Vlákno názorů ke zprávičce Nová služba DNS over WHOIS (DoW) od PanKachna - Tedy jako bezpečáka mě nic neděsí víc než...

Tedy jako bezpečáka mě nic neděsí víc než malware s C&C servery s podobnými skvělými nápady jako DNS over HTTP atd.

A co je alternativa?

Ze by DNS?

A s jak řešenou bezpečností?

To zalezi co chces zabezpecit.

I kdyby se zakázalo DoH a podobné protokoly, stejně to malware neomezí. Tunelů, do kterých se dá skrýt DNS request, je téměř neomezené množství. Mě spíš děsí následky potenciální zneužití "viditelného" DNS ve velkém.

Proč bychom měli dovolovat přístup k datům v DNS novodobým byrokratům, kteří se převlékají do kabátů "rádoby" odborníkům na bezpečnost, kde jejich práce spočívá v odškrtávání povolených portů na firewallu, instalování proxy serverů a zhoršování uživatelské přívětivosti aplikací, když těmto lidem často schází celkový nadhled nad věcí?

Proč dávat data v DNS do rukou lidem, kteří ještě nepřišli na to, že heslo Z8fg*nCDF je ve skutečnosti nebezpečnější než heslo "tohlesizapama­tujivelmisnad­noajetosilnej­si"?

Bezpečnost by se měla řešit komplexně opravdovými odborníky, a ne byrokraty, kteří si odškrtávají zakázané domény nebo zakázané porty. Bezpečnost by měli řešit lidé, kteří chápou velký pohled na věc, vědí že největším bezpečnostním rizikem je lidský faktor, a zároveň jsou schopni pochopit, že všichni máme právo na soukromí a na technologie, které jsou uživatelský přívětivé a jsou nám blízko.

Již nyní se ví, že dlouhé heslo složené jen ze základní abecedy s druhým faktorem v mobilní aplikaci je značně bezpečnější a uživatelsky přívětivější, než nějaké složité heslo co si nikdo nezapamatuje, a musí se každý měsíc měnit tím, že na konci se číslovka zvedna o jedničku.

Měli bysme přestat poslouchat tyto rádoby bezpečnostní experty, kteří nám tvrdí, že bezpečnost znamená uživatelskou nepřívětivost, a také nutnost zasahování do našeho soukromí (špehování webů co navštěvuji apod.). Tito korporátní slizouni by měli spíše rozdávat pokuty za parkování jako měšťáci, než aby nám kecali do toho, že bez špehování a otevření DNS jim to prostě nejde!

No já bych jim raději nenechal ani to pokutování. Aby to nedopadlo jako s GDPR, kdy třeba nejmenovaná letecká společnost byla zpokutována, a teď nejspíš řeší jak ušetřit na servisních nákladech letadlového parku ...

Tak s názvem "korporátní sliznoun" sice nesouhlasím, ale uznávám, že je to vtipné.

Jinak k tématu, ty všechnu uživatelskou nepřívětivost přisuzuješ bezpečákům, ale to je omezený pohled na věc. Musíš se na to chápat jako na celek. Někdo tu firmu vlastní a požaduje pro svoje informace určitý stupeň zabezpečení, také existují zákony a vyhlášky, které celou věc zančně komplikují.

V případě, že pracuješ ve firmě, kde je zakázené skoro všechno, jako třeba banka a podobně, tak chápu, že je jejich systém pěkné peklo, nicméně se na tu firmu vztahují určité regulace a důležitý je také postoj vedení.

Abych to shrnul, pokud někdo pracuje v RedHat a vyvýjí opensource, tak zjevně může mít větší svobodu při přístupu než v nějaké státní instituci nebo bance, které musí splňovat brutální regulace. To potom dopadá logicky i na zaměstnance.

Ano, regulace se vztahují, ale ty sami o sobě nebývají tak špatné, zajímavá je teprve implementace. Samozřejmě se většinou zvolí ta nejjednodušší (rozuměj, uživatel je blbec na posledním místě) a naimplementuje se to.

Nadnárodní firmy - Microsoft, Google, Amazon, Ebay taky mají regulace, možná ještě více, ale narozdíl od české banky jejich systémy uživatelsky přívětivé jsou :)