Souhlasím, že koncentrace je rozhodně na škodu. Na druhou stranu je třeba si taky uvědomit, že takový velký poskytovatel je pod podrobnou veřejnou kontrolou a kdyby něco resolvoval chybně (záměrně či chybou), rychle se na to přijde. Takový poskytovatel DNS resovleru navíc není pevně určen, ale je možné ho změnit.
Rozhodně se mi ale víc líbí přístup DNS-over-TLS, který přidává tu šifrovací vrstvu a není nutně spojen s přechodem k jednomu velkému poskytovateli. Chrome třeba jen testuje, jestli používaný resolver umí DoT a přejde na něj. Zůstane ale u stejného resolveru, jaký by se používal s klasickým DNS.
Celé je to nekoncepční.
O resolvování se má starat operační systém, který je v podniku nastaven podle politik, případně i samotná DNS mohou mít svoje speciální nastavení.
Je úplně na prd, že vznikne situace, kdy celý OS bude resolvovat jednou cestou, ale debilní prohlížeč jinou. Chyby se budou hledat úplně šíleně.
Vzhledem k tomu, že je zde cesta přes DNS-over-TLS, tak celý tento počin smrdí tím, že Mozilla chce mít k dispozici statistiky. Uživatelé se mohou zbláznit, když chce nějaký program odesílat telemetrii - tak asi doufají, že touto cestou ji získají a ještě jim lidi zatleskají.
Mozilla je pod veřejnou kontrolou, ale zjevně je to moc netrápí. Jakmile se toto jednou zavede jako standard, přijdou s tím i další prohlížeče, které se už chovají čistě komerčně. Mozilla poslouží jako užitečný blbeček, který prosadí to, z čeho ostatní získají.
O resolvování se nikdy nestaral operační systém, vždy to byla jen knihovna.
To už je jen slovíčkaření. Podstatou je, že se o to má starat operační systém (nebo jeho knihovna) a napříč celým systémem to má fungovat a být spravováno jednotně.
Když dodavatelé těch knihoven zaspali a neposkytují potřebnou funkcionalitu, tak si to holt prohlížeče implementovaly samy.
A ta konspirační teorie o získávání statistik… Co by tím kdo asi získal?
A co získali tím, že nakoncentrují požadavky do jednoho místa, když existují i jiné možnosti (DNS-over-TLS)?
Prohlížeče už roky trpí tím, že je čím dál větší tlak na to, aby se nedaly identifikovat, rozpoznávat, ... DoH je kravský nápad, který všechny tyto snahy popře.
Stejně byste se mohl ptát, co získávají programy zasíláním anonymní telemetrie? Podle mě taky nic moc, resp. záleží na tom, jestli to někdo na druhém konci nezneužije. Je na prd, pokud existuje snaha tyto praktiky omezovat, a pak zavést takto kruciální vlastnost, která vše popře.
A co získali tím, že nakoncentrují požadavky do jednoho místa, když existují i jiné možnosti (DNS-over-TLS)?
Použitý protokol (DNS-over-UDP, DNS-over-TLS nebo DNS-over-HTTPS) vůbec nesouvisí s tím, kdo bude překlad provádět. Při použití DNS-over-UDP klidně můžete používat „jedno místo“ (třeba servery Googlu, Cloudflare nebo IBM), stejně tak při použití DNS-over-HTTP můžete klidně používat resolver v místní síti.
Prohlížeče už roky trpí tím, že je čím dál větší tlak na to, aby se nedaly identifikovat, rozpoznávat, ... DoH je kravský nápad, který všechny tyto snahy popře.
DoH s tím nijak nesouvisí.
Stejně byste se mohl ptát, co získávají programy zasíláním anonymní telemetrie?
Ptát bych se na to mohl, ale odpověď znám, takže se na to ptát nepotřebuju. Získávají tím informace o chybách v programu a o používání programu – takže pak třeba mohou optimalizovat dlouhotrvající funkce, rozšiřovat funkcionalitu, kterou uživatelé často používají, upravovat UI, který se uživatelům těžko používá, odstraňovat nepoužívané funkce.
pokud existuje snaha tyto praktiky omezovat
Neříkal bych „existuje snaha omezovat“, když jde o pár jedinců, kteří netuší, o co jde.
pak zavést takto kruciální vlastnost, která vše popře.
Ta vlastnost nic nepopírá. Můžete používat lokální DoH resolver ve své síti úplně stejně, jako používáte DNS-over-UDP resolver. Navíc pokoušet se sledovat uživatele skrze jeho požadavky na překlad DNS je asi to nejblbější možné místo, míň informací už asi získat nejde. Prohlížeč uživatele přeloží doménové jméno a pak ho má třeba hodiny nebo i dny v cache. Nevíte vůbec nic o tom, jestli za tu dobu navštěvuje daný web nebo ne, nevíte vůbec nic o konkrétních adresách na tom webu, které uživatel navštěvuje.
> O resolvování se nikdy nestaral operační systém, vždy to byla jen knihovna.
Já běhové prostředí, a v tomto případě třeba libc, považuji za součást OS.
> A ta konspirační teorie o získávání statistik… Co by tím kdo asi získal?
Co získala Cambridge Analytica? A napadlo by vás to před tím, než to někdo leaknul?
Možná mi něco uniká, ale stávající způsob fungování, tj. OS poskytující aplikacím funkci resolveru, mi dává daleko větší smysl, a tudíž bych takové řešení sotva považoval za debilní. Jestli bude překlad jmen provádět přes nešifrovaný UDP provoz, přes DOH nebo DOT už je jiná věc, ale bude to logicky soustředěné na jednom místě. Bude to systematičtější a snadnější na správu a řešení problémů, na rozdíl od situace, kdy si každá aplikace bude překlad jmen provádět sama, jak ji zrovna napadne.
Tak neviděl bych riziko velkého poskytovatele DoH v tom, že by riskoval pověst a úmyslně chybně resolvoval, mnohem větší nebezpečí vidím v tom, že tím že vidíte DNS víte o daném uživateli prakticky úplně všechno. A že takto cenná data nezneužívá ani neukládá mu můžete maximálně naivně věřit.
Návrh Mozilly je krok späť.
Mozilla nevie, či operačný systém resolvuje cez 53/udp, 853/udp, DoH, LDAP, NIS, alebo poštovými holubami. Keď aplilkácia zavolá gethostbyname(), tak je od toho pekn odtienená. Správca miestnej siete vie, ako to tam funguje a nastavil politiky OS, aby zodpovedali sieti. Teraz príde Mozilla a ako slon v porceláne všetko rozbije.
Navyše to, že v lokálnej sieti sa ide 53/udp po najbližší resolver neznamená, že ten resolver ide von tak isto. Kľudne tam môže byť nejaký kresd alebo stubby, ktoré s vonkajším svetom komunikujú cez DoT/DoH, bez toho, aby o tom Mozilla vedela, resp. sa s tým musela trápiť. A ako bonus, takého riešenie nič lokálne nerozbije.