Vlákno názorů k článku
Mozilla chce zapnout DoH všem, vyzývá k připomínkování od Jim - Vyskytuje se zde někdo, kdo má pocit, že...

Vyskytuje se zde někdo, kdo má pocit, že nešifrování DNS zvyšuje bezpečnost uvnitř firem, protože na to může firma dohlížet?

Co vídám, lidem spíš vadí že jejich requesty najednou místo do lokálního DNS jedou kamsi ven. Normálního DNS provozu končí většina na nejbližším resolveru, většina ani neopustí barák, protože to vyřídí cache i v nejlevnějším D-Linku. S DoH má provozovatel serveru perfektní záznam navigace uživatele po webu.

Nikoli, ale vyskytuju se tu já s názorem, že:

1) Programy by měly pro všechny možné věci (včetně resolvování) využívat funkce systému, neměl by si to každý řešit sám, protože když chci jako uživatel/admi­nistrátor něco upravit, tak to pak budu muset dělat na 20 místech, a ještě se každý program konfiguruje jinak a má jiné možnosti a jiné nekompatibility a zranitelnosti. Co bude příště? Vlastní filesystém? Správná cesta k DoT/DoH je, že toto začne dělat systémová knihovna/systémový resolver, a tím to automaticky začnou používat všechny programy, aniž by je bylo nutno měnit -- zatímco takto to bude používat jenom webový prohlížeč, ale třeba wget nebo SSH nebo IRC nebo cokoli pojede furt nešifrovaně. Navíc když nebudu spokojen s jedním DoH poskytovatelem, tak to na jednom místě změním. Navíc si na jednom místě můžu přidávat vlastní domény, soukromé stromy a blokovat a logovat a cokoli. Vzhledem k tomu, že už je ve většině linuxových distribucí systemd, tak uvedené stačí zapnout a vyřešeno. (jo, tohle je DoT, DoH nevím jestli už implementovali)

2) No a pak to taky znamená, že k těm všem věcem, jak Firefox šmíruje, budou mít ještě navíc kompletní historii prohlížených domén.

Edit: a k tvému původnímu dotazu: bezpečnost firem by mohlo zvýšit, když by jejich admin změnil systémový resolver na vnitrofiremní šifrovaný, a všechny aplikace by to automaticky používaly.

19. 11. 2020, 12:02 editováno autorem komentáře

DNS dotazy je jeden ze zpusobu, jak pasovat data dovnit a ven bez vedomi admina i ze zarizeni, kde je povolene jen to DNS.
Treba dotazem na TXT zaznam NGNjNTI0YTNhNjQwMGZkMT­JkMTNjZmViYzNhMDZkNDVlMj­E4NDcyMg.root­.cz
Uz takto je tezke zjistit, jesli ten samotny dotaz neobsahuje napriklad neci prihlasovaci udaje. A v pripade, ze pripustim sifrovany dotaz ven prakticky nemozne.