vyhruzky ze MS, Google i Apple uz DoH taky brzo budou mit, tak Mozilla musi taky...

  • 20. 11. 2020 6:15

    J ouda (neregistrovaný) ---.jirkan.cz

    Taky na mě dělá dojem, že celá taškařice kolem DoH je primárně velkým přihrát data o kterým se jim může jen zdát i přes všechny současné šmírovací technologie, a kecy o jakémsi soukromí jsou jen žvásty (na to by mnohem lépe fungovalo protlačení DoT do systémových resolverů - jenže tam chybí onen krok "přesměrujem všechny defaulty do Centra" tak to není tak lákavé)

  • 21. 11. 2020 0:10

    Jan Hrach

    Přihrát data „čas:navštívená doména“, segmentované minimálně podle IP adresy, s trochou smůly (browser/OS fingerprinting) i podrobněji, defaultně nastaveným poskytovatelům DoH a provozovateli jejich infrastruktury. Bylo to tak těžké vymyslet?

  • 21. 11. 2020 9:29

    Filip Jirsák

    Správce DNS serveru nemá žádný způsob, jak zjistit kombinaci čas a navštívená doména. Doménové jméno se přeloží jednou a pak je v cache.

    No a pak hlavně velcí poskytovatelé DNS serverů ty údaje kdy, jaká IP adresa a jakou doménu překládá, mají už teď. Tím, že se jich budete dotazovat jiným protokolem, se nic nezmění.

    Bylo to tak těžké vymyslet?
    Nebylo. Ale já jsem myslel, že máte něco, co dává smysl. Nesmyslů se samozřejmě dá vymyslet spousta.

  • 21. 11. 2020 18:32

    Jan Hrach

    > Doménové jméno se přeloží jednou a pak je v cache.

    OK, tak si to upravte na „čas prvního navštívení a pak každé další navštívení po vypršení TTL“.

    > No a pak hlavně velcí poskytovatelé DNS serverů ty údaje kdy, jaká IP adresa a jakou doménu překládá, mají už teď. Tím, že se jich budete dotazovat jiným protokolem, se nic nezmění.

    Aktuálně browser používá resolver nastavený v systému, což bude většinou server ISP a občas Google DNS. Po této změně bude centralizovaný server používat vždy, až na ten mizivý počet uživatelů, co si to změní.

  • 20. 11. 2020 10:01

    Miroslav Šilhavý

    Je to docela přirozené. Pokud má Mozilla získat peníze, buďto by musela prohlížeč prodávat (nereálné), nebo musí poskytnout platformu pro jiný subjekt (apple má svůj prohlížeč, microsoft a google taky - takže tudy taky cesta nevede), nebo zbývají příjmy z reklamy. Na poli reklamy kralují google a sociální sítě, které umějí reklamu cílit: tedy reklamní prostor a počet impresí je využit s velkou efektivitou. Pokud chce Mozilla efektivitu reklamy zvýšit, ať už přímým prodejem, nebo poskytnutím platformy pro třetí strany, musí mít nejen uživatele, ale i nástroje pro cílení. DoH je perfektní nástroj, protože to teoreticky vypadá jako prospěšný nástroj a posun technologie. DoH v určitém ohledu zvyšuje soukromí uživatelů, ale "vedlejším efektem" koncentruje a zpřístupňuje cenné informace.

    Nechť DoH existuje, ale vynucené zapnutí prostě smrdí.

  • 20. 11. 2020 10:53

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Právě podle toho mohou. Stačí splnit podmínky. A to byl taky účel. Původní záměr před mnoha lety byl, že GDPR má pomoct při předávání bankovních dat třetím subjektům a tím podpořit finanční trh. Jak vidíme, zasáhlo to nakonec všechny a nyní už se připravuje evropský datový trh. Počítám, že sloganem bude "S GDPR nám nic nehrozí". Nevím, ale každopádně 21. stol. je století dat a to, že něco nejde nyní neznamená, že po tom nebude poptávka za pár let. Je potřeba mít připravenou infrastrukturu. Dokonce se běžně hovoří o dalším posunu, ale to je mimo tuto debatu. Rozhodně jdou všichni po uživatelských datech a tento trend nevypadá, že by vysychal ... takže takové úvahy rozhodně nejsou mimo i když na to dojít nemusí.

    20. 11. 2020, 10:54 editováno autorem komentáře

  • 20. 11. 2020 11:02

    Miroslav Šilhavý

    GDRP nijak nezakazuje snahy o cílení marketingu. Jediným účelem GDPR je to, aby třetí osoby neměly data, která dokáží spojovat k uživateli, ale pokud je mají z legálních důvodů, pak je mohou v rámci dalších pravidel využívat. DoH je právě takový legální a zdánlivě legitimní důvod, jak data získat. Tím odstraňujete překážku č. 1 - tu největší, jak se vůbec k datům dostat, aniž byste potřeboval explicitní souhlas uživatele. Zůstává sice překážka č. 2, ale s tou už se dá pracovat.

    Přístup Mozilly je dost progresivní způsob. Je možné, že zpřísňující se normy zakáží úplně používání metod, které dnes využívá Google a další, které jsou vázány na konkrétní identifikaci uživatele (zjednodušeně: cookies). V takovou chvíli získá tržní výhodu ten, kdo bude mít sice méně přesnou metodu cílení, ale legální.

  • 20. 11. 2020 11:10

    Filip Jirsák

    ale pokud je mají z legálních důvodů, pak je mohou v rámci dalších pravidel využívat
    Nikoli, tohle je přesně to, co GDPR zakazuje. Osobní údaje můžete používat pouze k tomu účelu, ke kterému vám dala osoba souhlas, nebo který plyne ze zákona.

  • 20. 11. 2020 11:41

    Miroslav Šilhavý

    Nikoli, tohle je přesně to, co GDPR zakazuje. Osobní údaje můžete používat pouze k tomu účelu, ke kterému vám dala osoba souhlas, nebo který plyne ze zákona.

    Osobní nebo identifikující údaje ano. Statistické jevy z těchto dat sledovat můžete a můžete na ně reagovat. To GDPR nezakazuje.

  • 20. 11. 2020 11:42

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    "pouze k tomu účelu, ke kterému vám dala osoba souhlas"

    a tak se dělá to

    pokud je mají z legálních důvodů, pak je mohou v rámci dalších pravidel využívat

  • 20. 11. 2020 11:16

    Filip Jirsák

    Je fascinující, kolik lidí tady „zasvěceně“ diskutuje o něčem, o čem vůbec nic neví.

    Předvolený DoH server ve Firefoxu je Cloudflare. Dále je tam na výběr NextDNS a pak možnost zadat vlastní adresu.

    Teď mi prosím někdo z těch, kdo tady pořád řeší, jak bude Mozilla sbírat údaje, prozraďte, jak přesně se k těm údajům Mozilla dostane.

  • 20. 11. 2020 11:25

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Udělá ze sebe* jediný zdroj, který bude mít znalost toho, co uživatel požadoval.

    *pokud to uživatelé použijí a většina jistě nebude měnit default DNS server

  • 20. 11. 2020 11:56

    Filip Jirsák

    Teď si zkuste přečíst i druhý odstavec komentáře, na který jste reagoval. Dozvíte se tam, který DoH server je ve Firefoxu nastavený jako defaultní.

  • 20. 11. 2020 12:52

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Filip Jirsák

    Zkuste se zamyslet, jestli to tak, jak je to dnes musí zůstat na vždy. A pak se zkuste zamyslet, jestli zrovna tento vztah - kam se to má přepnout - nemůže být zrovna ta výhoda/dohoda/u­žitek pro FF, o které spekuloval pan ŠIlhavý. Něco jako "podpora vyhledávacích enginů" a který je nastaven jako default.

  • 20. 11. 2020 13:35

    Filip Jirsák

    Je přece úplně nesmyslné něco takového řešit v debatě o zavedení DoH. Mozilla by nejprve musela vybudovat své vlastní DoH servery, pak by na ně teprve mohla přesměrovat provoz. Jenže to vůbec není podmíněné DoH. Stejně tak by mohla vybudovat své DNS UDP servery, nebo třeba DNS over TLS. Když se řeší zavedení DoH jako default, má smysl se bavit o tom, a ne o nějakých chimérách.

  • 20. 11. 2020 13:43

    Miroslav Šilhavý

    Je přece úplně nesmyslné něco takového řešit v debatě o zavedení DoH. Mozilla by nejprve musela vybudovat své vlastní DoH servery, pak by na ně teprve mohla přesměrovat provoz.

    To není úplně pravda. Z kompletně decentralizovaného řešení se zavádí něco, co bude omezeně centralizované. Je jedno, jestli beneficientem takového počinu přímo Mozilla, nebo nějaká třetí strana. Je jedno, jestli to bude po dohodě s Mozillou, nebo jestli Mozilla poslouží jen jako užitečná paka, která to umožní.

    V této diskusi je důležité, že ten směr je špatný, minimálně v této době, kdy DoH bude směřovat jen na omezené množství serverů a navíc na přednastavené od někoho.

  • 20. 11. 2020 13:48

    Filip Jirsák

    Protokoly DNS-over-UDP, DNS-over-TLS i DNS-over-HTTPS jsou neutrální z pohledu toho, jestli to bude centralizované nebo decentralizované řešení. Nebo-li ty samé servery, které dnes poskytují DNS-over-UDP, mohou poskytovat DNS-over-HTTPS. Takže ten váš „špatný směr“ je jenom to, že vycházíte ze špatného předpokladu.

  • 20. 11. 2020 14:06

    Miroslav Šilhavý

    @Filip Jirsák

    Ano, teoreticky máte pravdu, ale v praxi jsou dvě překážky:
    1. omezený výběr poskytovatelů DoH,
    2. přenastavení, které si většina lidí nebude mít důvod / schopnosti / motivaci měnit

    Pokud nic, tak s implicitním přepnutím přicházejí v nepřipravené době.

  • 20. 11. 2020 14:19

    Filip Jirsák

    Počet poskytovatelů závisí na tom, jak moc se to používá. Nikdo nebude zavádět DoH ve vlastní síti, když to nikdo nepoužívá.

    Výchozí nastavení ve Firefoxu je dnes Cloudflare. Takže ty vaše spekulace o tom, jak z toho bude Mozilla těžit informace, jsou mimo.

    Pokud mají fungovat DoH servery v lokálních sítích, je potřeba řešit to, aby bylo možné DoH resolver konfigurovat ekvivalentním způsobem k DNS-over-UDP. Jestli se nepletu, Chrome to dnes dělá tak, že zjistí, zda nakonfigurovaný DNS resolver podporuje DoH, a pokud ano, použije DoH. To je jedna z možností.

  • 20. 11. 2020 15:53

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Filip Jirsák

    Nejsem si jistý, že úplně sdílím obavy p. Šilhavého, ale Vy prostě argumentujete technickým aspektem proti jeho poznámce spíše obchodního a strategického pohledu.
    Na druhou stranu si dovedu představit, ze se velcí poskytovatelé DNS jednoho dne pokusí zajistit excluzivitu napr. pomoci podepsanych certifikátú a pak je prostě nedaji jen tak někomu. Takze vlastní dns si sice bude moct dále zřidit každý, ale vetsina komerčích služeb mu nepojede.Z dnesniho pohledu je to sice přiřažené za vlasy, ale nemožné to neni. V podstatě asi jako MS s bootloaderem jak si tak matně vzpomínam - principiálně.

    20. 11. 2020, 15:56 editováno autorem komentáře

  • 20. 11. 2020 16:34

    Filip Jirsák

    On ten obchodní a strategický pohled ovšem z téhle technické stránky vychází. Prodávat něco, co nemám, totiž nejde.
    Je nesmyslné argumentovat tím, že se něco možná jednou může stát. To můžete říct, že Mozilla možná jednou začne vyrábět tanky, Chrome možná jednou koupí Čína a Linus se možná jednou stane vůdce náboženské sekty a všechno to na základě těchhle „možná“ odmítnout.

  • 20. 11. 2020 16:48

    Miroslav Šilhavý

    Je nesmyslné argumentovat tím, že se něco možná jednou může stát. To můžete říct, že Mozilla možná jednou začne vyrábět tanky, Chrome možná jednou koupí Čína a Linus se možná jednou stane vůdce náboženské sekty a všechno to na základě těchhle „možná“ odmítnout.

    To si nemyslím. Jsou rozhodnutí, která se přiklánějí ke směru, který chceme (ochrana soukromí), nebo která nás od něj, aspoň dočasně odklánějí. To, že DoH může být decentralizované je zatím jen teorie, v praxi ta infrastruktura neexistuje. Přednastavený cloudflare nás ještě víc oddálí od kýženého stavu - zvýší se jen procento spokojených uživatelů, aniž by tušili, že budují zranitelnost.

    Až Google začne konat kroky, které povedou k převzetí Čínou, bude taky čas se proti tomu ozvat. Až se do kódu Linuxu dostane něco, co nedává smysl nikomu jinému, než členům Linusovy sekty, bude čas brojit proti jeho commitům. Mozilla tuhle čáru podle mě právě překročila.

  • 20. 11. 2020 17:03

    Filip Jirsák

    V tom případě nevím, co vám vadí. Implementace DoH se přiklání ke směru, který chceme – ochrana soukromí.

    V praxi samozřejmě infrastruktura pro DoH není rozvinutá proto, protože to málokdo používá. Ono je potřeba také počítat s reálným světem, že se do kýženého stavu nedostanete mávnutím kouzelného proutku, ale je potřeba dělat postupní krok, které na sebe navzájem navazují. Dneska už DoH podporují otevřené resolvery CZ.NICu, podporuje to Knot DNS Resolver – to dříve nebylo a nebylo by to ani dnes, kdyby to prohlížeče neimplementovaly.

    Mozilla tuhle čáru podle mě právě překročila.
    Jasně, otevřením diskuse o plošném zavedení DoH překročila Mozilla čáru k prodeji dat z vlastních DNS resolverů. Co na tom, že Mozilla veřejné DNS resolvery nemá, a kdyby je měla, nepotřebuje DoH.

  • 20. 11. 2020 17:45

    Miroslav Šilhavý

    V praxi samozřejmě infrastruktura pro DoH není rozvinutá proto, protože to málokdo používá. Ono je potřeba také počítat s reálným světem, že se do kýženého stavu nedostanete mávnutím kouzelného proutku, ale je potřeba dělat postupní krok, které na sebe navzájem navazují. Dneska už DoH podporují otevřené resolvery CZ.NICu, podporuje to Knot DNS Resolver – to dříve nebylo a nebylo by to ani dnes, kdyby to prohlížeče neimplementovaly.

    V praxi je jakákoliv technologie málo rozvinutá jen kvůli tomu, že nemá reálný přínos. Tedy, že náklady převyšují přínosy. Podobné je to s IPv6, kterou by sice všichni chtěli, ale v praxi přináší problémy, které přínos ničí.

    Je správně, že prohlížeč přináší možnost. Bez toho by ta technologie neměla ani šanci. Pak už je jen na uživatelích (nebo spíš na správcích), jestli usoudí, že to v jejich prostředí bude přínosem, nebo jen komplikací.

    Vynucením absolutně zamáznete právě ten nutný feedback, jestli to někoho zajímá. Dost možná by se stalo, že DoH budou správci považovat za kravinu a budou se věnovat jinému směru. Pak zvítězí ta nejlepší technologie, nikoliv ta naordinovaná.

    My dva se lišíme především v tom, že já zastávám na tyto otázky názor, že vývoj má být přirozený. Technologie mají být k dispozici a ne vynucené. Tento princip u mě převažuje i nad tím, že si osobně myslím, že je technologie dobrá. Každý diktát začíná tím, že na začátku někdo páchá dobro silou. Postupně se to dobro vytratí a zůstane jen ta síla.

    A jestli chcete znát můj názor: Mozilla poslouží, stejně jako v případě šifrujeme-každou-sračku, za toho užitečného blbce, který na tom nevydělá, ale pomůže to prosadit. Vydělá na tom nějaký jiný velký hráč, který nemá co ztratit, když data začne využívat. Případně si Mozilla naštve část i toho zbytku svých příznivců.

  • 20. 11. 2020 20:31

    Filip Jirsák

    V praxi je jakákoliv technologie málo rozvinutá jen kvůli tomu, že nemá reálný přínos.
    Jo, jasně. Nejdřív se vyrobí tisíce aut na sklad, vytvoří se tisíce kilometrů silnic – a pak můžeme říct „technologie je dostatečně rozvinutá, můžeme to spustit“. Mohl byste jmenovat jednu jedinou technologii, která se dala všem k dispozici hned jako rozvinutá technologie?

    Je správně, že prohlížeč přináší možnost.
    Přesně tak to s DoH je.

    Vynucením absolutně zamáznete právě ten nutný feedback, jestli to někoho zajímá.
    Vy jste zase o několik měsíců pozadu. Teď v prohlížečích ta možnost je. Přesně jak chcete. A teď Mozilla začíná diskusi o tom, jestli z DoH neudělat výchozí stav. Vy tedy něco kritizujete, a pak popíšete jak by to mělo být – a popíšete přesně to, co se děje. Akorát jste si asi nezjistil, jak to v reálu je.

    Pak zvítězí ta nejlepší technologie, nikoliv ta naordinovaná.
    Aby to takhle fungovalo, musel by Firefox zrušit výchozí hodnotu a po instalaci donutit uživatele, aby si vybral, kterou technologii chce používat.

    My dva se lišíme především v tom, že já zastávám na tyto otázky názor, že vývoj má být přirozený.
    Ne, my dva se lišíme v tom, že vy se tváříte, že současný stav je přirozený a jakákoli změna je nepřirozená.

    Technologie mají být k dispozici a ne vynucené. Tento princip u mě převažuje i nad tím, že si osobně myslím, že je technologie dobrá.
    Hm, hezké, hezké. Jenom jste zapomněl na takový drobný detail. Že už dnes je ve Firefoxu výchozí volba pro technologii pro DNS. Akorát je implicitní – tedy musíte zvolit DoH, a když ho nezvolíte, použije se knihovní funkce, tedy DNS-over-UDP. Pořád mluvíte o tom, že se ty technologie mají utkat a má se přirozeně vybrat ta nejlepší – a přitom ignorujete, že teď je jedna varianta výchozí. Což rozhodně není férová soutěž.

    A jestli chcete znát můj názor: Mozilla poslouží, stejně jako v případě šifrujeme-každou-sračku, za toho užitečného blbce, který na tom nevydělá, ale pomůže to prosadit. Vydělá na tom nějaký jiný velký hráč, který nemá co ztratit, když data začne využívat. Případně si Mozilla naštve část i toho zbytku svých příznivců.
    Víme, že jste zatím nepostřehl, že nešifrovat na internetu je nepřirozený stav (proti kterému jinak tolik bojujete). Že na DoH vydělá nějaký velký hráč je zase jen vaše ničím nepodložená spekulace.

    DNS-over-UDP je holt zastaralý protokol, který má v dnešní době výrazné nedostatky. Je snadné po cestě manipulovat dotazy i odpovědi (i když podepisujete DNSSEC, zahození dotazu nebo odpovědi je pro uživatele vážný problém). Je snadné komunikaci sledovat. Je primárně založená na UDP, takže je náchylná na podvržené adresy.

    Alternativy, které zatím přirozeně uspěly, jsou dvě – DNS-over-TLS a DNS-over-HTTPS. Ve spoustě sítí bohužel funguje jen HTTP a HTTPS, takže přirozeně (přesně jak chcete) vítězí DNS-over-HTTP. Mně se to třeba nelíbí, technicky dává větší smysl DNS-over-TLS, ale to je holt ten přirozený vývoj.

  • 20. 11. 2020 20:49

    Miroslav Šilhavý

    Jo, jasně. Nejdřív se vyrobí tisíce aut na sklad, vytvoří se tisíce kilometrů silnic – a pak můžeme říct „technologie je dostatečně rozvinutá, můžeme to spustit“. Mohl byste jmenovat jednu jedinou technologii, která se dala všem k dispozici hned jako rozvinutá technologie?

    To je jiný příklad. Právě málo technologií se stalo úspěšnými, pokud je někdo tlačil silou z naivního přesvědčení, že to vymyslel lépe. Příkladem jsou elektromobily - ví se, že je vyrobit, vyrobit elektřinu a distribuovat ji, není zatím v našich možnostech. Plug-in hybridy jsou krásný příklad, kdy lidé mohou šetřit peníze i přírodu (teoreticky), ale ve skutečnosti tankují jen tradiční paliva. Není to životaschopné. Nepodařilo se to ani severským státům, které do infrastruktury a dotací na pořízení nalily bambiliony peněz.

    Vývoj má být přirozený, mají vznikat možnosti a trh se jich chopí ve správnou dobu.

    Firefoxu výchozí volba pro technologii pro DNS. Akorát je implicitní – tedy musíte zvolit DoH, a když ho nezvolíte, použije se knihovní funkce, tedy DNS-over-UDP. Pořád mluvíte o tom, že se ty technologie mají utkat a má se přirozeně vybrat ta nejlepší – a přitom ignorujete, že teď je jedna varianta výchozí. Což rozhodně není férová soutěž.

    Tak to rozhodně je férová soutěž. Nová technologie musí být tak výrazně přínosná, aby se každému vyplatilo na ni přejít. Je nesmysl vynakládat spousty peněz (např. spojených s řešením nových problémů), pokud je přínos vnímán jako malý. Chápu, že jste si usmyslel, že je to pro lidstvo lepší technologie, ale nechť se každý rozhodne sám.

    Víme, že jste zatím nepostřehl, že nešifrovat na internetu je nepřirozený stav (proti kterému jinak tolik bojujete).

    Ne, nechápete mě. Mně šifrování nevadí a Let's Encrypt jsem začal používat velmi záhy. Vadí mi to, že kolem sebe vidím spoustu lidí (zákazníků), kteří v tom nevidí přínos, ale jen výdaje. Těm byla upřena možnost volby, těm byla upřena možnost si přechod naplánovat, až nazraje jejich čas.

    DNS-over-UDP je holt zastaralý protokol, který má v dnešní době výrazné nedostatky. Je snadné po cestě manipulovat dotazy i odpovědi (i když podepisujete DNSSEC, zahození dotazu nebo odpovědi je pro uživatele vážný problém). Je snadné komunikaci sledovat. Je primárně založená na UDP, takže je náchylná na podvržené adresy.

    Souhlas. Ale ať si o tom rozhodne každý podle sebe.

    Ve spoustě sítí bohužel funguje jen HTTP a HTTPS, takže přirozeně (přesně jak chcete) vítězí DNS-over-HTTP. Mně se to třeba nelíbí, technicky dává větší smysl DNS-over-TLS, ale to je holt ten přirozený vývoj.

    Ne, ne a ne. Pokud v nějaké síti funguje jen HTTP a HTTPS, má to nějakou příčinu. Nechme stranou, že příčinou je často dementní postoj někoho v cestě. Ať už je ta příčina "dementní", nebo racionální, je to vždy výsledek nějaké činnosti - např. filtrování, omezování. Opět nechme stranou, jestli na to má někdo právo či morální právo - tato otázka leží mezi poskytovatelem / správcem a uživatelem, ne v naší sféře. Pokud tedy dojdeme k tomu, že takový stav vznikl záměrně, pak je o to méně ospravedlnitelné vnucovat stav jiný z pozice třetího.

  • 20. 11. 2020 21:54

    Filip Jirsák

    To je jiný příklad.
    V čem? Pro auta potřebujete silnice, silnice bez aut nedávají smysl (neberme teď v úvahu koňské povozy apod.). Stejně jako u DoH – klient nebude fungovat bez serveru, a server nedává smysl bez klienta.

    Není to životaschopné.
    To právě není pravda. Právě že to není životaschopné, když je toho jenom půlka. Potřebujete elektromobily a zároveň nabíjecí infrastrukturu. Elektromobil bez nabíjecí infrastruktury je k ničemu, hybridní elektromobil bez infrastruktury bude jezdit na benzín. Infrastruktura bez elektromobilů je k ničemu, nikdo to nebude používat a nezaplatí se investice.

    Vývoj má být přirozený, mají vznikat možnosti a trh se jich chopí ve správnou dobu.
    Zrovna u té elektromobility je to s tou přirozeností všelijaké. Když se to za současného stavu nechá jen na trhu, bude to trvat strašně dlouho. Jenže ani současný stav není přirozený ve vašem smyslu slova – automobilový provoz se spalovacími motory generuje spoustu externalit, spoustu věcí na tom dotuje stát.

    Tak to rozhodně je férová soutěž.
    Výrazně zvýhodnit jedno řešení není férová soutěž.

    Nová technologie musí být tak výrazně přínosná, aby se každému vyplatilo na ni přejít.
    Ano. Přínosy nové technologie mají být větší než náklady zavedení.

    Je nesmysl vynakládat spousty peněz (např. spojených s řešením nových problémů), pokud je přínos vnímán jako malý.
    Je nesmysl porovnávat to nic neříkající slovy „velký“ a „malý“. Nesmysl by byl, pokud by náklady na změnu byly větší než celkový přínos. Což ale nezjistíte tak, že změnu zatížíte nepřirozenými náklady – tím, že uživateli podstrčíte jako výchozí starou variantu.

    Chápu, že jste si usmyslel, že je to pro lidstvo lepší technologie, ale nechť se každý rozhodne sám.
    To vy jste si usmyslel, která technologie je lepší. Já chci rozhodnutí nechat na uživatelích, to vy jim podstrkujete správné řešení.

    Vadí mi to, že kolem sebe vidím spoustu lidí (zákazníků), kteří v tom nevidí přínos, ale jen výdaje.
    Je rozdíl v tom, jaký je skutečný přínos, a v tom, co někdo vidí. Zrovna to nešifrování má výrazné externality. Udá se, že vy s externalitami v té své koncepci „přirozeného vývoje“ vůbec nepočítáte. Já nepovažuju za „přirozené“ hodit svoje náklady na někoho jiného.

    Ne, ne a ne. Pokud v nějaké síti funguje jen HTTP a HTTPS, má to nějakou příčinu. Nechme stranou, že příčinou je často dementní postoj někoho v cestě. Ať už je ta příčina "dementní", nebo racionální, je to vždy výsledek nějaké činnosti - např. filtrování, omezování. Opět nechme stranou, jestli na to má někdo právo či morální právo - tato otázka leží mezi poskytovatelem / správcem a uživatelem, ne v naší sféře. Pokud tedy dojdeme k tomu, že takový stav vznikl záměrně, pak je o to méně ospravedlnitelné vnucovat stav jiný z pozice třetího.
    Jak ne a ne a ne? Popsal jste aktuální stav, ten popisuj je dokonale v souladu s tím, co jsem já napsal. Jenže já jsem to popsal ještě dál. Ten současný stav tedy znamená, že se přirozeně preferuje DoH před DoT. No, a to máme ten aktuální stav, který se vám tolik nelíbí. Chápu, že jste si usmyslel, že je pro lidstvo lepší technologie – ale ať si to každý rozhodne sám. Chcete přece přirozený vývoj.

  • 20. 11. 2020 23:54

    Miroslav Šilhavý

    Výrazně zvýhodnit jedno řešení není férová soutěž.
    (...)
    To vy jste si usmyslel, která technologie je lepší. Já chci rozhodnutí nechat na uživatelích, to vy jim podstrkujete správné řešení.

    Nikoliv. Jsem zastáncem zachování statu quo. Až přijde technologie, která bude lidi lákat, prosadí se. Na to stačí mít možnost - třeba v prohlížeči - ji zapnout. To už je jen malá překážka, která efektivně ukáže, co si svět žádá.

    Je rozdíl v tom, jaký je skutečný přínos, a v tom, co někdo vidí. Zrovna to nešifrování má výrazné externality. Udá se, že vy s externalitami v té své koncepci „přirozeného vývoje“ vůbec nepočítáte. Já nepovažuju za „přirozené“ hodit svoje náklady na někoho jiného.

    Neházíte je na někoho jiného. Právní vztahy jsou (nejčastěji) dvoustranné. Uživatel je možná nezodpovědný / nekvalifikovaný posoudit. Je tu ale ještě druhá strana, která obvykle následky posoudit umí. Jsou tu i správci na straně uživatele, kteří posoudit umějí. Ti všichni umějí vyvinout tlak - tak proč ho vytvářet za ně?

    Ten současný stav tedy znamená, že se přirozeně preferuje DoH před DoT. No, a to máme ten aktuální stav, který se vám tolik nelíbí. Chápu, že jste si usmyslel, že je pro lidstvo lepší technologie – ale ať si to každý rozhodne sám. Chcete přece přirozený vývoj.

    Jasně. Takto to funguje v diktaturách. Nejmoudřejší vůdce rozhodne - lidé přeci mají možnost se vyjádřit zpětně proti... ...heh, nemají, osvěží je vodní děla... ...heh, nikdo za týden neprotestuje - takže asi to bylo moudré rozhodnutí...

    Právě v tom je úskalí Vaší úvahy. Všem vyhovuje současný stav (vyhovuje = mám tím na mysli, že jim to nestojí za to řešit), tak jim násilně vnutíme něco jiného a počítáme s tím, že jim taktéž nebude stát za to protestovat nebo se bránit. Kočka má čtyři nohy => můj pes má taky čtyři nohy => => můj pes je kočka!

  • 21. 11. 2020 10:15

    Filip Jirsák

    Jsem zastáncem zachování statu quo.
    Jsem rád, že jste to konečně správně pojmenoval.

    Až přijde technologie, která bude lidi lákat, prosadí se.
    Je zvláštní, když tohle pravidlo uplatňujete jen na jiné technologie, ale pro vámi preferovanou technologii tohle neplatí a vyžadujete pro ni privilegia.

    Na to stačí mít možnost - třeba v prohlížeči - ji zapnout.
    Někdy to stačit nemusí.

    Neházíte je na někoho jiného.
    Ale házíte to na někoho jiného. Kvůli tomu, že vy chcete provozovat web na HTTP, musí všichni ostatní nést náklady plynoucí z toho, že prohlížeče podporují i HTTP.

    Právní vztahy jsou (nejčastěji) dvoustranné. Uživatel je možná nezodpovědný / nekvalifikovaný posoudit. Je tu ale ještě druhá strana, která obvykle následky posoudit umí. Jsou tu i správci na straně uživatele, kteří posoudit umějí.
    Postřehl jste, že se bavíme o bezpečnosti? Do toho dvoustranného vztahu poskytovatel–uživatel vstupuje ještě třetí strana – útočník. A o tu třetí stranu tady jde.

    Ti všichni umějí vyvinout tlak - tak proč ho vytvářet za ně?
    Nikdo za ně tlak nevytváří. Smiřte se s tím, že stejně, jako vy tlačíte na zachování statu quo, jiní lidé zase tlačí na změny. Ve výsledku z toho vznikne nějaký kompromis.

    Takto to funguje v diktaturách. Nejmoudřejší vůdce rozhodne - lidé přeci mají možnost se vyjádřit zpětně proti
    Co to melete za nesmysly? Jaký nejmoudřejší vůdce? Jaké zpětně? Teď se diskutuje o tom, zda Mozilla zapne DoH všem. Žádné „vyjádřit se zpětně“, ale dopředu. Žádný nejmoudřejší vůdce, ale výsledek diskuse. Je pozoruhodné, jak tady fabulujete o diktaturách, přitom jste to vy, komu vadí, že se o něčem bude diskutovat.

    Všem vyhovuje současný stav (vyhovuje = mám tím na mysli, že jim to nestojí za to řešit),
    Právě v tom je úskalí vašeho uvažování. Za prvé není pravda, že nikomu nestojí za to to řešit – kdyby to tak bylo, nebudeme tady o tom diskutovat. Druhý problém je, že zaměňujete „vyhovuje“ a „nestojí za to to řešit“.

    tak jim násilně vnutíme něco jiného
    To, že je něco jinak, než byste si vy přál, neznamená, že je to násilné.

    počítáme s tím, že jim taktéž nebude stát za to protestovat nebo se bránit
    Vždyť to podle vás nebude žádný problém. Podle vaší definice přece bude v takovém případě všem nový stav vyhovovat.

    Kočka má čtyři nohy => můj pes má taky čtyři nohy => => můj pes je kočka!
    Hezké, ale nijak to nesouvisí s ničím, co jste tvrdil.

  • 21. 11. 2020 11:07

    Miroslav Šilhavý

    Je zvláštní, když tohle pravidlo uplatňujete jen na jiné technologie, ale pro vámi preferovanou technologii tohle neplatí a vyžadujete pro ni privilegia.

    Houby víte, co jsou moje preferované technologie. Většinou hovořím ke způsobu, jakým se novinky snaží prosadit, a o tom, jak "odborná" veřejnost (ta v uvozovkách) to nekriticky přijímá.

    Pokud nějakou technologii otevřeně přijímám, pak jen takovou, u které nevidím ani potenciální negativní důsledky.

    Na to stačí mít možnost - třeba v prohlížeči - ji zapnout.
    Někdy to stačit nemusí.

    Musí. Pokud ani takto jednoduchá akce lidem (správcům) nepřijde zajímavá, pak lze říci, že je ta technologie, aspoň v daný okamžik, neživotaschopná. Příklad: IPv6, které je technicky připravené, ale svět není ochoten.

    Kvůli tomu, že vy chcete provozovat web na HTTP, musí všichni ostatní nést náklady plynoucí z toho, že prohlížeče podporují i HTTP.

    Status quo je základ. Změna statu quo musí být odůvodněna tak zřejmým přínosem, který ostatní vnímají. Nikoliv jen nadutí technici.

    Postřehl jste, že se bavíme o bezpečnosti? Do toho dvoustranného vztahu poskytovatel–uživatel vstupuje ještě třetí strana – útočník.

    Ano. Zlodějům se bráníme třeba zásahy Policie, ale v první řadě dům zamykáme a nenecháváme kabelku na sedačce auta. Nechodíme v noci na profláklá místa (např. Sherwood před Hlavním nádražím). Nyní je to tak, paralela, jako kdyby nám někdo neautorizovaný nařídil, že tam ani nesmíme, ve vlastním zájmu, vůbec projít. Ale jsem to já sám, kdo se umí rozhodnout, jestli k Hlavnímu nádraží půjde z Opletalovy ulice, nebo přijede metrem, nebo jestli si do kapsy vezmu pistoli.

    Smiřte se s tím, že stejně, jako vy tlačíte na zachování statu quo, jiní lidé zase tlačí na změny. Ve výsledku z toho vznikne nějaký kompromis.

    To je v pořádku. V pořádku to není, když to udělá někdo, kdo má významnou sílu.

    aký nejmoudřejší vůdce? Jaké zpětně? Teď se diskutuje o tom, zda Mozilla zapne DoH všem. Žádné „vyjádřit se zpětně“, ale dopředu. Žádný nejmoudřejší vůdce, ale výsledek diskuse. Je pozoruhodné, jak tady fabulujete o diktaturách, přitom jste to vy, komu vadí, že se o něčem bude diskutovat.

    Ta logika je převrácená. Přirozený postup je, že se zachovává status quo a změna přichází teprve ve chvíli, kdy silně nadpoloviční většina si přeje změnu (tak funguje např. parlament - spousta poslanců hlasuje z přesvědčení, spousta se přidává až k viditelné většině). Pokud jako základ úvah položíte změnu, pak je potřeba výrazná většina proti, aby to zastavila. Přesně takto fungují diktáty všeho druhu: vidíte - sice "pár" lidí je proti, ale zbytek je pro (ti co mlčí, jsou přeci "pro").

    Druhý problém je, že zaměňujete „vyhovuje“ a „nestojí za to to řešit“.

    To jsou významová synonyma. Pokud to někomu nestojí za to řešit, je nutné konstatovat, že stav je vyhovující (třeba ne ideální). Ta část, které to nevyhovuje, se totiž ještě dělí - a v tomto dělení byste zjistil, že každý si představuje jiné řešení, a právě status quo je pro všechny nejpřijatelnější (vyhovující). Nikdo nic nezíská, ale ani neztratí.

    To, že je něco jinak, než byste si vy přál, neznamená, že je to násilné.

    Ta násilnost je vyjádřena silou toho, kdo změnu zavádí. Vendor prohlížeče má podstatnou sílu.

    Vždyť to podle vás nebude žádný problém. Podle vaší definice přece bude v takovém případě všem nový stav vyhovovat.

    Postoj diktátorů. Ukrajujeme svobody, a lidé přeci drží hubu => takže jsou spokojení... (?)

    Kočka má čtyři nohy => můj pes má taky čtyři nohy => => můj pes je kočka!
    Hezké, ale nijak to nesouvisí s ničím, co jste tvrdil.

    Souvisí. Položíte chybný předpoklad, z něj vyvodíte redukovaný závěr. Z redukovaného závěru pak potvrzujete předpoklad.

  • 21. 11. 2020 12:13

    Filip Jirsák

    jak "odborná" veřejnost (ta v uvozovkách) to nekriticky přijímá.
    To, že někdo nemá stejné preference, jako vy, neznamená, že je nekritický. Mně připadá nekritický váš přístup, kdy podle vás současný stav je bezchybný jenom proto, že je současný.

    Houby víte, co jsou moje preferované technologie.
    Nemusí to být jen vědomá preference. Pokud nějaké technologii dáváte přednost, je to také preferovaná technologie.

    Pokud ani takto jednoduchá akce lidem (správcům) nepřijde zajímavá, pak lze říci, že je ta technologie, aspoň v daný okamžik, neživotaschopná.
    Takže se může DoH zapnout všem, a pokud je DNS-over-UDP životaschopné, přepnou si to lidé zpět.

    Příklad: IPv6, které je technicky připravené, ale svět není ochoten.
    Svět už dávno na IPv6 přechází. Před několika lety by se ještě dalo pochybovat o tom, zda se IPv6 ujme, dnes už je to jasné, sněhová koule už se kutálí a už je to jenom otázka času.

    Změna statu quo musí být odůvodněna tak zřejmým přínosem, který ostatní vnímají.
    Nemusí. Tak právě funguje přirozený vývoj, že někteří lidé se něčemu víc věnují a pak také mají větší možnosti, jak to ovlivnit. Třeba nový operační postup se ujme, když se na tom shodnou chirurgové, a je úplně jedno, že laická veřejnost by se klidně spokojila s tím starým postupem.

    Nechodíme v noci na profláklá místa (např. Sherwood před Hlavním nádražím).
    To je ale špatně. Znamená to, že nějací výtržníci omezují moji svobodu.

    Nyní je to tak, paralela, jako kdyby nám někdo neautorizovaný nařídil, že tam ani nesmíme, ve vlastním zájmu, vůbec projít.
    Nikdo neautorizovaný vám nic nenařizuje.

    Ale jsem to já sám, kdo se umí rozhodnout
    Vždyť vám v tom rozhodování nikdo nebrání. Nechcete používat DoH, tak ho nepoužívejte.

    V pořádku to není, když to udělá někdo, kdo má významnou sílu.
    To je ovšem definice kruhem. Když se prosadí nějaká změna, znamená to, že pro tu změnu byla významná síla. Když se neprosadí, znamená to, že byla významná síla proti.

    Přirozený postup je, že se zachovává status quo a změna přichází teprve ve chvíli, kdy silně nadpoloviční většina si přeje změnu (tak funguje např. parlament - spousta poslanců hlasuje z přesvědčení, spousta se přidává až k viditelné většině).
    V parlamentu stačí obvykle 1 hlas nad polovinu přítomných poslanců. To není „silně nadpoloviční většina“. Mýlíte se v tom, že u běžných změn, kde není formalizován postup hlasování, nerozhodují všichni, ale jenom ti, kteří o danou věc mají zájem. A nemají všichni stejný hlas.

    Status quo se zachovává proto, že každá změna má určité náklady. Ne proto, že by status quo byl objektivně lepší.

    S tím vaším přístupem si stačí počkat, až se DoH nějakým způsobem (klidně nečestným) prosadí. Pak už je to status quo, což je podle vás správné a nesmí se to kritizovat, a pak už by se uplatňovalo vaše pravidlo o silně nadpoloviční většině, která musí požadovat změnu.

    To jsou významová synonyma.
    Nejsou.

    Vendor prohlížeče má podstatnou sílu.
    Tu sílu ovšem čerpá z toho, že lidé ten prohlížeč používají. Dobrovolně.

    Postoj diktátorů. Ukrajujeme svobody, a lidé přeci drží hubu => takže jsou spokojení... (?)
    Překvapuje mne, že postoj, se kterým se ztotožňujete, otevřeně nazýváte postojem diktátorů.

    Položíte chybný předpoklad
    Na žádný chybný předpoklad jste neukázal.

  • 20. 11. 2020 17:04

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Filip Jirsák

    Predikovat, že internetová příspěvkovka Mozilla začane vyrábět tanky je něco uplně jiného než predikovat, že zaváděním DoH (což oznámili) si pomůžou v budoucnu v nějakém tržním aspektu.
    Buď neumíte predikovat a přemýšlet o ničem co se ještě do detailu nestalo, nebo se budete muset naučit rozlišovat mezi těmi kluzkými svahy jak moc jsou kluzké, jak moc jsou dlouhé a jestli je to vůbec kluzký svah.
    Predikovat nějaký vývoj je naprosto normální i přes ten manipulativní příklad s tanky. A jenom tak pro strandu, tak např. internetová společnost Google koupila výrobce armádních robotů. Kdo by to rok před tím řekl, že ...

    20. 11. 2020, 17:05 editováno autorem komentáře

  • 20. 11. 2020 17:17

    Filip Jirsák

    Predikovat, že internetová příspěvkovka Mozilla začane vyrábět tanky je něco uplně jiného než predikovat, že zaváděním DoH (což oznámili) si pomůžou v budoucnu v nějakém tržním aspektu.
    Neříkal bych „něco úplně jiného“ když jedno má pravděpodobnost asi tak 0,00001 % a druhé asi 0,0001 %. V obou případech je to prostě velmi nepravděpodobné.

    a jestli je to vůbec kluzký svah
    No právě.

    Predikovat nějaký vývoj je naprosto normální
    Jistě. Ale ta predikce musí vycházet ze současné situace a používat pravděpodobné další kroky. A také je dobré porovnat predikovaný výsledný stav s jinými možnostmi, jak se do něj dostat. Jestli by se třeba do cíle nedalo dostat mnohem snazší cestou, než jakou vy predikujete.

    A jenom tak pro strandu, tak např. internetová společnost Google koupila výrobce armádních robotů. Kdo by to rok před tím řekl, že ...
    Bostno Dynamics nekoupila internetová společnost Google, ale R&D společnost Google X založená Googlem. Ten druh nákupu nijak překvapivý nebyl, Google už se v té době věnoval robotům a samořídícím autům, do samostatné společnosti to vyčlenil už o pár let dřív.

  • 20. 11. 2020 17:55

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Jak jste k těm desetitisícinám přišel? Já bych řekl, že jste si je vymyslel a zbytek už je jenom taková omácka.

    Možná predikuji špatnou cestu, to je ale podružné. Vy taky ve skutečnosti nevíte co je v plánu a jal k tomu dojdou. Jenom jste si vymyslel nejaké 00001 a tvrdite, že je to všechno jisto jistě jinak.

  • 20. 11. 2020 20:41

    Filip Jirsák

    Ano, ty desetitisíciny jsou kvalifikovaný odhad. Jak vy jste přišel na to, že je pravděpodobnost tak vysoká, že má smysl se tím zabývat – tedy třeba aspoň 5 procent, dejme tomu?

    Jistě, nevím co je v plánu – ale vím, že ten váš plán je úplně nesmyslný. A že stejně nesmyslných plánů si dokážu navymýšlet tisíce. Takže buď máte malou představivost a nedovedete si ty ostatní stejně pravděpodobné scénáře představit. Nebo si je představit umíte, pak ale nevím, proč řešíte zrovna tenhle jeden scénář a neřešíte ostatní stejně pravděpodobné.

  • 20. 11. 2020 20:49

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Kvalifikovaný odhad. A že Vám to zrovna tak zapadlo. Vy jste dneska veselá kopa. Tak pak vězte, že můj kvalifikovaný odhad je 30%. Můžeme se ještě doptat pana Šilhavého a třeba taky pana Tavody, když teda pracuje v IT tak dlouho. A nebo prostě přestanete tahat z rukávu hausnumera mimo pódium.

    Ptal jste se, k čemu by sobě nebo komu by tím Mozilla pomohla, ne abych věštil budoucnost. Ale pořád můžete místo hausnumer napsat, proč to není možné.

    Na druhou stranu si dovedu představit, ze se velcí poskytovatelé DNS jednoho dne pokusí zajistit excluzivitu napr. pomoci podepsanych certifikátú a pak je prostě nedaji jen tak někomu. Takze vlastní dns si sice bude moct dále zřidit každý, ale vetsina komerčích služeb mu nepojede.Z dnesniho pohledu je to sice přiřažené za vlasy, ale nemožné to neni. V podstatě asi jako MS s bootloaderem jak si tak matně vzpomínam - principiálně.

    Já proti DoH nejsem. Mluví se o tom dlouho, výhody https jsou zřejmé a z mého pohledu je už jedno komu ty data nacpu. Na druhé straně, možná vás to posadí na židli, ale na datech se vydělává a zajistit si excluzivní přístup k seznamu adres, které uživatel požadoval, je prostě možná výhoda. A to platí i pro všechna ostatní data.
    A nebo může dál mávat 0000000000000­000000000000000000001

    20. 11. 2020, 20:50 editováno autorem komentáře

  • 20. 11. 2020 22:08

    Filip Jirsák

    Já jsem si s tím tahání ničím nepodložených nesmyslů z rukávu nezačal. Dávno přede mnou tady zazněl jiný ničím nepodložený nesmysl – totiž že Mozilla chce DNS dotazy centralizovat na svých serverech, a místo aby tedy začala budovat síť otevřených validujících resolverů, začala prosazováním DoH. Což jí sice v té centralizaci nijak nepomůže, ale to nevadí.

    Na druhé straně, možná vás to posadí na židli, ale na datech se vydělává a zajistit si excluzivní přístup k seznamu adres, které uživatel požadoval, je prostě možná výhoda.
    Exkluzivní přístup si nezajistíte tím, že dáte uživatelům vybrat. Pokud by chtěla Mozilla mít exkluzivní přístup k DNS dotazům uživatelů, nepotřebuje k tomu žádné DoH. Potřebovala by k tomu směřovat všechny DNS dotazy uživatelů na své servery. Takže by neřešila DoH ale své DNS servery.
    Navíc autoři prohlížeče mají exkluzivní (tentokrát doopravdy) možnost sbírat ta data přímo v prohlížeči. Tuhle možnost nikdo jiný nemá.

    Takže abych to shrnul. Podle zdejší diskuse je plán Mozilly vydělávat na datech o tom, jaké stránky uživatelé navštěvují. První krok je zahodit exkluzivní možnost získávat přesné údaje přímo z prohlížeče a místo toho se vrhnout do boje se spoustou dalších subjektů, které mohou získávat jen výrazně méně podrobné informace o doménách. Druhý krok je vykašlat se na budování infrastruktury, která je pro to sledování potřeba, za čít řešit nějaké DoH, které mne k cíli nepřivede ani o milimetr blíž, je s tím zcela mimoběžné.

    Jestli si myslíte, že jsou v Mozille opravdu takoví magoři, aby svůj plán realizovali takhle nesmyslným způsobem, pak se není čeho bát. Protože zatím všechny kroky při realizaci toho domnělého plánu vedou buď směrem od cíle nebo nemají na směr k/od cíle žádný vliv.

  • 20. 11. 2020 22:48

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Mě je úplně jedno, co před Vámi přistálo někdy kdoví kdy nebo co si Vy myslíte o někom v Mozille. Ptal jste se, co by z toho mohli mít. A to je dopověď.

    Už Vám bylo řečeno, že Mozilla nemusí provozovat vlastní DNS a přesto na tom může vydělávat např. prodejem pozice defaultní DNS (u default search enginů se tak děje, že) a tuto pozici může posílit právě zavedením DoH, tedy znemožněním monitorovat obsah dotazů ostatním. Už Vám bylo řečeno, že po celém přechodu na DoH může pouze několik velkých hráčů (nemusí být Mozilla) využít DoH a vydávání certifikátů k omezení ostatních DNS pro komerční služby po jejich aplikacích může vyžadovat cerifikáty - např. na Androidu. Už Vám bylo řečeno, že výběr nemusí zůstat navždy. A sám byste se mohl dovtípit, když jste o tolik chytřejší, že je jednodušší a čistější logovat data na serveru než v browseru, někde je evidentně posílat nebo skladovat a pak čelit otázkám.

    Umíte přijít s nějakým argumentem, který nespočívá v překrucování a ignorování řečeného, hausnumer nebo řečí o magorech?

    20. 11. 2020, 22:52 editováno autorem komentáře

  • 21. 11. 2020 10:53

    Filip Jirsák

    Ano, ptal jsem se , co by Mozilla mohla mít z toho, že jako výchozí volbu zavede DoH. Odpověď je tedy „nic“. Ano, to jsem si myslel

    tuto pozici může posílit právě zavedením DoH
    Posilovat můžete jenom něco, co už máte. Mozilla ale v současné době nemá žádného výchozího poskytovatele DNS služeb, takže není co posilovat.

    tedy znemožněním monitorovat obsah dotazů ostatním
    A, už to pomalu leze. Takže problém je, že nebudou moci lokální ISP šmírovat DNS provoz.

    Už Vám bylo řečeno, že po celém přechodu na DoH může pouze několik velkých hráčů (nemusí být Mozilla) využít DoH a vydávání certifikátů k omezení ostatních DNS pro komerční služby po jejich aplikacích může vyžadovat cerifikáty - např. na Androidu.
    Já už jsem na to také reagoval, že je to totální kravina, která nedává žádný smysl.

    Umíte přijít s nějakým argumentem, který nespočívá v překrucování a ignorování řečeného, hausnumer nebo řečí o magorech?
    Nic nepřekrucuju ani neignoruju. Ale klidně můžu přijít s argumentem ve stylu, jakým argumentují odpůrci DoH.

    Už Vám bylo řečeno, že výběr nemusí zůstat navždy.
    Na to já už jsem reagoval, že je to naprosto nesmyslný argument. Navždy nemusí zůstat to, že Firefox komunikuje přes HTTP/HTTPS, může přijít s vlastní protokolem. Navždy nemusí zůstat to, že vykresluje obrázky. Navždy nemusí zůstat to, že podporuje HTML5. Navždy nemusí zůstat to, že běží pod Windows, Linuxem i MacOS – může přijít s vlastním operačním systémem a běžet jen pod ním. Můžu si navymýšlet miliardu věcí, co se může stát. Nic z toho ale není důvod, abych teď zatracoval Firefox.

    Nejsnazší způsob, jak manipulovat s lidmi, je přesvědčit je, aby se nezabývali tím, co se děje, ale tím, co by se možná někdy mohlo dít. Řeči o tom, co by mohlo nastat, se nedají vyvrátit. „Není to pravda, ale mohla by být.“

    Připojení k internetu neustále zlevňuje, ISP vydělávají méně, tak hledají cesty, jak si přivydělat. Zjistily, že v možnosti prodávat logy DNS dotazů se skrývá ohromný byznys, za ty údaje by jim někdo utrhal ruce. Takže se domluvili, budou společně monitorovat DNS provoz a údaje dál prodávat. Jenže v Mozille jim na to přišli a chtějí jim do toho hodit vidle. „Není to pravda, ale mohla by být.“

  • 21. 11. 2020 12:04

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Filip Jirsák

    Víte, nevím jak pan Šilhavý, ale já přiznávám, že to je prostě spekulace do budoucnosti. Jste to Vy kdo tvrdí, že ví co se stane, dokonce jste si na to sám sobě certifikoval číslo 0.0001%. Takže vlastně jste to Vy z nás tady, kdo spekuluje nejvíc a ještě tvrdí, že to je tak, jak říká a co se stane a nestane, kdo jaké má úmysly a kam to půjde.

    Přece "nejde" o to, že někdo po cestě nebude moct číst provoz na DNS. To je to co chceme. Problém je, že na internetu stále více dominuje několik firem/konsorcií a pokud se zavede certifikace provozu (což je možný pohled na certifikáty), tak to může několik firem využít pro sebe. Ptáte se jak a já Vám to říkám: Mohou na svých platformách podporovat jenom své certifikáty pro DoH a omlouvat to bezpečností a tím v podstatě vytvořit vendor-lock-in s DoH. Myslíte, že je to hloupost? Třeba taková hloupost, jako zákaz E2E šifrování, které by ledaskdo rád i když se třeba tváří, že ne a zase je to na stole z úplně jiných než těch Vašich pouhých a jediných technických hledisek? Osobně si pamatuji debatu tady na rootu kdy se tomu před pár lety po návrhu britského europoslance všichni smáli a má poznámka "už je to venku a určitě se hodí, tak bacha" byla taky pro smích. No ...

    Zatím Vám ještě ani nedošlo, že nejde primárně o Mozillu, která si tím sice může lehce přivydělat když na to přijde - jako např. default search enginy. Nikdo netvrdí, že je to nějaký zlatý super důl, ale je to win-win na něčem, co se stejně chce udělat, což je potenciálně další krok směrem, kam nechcemy. My, Vás to nezajímá, protože Vám to teď a jen a pouze z technického hlediska nedává smysl. A nebo je to pro Vás prostě velmi výhodná pozice odkud za každou cenu argumentovat proti, vydávat kvalifikované % byť stále prakticky hausnumera a řvát, že nic jiného se nepřipouští.

    Těmi příklady ad absurdum jenom ukazujete, že nemáte skutečné argumenty, nebo je neumíte napsat a těmi tvrzeními v těch absurdních příkladech ukazujete, že nechápete pointu - protože nedokážete na tu pointu reagovat a vyvrátit ji, když se Vám nezdá. By se Vám automaticky nezdála, kdybyste ji chápal.

    21. 11. 2020, 12:08 editováno autorem komentáře

  • 21. 11. 2020 12:42

    Miroslav Šilhavý

    Víte, nevím jak pan Šilhavý, ale já přiznávám, že to je prostě spekulace do budoucnosti.

    Já to dokonce nemám ani jako spekulaci do budoucnosti. Vidím, že je to krok z bláta do louže - jeden problém řeší, druhý přináší. Řeší to jeden rozdrobený problém, a přináší to riziko centralizovaného problému. To je první věc, která mě alarmuje. Druhá alarmující skutečnost je, že s tím přichází hráč, který má stále ještě dost velkou tržní sílu - tedy nejedná se o soutěž v pravém slova smyslu, víme, že obrovská část uživatelů přijme default. Třetí problém vidím v tom, že ani operační systémy (jejich knihovny) taktéž neusoudily, že nastala doba, kdy se to má řešit. To vše je znepokojivé a napovídá mi to, že taková cesta je špatně.

    Jestli bych si dovolil na něco spekulovat, tak je to to, že se tohoto chytí Google a Microsoft, možná i někdo další (cloudoví provideři, CDN's, ...). Ti mají silné komerční zájmy a potřebují umět uživatele segmentovat, aniž by porušovali soukromí ve smyslu GDPR. Mozilla jim poslouží jak populární příklad toho, že stejnou technologii preferuje i organizace, která nemá z reklamy zdaleka tak vysoké příjmy.

  • 21. 11. 2020 13:14

    Filip Jirsák

    přináší to riziko centralizovaného problému
    Nepřináší. Už jsem to tu vysvětloval, že pokud bude mít prohlížeč volbu DNS serveru a bude tam nějaký výchozí, je úplně jedno, zda s ek němu bude připojovat pomocí DNS-over-UDP nebo DNS-over-HTTPS. Na tom protokolu vůbec nezáleží, je to jenom otázka toho, zda bude prohlížeč mít vlastní konfiguraci DNS serveru a zda bude mít nějakou výchozí hodnotu.

    Druhá alarmující skutečnost je, že s tím přichází hráč, který má stále ještě dost velkou tržní sílu - tedy nejedná se o soutěž v pravém slova smyslu, víme, že obrovská část uživatelů přijme default.
    Asi by bylo dobré, kdybyste si zjistil, kolik relevantních prohlížečů je na trhu. Prozradím vám pointu dopředu – každý výrobce prohlížeče má podle vaší definice velkou tržní sílu, takže se jakoukoli změnou může přijít jenom někdo, kdo má velkou tržní sílu.

    Třetí problém vidím v tom, že ani operační systémy (jejich knihovny) taktéž neusoudily, že nastala doba, kdy se to má řešit.
    Proč v tom máme věřit zrovna operačním systémům a ne prohlížečům?

    To vše je znepokojivé a napovídá mi to, že taková cesta je špatně.
    Nebylo by lepší utvořit si vlastní názor na základě faktů?

    Jestli bych si dovolil na něco spekulovat, tak je to to, že se tohoto chytí Google
    Google se toho chytil dávno, Chrome DoH používá jako default. Jedině pokud zjistí, že DNS resolver daný systémem nepodporuje DoH (nebo pokud mu to zakazují systémové politiky), vrátí se k záložnímu řešení a s DNS resolverem komunikuje přes klasické UDP.

    Ale já to chápu. Když chcete spekulovat, je vždycky lepší vědět toho co nejmíň. Fakta jsou zbytečně omezující, že.

  • 21. 11. 2020 12:44

    Filip Jirsák

    Nic jsem necertifikoval. Jenom jsem napsal, že takovýchhle spekulací si můžu vymyslet miliony a jednu takovou jsem napsal.

    Přece "nejde" o to, že někdo po cestě nebude moct číst provoz na DNS. To je to co chceme.
    Opravdu to chcete? DNS-over-UDP umožňuje DNS provoz sledovat komukoli po cestě. DNS-over-HTTPS takovému sledování brání. A vy odmítáte DNS-over-HTTPS a bráníte DNS-over-UDP. To spíš vypadá, že chcete, aby kdokoli po cestě mohl číst DNS provoz.

    pokud se zavede certifikace provozu
    Zase nějaké pokud, které vůbec nesouvisí s DoH a je to úplně postavené na hlavu. Dneska značná část komunikace jede přes HTTPS, velký podíl na tom má Let's Encrypt, za kterým jsou ty velké firmy. Certifikáty musí být na CT listu, těch je podstatně méně, než certifikačních autorit, a zase za nimi stojí velké firmy. Kdyby chtěly ty firmy řešit nějakou certifikaci provozu, tohle je asi tak tisíckrát jednodušší cesta, než zavádět povinně DoH ve Firefoxu.

    Myslíte, že je to hloupost?
    Ano, je to neuvěřitelná hloupost. Protože k tomu vašemu cíli vede spousta jiných podstatně snazších cest.

    Třeba taková hloupost, jako zákaz E2E šifrování, které by ledaskdo rád i když se třeba tváří, že ne a zase je to na stole z úplně jiných než těch Vašich pouhých a jediných technických hledisek? Osobně si pamatuji debatu tady na rootu kdy se tomu před pár lety po návrhu britského europoslance všichni smáli a má poznámka "už je to venku a určitě se hodí, tak bacha" byla taky pro smích. No ...
    To je něco úplně jiného. Zákaz E2E šifrování dává z určitého úhlu pohledu nějaký smysl. A že se ty nápady čas od času objeví, na tom není nic překvapivého – to se dělo, děje a bude dít. Ale nic to neznamená. Jednak spousta těch nápadů pochází od různých obskurních lidí či institucí, které by nikdo nebral vážně – ale média se toho ráda chytí. A občas to sice navrhne i někdo trochu relevantní, ale vždy se ten návrh zamítne. Není třeba za tím hledat žádná spiknutí, takhle holt funguje demokracie – každý může navrhovat, co chce, ale důležité je to, co se nakonec schválí.

    Zatím Vám ještě ani nedošlo
    Nechte si tyhle přihlouplé poznámky, že mi něco nedošlo, když já jsem deset kroků před vámi. Za výchozí vyhledávač si může Mozilla nechat platit, protože provozovatelé vyhledávačů na vyhledávači vydělávají a jsou tedy ochotni za přivedení návštěvnosti platit. Provozovatelé ODR z toho nemají žádný zisk, takže nebudou nikomu nic platit. Takhle jednoduché to je.

    My, Vás to nezajímá, protože Vám to teď a jen a pouze z technického hlediska nedává smysl.
    Mýlíte se. Mně to nedává smysl hlavně z hlediska obchodního a strategického. Já jsem nad tím totiž přemýšlel o deset kroků dál než vy.

    Těmi příklady ad absurdum jenom ukazujete, že nemáte skutečné argumenty
    S příklady ad absurdum jste tu začali vy.

    že nechápete pointu - protože nedokážete na tu pointu reagovat a vyvrátit ji, když se Vám nezdá
    Pointu nechápete vy. Pointa je, že „není to pravda, ale mohla by být“ není žádný argument. To se nedá žádným způsobem přímo vyvrátit. Jediný způsob, jak se proti tomu postavit, je poukázat na to, že to není žádný argument. Proti tomu vašemu argumentu „není to pravda, ale mohla by být“ můžu já klidně postavit svůj argument „není to pravda, ale mohla by být“, třeba že různé sondy umístěné v internetu (třeba Atlas nebo nové sondy Vojenského zpravodajství) umožňují monitorovat současný DNS provoz, podle toho vyhodnocovat nálady obyvatel a vhodně tomu přizpůsobovat předvolební strategie (viz Cambridge Analytica) s cílem ovládnout svět. A DoH by tomuhle zabránilo, proto je proti DoH takový odpor. Jsem zvědav, jak teďka chcete pokračovat v diskusi, když tu máme dva protichůdné argumenty, které jsou principiálně nevyvratitelné.

  • 21. 11. 2020 13:13

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    Ano, můžete, ale ta spekulace za moc nestála a navíc jste do ní zaplantal alegorie, které popíraly nebo nerespektovaly předem řečené.

    Přemýšlím, čím to je. Evidentně, ne jenom v mém případě, prostě musíte patologicky protestovat a používáte k tomu slaměné panáky, zesměšňování a co hůř, evidentně neudržíte více než jednu nebo dvě věty. Jinak si ten Váš traktát porušující základní pravidlo citací - kontext - nedovedu vysvětlit.

    DoH má potenciální riziko, které jsem poctivě přednesl. Vaše námitka s DoU je sice správná, problém je, že místo abyste se zeptal, tak si za mě vyfabrikujete odpověď a pak spisujete alegorie. Mohu tedy zkusit pochopit co se snažíte tak neuměle přednést, vezmu to jako otázku a odpovím. Tedy, vidíme, že DoH může mít neblahý dopad, nechceme DoU, co by mohlo být řešení? Např. požadovat už teď od startu vydávání certifikátů (všech) pro servery DoH nezávislou autoritou. Takové máme. Možná už to je i v plánu a já to jenom nevím. Pak ale, pokud byste byl schopný vést normální diskuzi a pochopit pointu, mohl jste mne na to upozornit zrovna. Nebo mne co nejbrutálněji opravit - to je tak nějak cítím pravý účel Vašeho obrovského nasazení zde v diskuzích.

    Vidíte? Dá se o tom diskutovat i bez těch alegorií a smyšlenek. Problém je, že místo soustředění se na pointu a přesný zásah argumentací nebo proti argumentací soustředíte na alegorie a mlácení slaměných panáků opapouškováním každé možné věty.

  • 21. 11. 2020 14:11

    Filip Jirsák

    Ano, můžete, ale ta spekulace za moc nestála
    No vždyť ano, ta spekulace měla být podobná, jako ty vaše.

    prostě musíte patologicky protestovat
    Cha chá, já tu patologicky protestuju, to určitě. Když si přečtete diskusi, úplně někdo jiný tu píše „sice moc nevím, co je DoH, ale jsem proti, protože to určitě půjde nějak zneužít, akorát nevím jak“.

    DoH má potenciální riziko, které jsem poctivě přednesl.
    Ne, DoH takové riziko nemá. Vy jste poctivě přednesl domnělé riziko a já jsem vám napsal, proč to riziko není.

    místo abyste se zeptal
    Já jsem se na začátku ptal.

    Tedy, vidíme, že DoH může mít neblahý dopad
    Nevidíme. DoH nemůže mít žádný neblahý dopad na centralizaci. Neblahý dopad na centralizace může mít to, pokud prohlížeč začne používat DNS server předvolený autory prohlížeče. To je ale zcela nezávislé na použitém protokolu.

    Např. požadovat už teď od startu vydávání certifikátů (všech) pro servery DoH nezávislou autoritou.
    Co je to zase za nesmysl? DoH používá standardní mechanismy HTTPS v prohlížeči, takže libovolné certifikační autorita, které prohlížeč důvěřuje, bude důvěřovat i s DoH. Když si do prohlížeče nainstalujete vlastní autoritu, bude jí důvěřovat i pro DoH. Je to pro vás dostatečně nezávislá autorita?

    Možná už to je i v plánu a já to jenom nevím.
    Nejenom, že je to v plánu, ale už to dávno funguje a nikdy nebylo v plánu nic jiného.

    Nebylo by lepší, než generovat konspirační teorie, si nejprve zjistit fakta?

    Pak ale, pokud byste byl schopný vést normální diskuzi a pochopit pointu, mohl jste mne na to upozornit zrovna.
    Já jsem schopen vést normální diskusi a chápu pointu. Ale nemohl jsem vás upozornit na vaše fabulace o certifikátech, kdy jste je doteď nenapsal.

    To je právě ten problém, že neznáte fakta, místo toho si vymýšlíte nesmysly – a pak se divíte, že o těch nesmyslech ostatní neví.

    Vidíte? Dá se o tom diskutovat i bez těch alegorií a smyšlenek.
    Ano, dá. Tak přestaňte diskutovat bez smyšlenek. Zatím, kdybychom vynechali vaše komentáře se smyšlenkami, nebude tu od vás žádný komentář.

    Problém je, že místo soustředění se na pointu a přesný zásah argumentací nebo proti argumentací soustředíte na alegorie a mlácení slaměných panáků opapouškováním každé možné věty.
    Na pointu jsem se soustředil ze začátku. Jenže když ignorujete, že „není to pravda, ale mohla by“ není argument, nezbývá mi, než napsat stejný druh tvrzení, abyste se předvedl, jak proti tomu tedy budete argumentovat vy.

  • 21. 11. 2020 14:46

    Miroslav Šilhavý

    Neblahý dopad na centralizace může mít to, pokud prohlížeč začne používat DNS server předvolený autory prohlížeče. To je ale zcela nezávislé na použitém protokolu.

    To je demagogie jako prase. Diskutujeme tu ne o DoH jako takovém, ale o počinu Mozilly, že přesně toto začíná dělat - a mechanismy, které by tomu předcházely, v praxi neexistují.

    DoH jako takové je dost na prd kvůli tomu, že bere řízení sítě z rukou správce - a ten se jedině musí bránit tím, že to pozakazuje. Dokud je na trhu pár prohlížečů, tak spánembohem, půjde to. Za pár let to bude vypadat jinak.

    „není to pravda, ale mohla by“ není argument

    Je to argument. V rovině politických rozhodnutí to jednoznačně platí. Příklon Mozilly k DoH je politický, ne technický.

  • 21. 11. 2020 15:51

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Miroslav Šilhavý

    Příklon Mozilly k DoH je politický, ne technický.

    Tak to prrr. To nevíme. Máme neblahou možnost jak to bude pokračovat, ale to neví zatím nikdo, možná ani Mozilla zatím ne.

    @Filip Jirsák

    To je právě ten problém, že neznáte fakta, místo toho si vymýšlíte nesmysly

    To tvrdíte pořád. Dokonce už mě i napadlo, že používáte nějakou template a do ní doplníte dané téma. Skutečností zůstává, že stále nejste schopen položit argument a tak si stále něco vymýšlíte.

    Je to pro vás dostatečně nezávislá autorita?

    Taková poznámka je z celého toho textu smysluplný argument. Ne není to pro mě dostatečná autorita, protože to vyžaduje další specifickou akci uživatele oproti komerčním, nebo defaultním chcete-li, nastavení. Asi stejné, jako byste např. bance doporučil vygenerovat si vlastní cert a pak učit klienty si ho přidat. Ha ha ha.

    21. 11. 2020, 15:52 editováno autorem komentáře

  • 21. 11. 2020 16:31

    Filip Jirsák

    To tvrdíte pořád. Dokonce už mě i napadlo, že používáte nějakou template a do ní doplníte dané téma. Skutečností zůstává, že stále nejste schopen položit argument a tak si stále něco vymýšlíte.
    Já že si vymýšlím? Vy jste si vymyslel, že na připojení k DoH jsou potřeba nějaké zvláštní certifikáty. Já jsem to vyvrátil argumentem, že se používá standardní HTTPS cesta v prohlížeči, tedy fungují všechny certifikáty vydané certifikačními autoritami, kterým prohlížeč důvěřuje. Když mi nevěříte, podívejte se do zdrojáků.

    Taková poznámka je z celého toho textu smysluplný argument. Ne není to pro mě dostatečná autorita, protože to vyžaduje další specifickou akci uživatele oproti komerčním, nebo defaultním chcete-li, nastavení. Asi stejné, jako byste např. bance doporučil vygenerovat si vlastní cert a pak učit klienty si ho přidat. Ha ha ha.
    Já nechápu, co chcete – momentálně to vypadá, že bojujete proti důvěryhodným certifikačním autoritám. Když budete mít firemní web, vystavíte si na něj certifikát od Let's Encrypt. Stejným způsobem si vystavíte certifikát pro firemní DoH. Nebo pokud používáte ve firmě interní certifikační autoritu, kterou máte nainstalovanou v prohlížečích, použijete ji i pro firemní DoH server. ISP má svůj firemní web, administraci atd. – tam všude má důvěryhodné certifikáty, od Let's Encrypt, Thawte nebo od někoho jiného. Od stejné certifikační autority si nechá vystavit certifikáty pro svůj DoH. Cloudflare má na svém DoH cetifikát od DigiCetu. CZ.NIC má na svém DoH certifikáty od LE. Takže v čem vidíte problém?

  • 21. 11. 2020 16:21

    Filip Jirsák

    To je demagogie jako prase.
    No to není.

    Diskutujeme tu ne o DoH jako takovém, ale o počinu Mozilly, že přesně toto začíná dělat
    Tohle je demagogie jako prase. Nevím jak vy, ale já diskutuju o tom, o čem je zprávička.

    DoH jako takové je dost na prd kvůli tomu, že bere řízení sítě z rukou správce
    To není pravda. Nebo se zase budete vymlouvat, že nediskutujete o DoH, ale o něčem jiném?

    Je to argument.
    OK. Tak já mám protiargument, že se nic takového dít nebude.

    Příklon Mozilly k DoH je politický, ne technický.
    Nemyslím si, že by toto tvrzení dávalo nějaký smysl.

  • 21. 11. 2020 16:28

    Miroslav Šilhavý

    Je to argument.
    OK. Tak já mám protiargument, že se nic takového dít nebude.

    Já nechci otevírat ani cestu tomu, aby se tak dít mohlo. (Ostatně, přečtěte si Rudé právo, tam je spousta lidí, kteří nechápou preventivní roli zákona o střetu zájmů)

  • 21. 11. 2020 16:56

    - - (neregistrovaný) ---.dynamic.dsl.as9105.com

    @Filip Jirsák

    Já že si vymýšlím? Vy jste si vymyslel, že na připojení k DoH jsou potřeba nějaké zvláštní certifikáty.

    To to je ideální příklad doložit, že nechápete pointu argumentace, vymýšlíte si a mlátíte slaměné panáky:

    Ptáte se jak a já Vám to říkám: Mohou na svých platformách podporovat jenom své certifikáty pro DoH a omlouvat to bezpečností a tím v podstatě vytvořit vendor-lock-in s DoH.
    [ 87vdf4vg82 , 12:04]

    Já tam nečtu, že pro připojení k DoH jsou potřeba nějaké zvláštní certifikáty, ale že je mohou začít po dohodě podporovat.

    Další lži se mi vyvracet nechce, pořád dokola mlátíte prázdnou slámu pomocí polo-citací mne. Tím to pro mě končí, nesmysly o tom co kdo řekl a jak to musel myslet, aby se mohl podle Vás mýlit, můžete kupit i beze mne.

    21. 11. 2020, 16:58 editováno autorem komentáře

  • 21. 11. 2020 17:00

    Filip Jirsák

    87vdf4vg82: Jak bych mohl chápat pointu argumentace, když tam žádná argumentace není? „Není to pravda ale mohla by“ není argument. Takže si pořád nestěžujte, že nikdo nereaguje na vaše argumenty, když žádné argumenty nepíšete. Já jsem reagoval na to, co jste napsal.