Vlákno názorů k článku
Rekurzivní DNS server od Google na 8.8.8.8 měl výpadek od Ace - DNS Guglu na branách zásadně blokuju ;-)

To je zcela jednostranný výklad problému míjející (záměrně, či z neznalosti?) praxi - existuje více skupin uživatelů, ti zkušenější vědí, co dělají, a mohou si dovolit více. Ale naprostou většinou jsou primitivní uživatelé, kteří vědí h***o o tom, jak to celé funguje a co mohou svou činností napáchat. A právě kvůli nim jsou tu blokování, Pi-hole atd.

Vtip?
Ne, opravdu by mne to zajímalo.

Nicméně, např. ve firmách do toho správcům učitě je.
Jistě. Ale pak zablokují veškerou DNS komunikaci mimo svůj server, ne jen na jeden náhodně vybraný server. (Bez ohledu na to, že to stejně nedává smysl.)

Vtip?
Ne, opravdu by mne to zajímalo.

Google má celou svou existenci založenou na vytěžování dat. Zároveň se omezují možnosti, jak je vytěžovat z prohlížečů. V Google by museli být opravdu hloupí, kdyby si nebyli vědomi, že toto jsou data, která zakázat nejdou - a tedy půjdou vytěžovat i nadále... Poslední snahy (čím dál větší blokování cookies) jsou na první pohled pozitivní (kdejaký jouda Vás neodsleduje), ale v kombinaci (mimo jiné) s DNS, DoH, ... se vlastně ta marketingová moc soustřeďuje jen v rukou Googlu a podobných. Ano, bude Vás sledovat méně subjektů, ale ty zbylé budou mít (mono|oligo)pol.

Akorát že seznam domén se dá získat třeba z Certificate Transparency listu, a Google už je má od začátku ze svého crawlera.

@Filip

Ale co nezískáte je informace kdo, kdy a kam.
Z DNS to taky není přesné, ale pokud přijde doba, že ostatní kanály na získání informací o uživateli už nepůjde vytěžit, tak tento bude pořád představovat výhodu.

Ale co nezískáte je informace kdo, kdy a kam.
To ovšem nezískáte ani z DNS resolveru. To není tak, že by tam ty informace byly, ale jenom nepřesné. Je tam jen náhodný šum, možná občas vychýlený směrem k informacím.

To není tak, že by tam ty informace byly, ale jenom nepřesné. Je tam jen náhodný šum, možná občas vychýlený směrem k informacím.

S tím úplně nesouhlasím. I s šumem se dá ve statistice pracovat, a jakékoliv procento informace může znamenat v globálu miliony. Postupný příklon k IPv6 a odklon od NATU ty informace jen zpřesní.

Příklad:
1. uživatel je na stránce patřící Google
2. z ní někam uteče (ale Google neví kam)

Pokud dokážete spojit data v bodě 1 (DNS požadavek při návštěvě služby Googlu) s bodem 2, získáváte informaci o tom, kam uživatelé utíkají (měřeno jako hromadný jev, nikoliv jednotlivě), aniž byste využil jakoukoliv šmírovací techniku. Resolvování DNS je (zatím) technicky nevyhnutelná činnost, takže není moc pravděpodobné, že by se to začalo nějak regulovat (ani není jak a kým).

Domnívám se, že Google počítá s tím, že jednou přijde doba, kdy nebude možné uživatele trackovat přímo. Takže se usídluje v maximu oblastí, kde má aspoň potenciál vhledu do síťového provozu. Kdyby ta doba opravdu přišla, bude mít konkurenční výhodu, kterou (opět) dlouho nikdo nedožene.

Pokud dokážete spojit data v bodě 1 (DNS požadavek při návštěvě služby Googlu) s bodem 2, získáváte informaci o tom, kam uživatelé utíkají (měřeno jako hromadný jev, nikoliv jednotlivě), aniž byste využil jakoukoliv šmírovací techniku. Resolvování DNS je (zatím) technicky nevyhnutelná činnost, takže není moc pravděpodobné, že by se to začalo nějak regulovat (ani není jak a kým).
Akorát to má takovou drobnou vadu, že Google neví ani uživatele, ani neexistuje žádný DNS požadavek 1, ani žádný DNS požadavek 2. V praxi totiž bude vypadat tak, že DNS server ISP (nebo třeba firemní sítě) se zeptal na 2 před několika dny a teď se ptá na 1. A pak ty nakešované odpovědi zase několik hodin nebo dní poskytuje spoustě uživatelů.

Vůbec nic nenasvědčuje tomu, že by Google DNS resolvery vytvořil pro to, aby někoho mohl sledovat. Nejspíš to dělá úplně jiné oddělení, než které dělá sběr dat z vyhledávače, a úplně jiné oddělení, než které dělá sběr dat pro Google Analytics. Představa, že takhle velká firma dělá vše jako jeden muž, je hodně naivní.

Představa, že takhle velká firma dělá vše jako jeden muž, je hodně naivní.

To asi ne, nejsem příznivcem konspiračních teorií ani za každým nevidím zloducha z Jamese Bonda. Celková strategie je k tomu však nakloněná a když bude potřeba, mohou se snažit prosadit kroky, které povedou k tomu, aby ta data zpřesňovali. Co vy víte, jestli v souběhu s dalším vývojem internetu (kterého se opět účastní masivně Google) nebudou vyžadovat snížení doby cache na resolverech a nenajdou se nové "technické" důvody, proč to udělat? A ne, nevidím v tom šikmou plochu, jen vidím, že příliš mnoho vlivu na všechno na internetu se soustředí do málo rukou. Vidím, že formálně se nerozhoduje centrálně (není žádná ústřední internetová autorita), ale reálně mohou giganti internet změnit čím dál lehčeji.

Vidím, že formálně se nerozhoduje centrálně (není žádná ústřední internetová autorita), ale reálně mohou giganti internet změnit čím dál lehčeji.
Myslím, že je to ve skutečnosti dané jenom tím, že ty malé prostě nevidíte. Před dvaceti a něco lety byste tvrdil, že celé IT za chvíli ovládne Microsoft. O nějakém prckovi jménem Google jste vůbec nevěděl.

Před dvaceti a něco lety byste tvrdil, že celé IT za chvíli ovládne Microsoft. O nějakém prckovi jménem Google jste vůbec nevěděl.

No jistě, o tom se nepřu. Přeci se ale můžeme poučit z historie a nebýt odsouzeni ji opakovat. Mně se tehdy kroky Microsoftu spíš líbily, dávaly smysl, měly velký potenciál posunu vpřed - po technologické stránce. Dnes vidím, že nejen technologický posun, ale i decentralizace a s tím spojená pluralita, liberální trh, jsou důležité hodnoty - a to někdy i za cenu pomalejšího technologického vývoje.

Microsoft jel tehdy na hraně toho, co tehdejší trh zkousnul. Pak to i přetáhl. Dnes jsou měřítka i hranice posunuté jinde - to, co dělal Microsoft, to už by dnes možné nebylo. Google ale dělá to samé, jen v dnešní situaci. Naším zájmem (osobní názor) je, nenechat to zajít za tu čáru, protože až to přeteč, trhu to uškodí a bude trvat dlouho - stejně jako v tehdejším případu Microsoftu -, než se to narovná.

Jak píšete, dnes jsou ty hranice posunuté, takže dnes i Google ani zdaleka nemůže dovolit zajít tak daleko, jako zašel Microsoft.

Já osobně dávám přednost rychlejším inovacím, než obranou před nějakým domnělým nebezpečím v budoucnosti. Až bude Google zneužívat toho, že provozuje DNS resolvery, má smysl to řešit. Ale nelíbí se mi zakazovat mu to preventivně, jen proto, že by to teoreticky někdy v budoucnosti zneužít mohl. Protože existence Google DNS resolverů posunula vpřed celý obor – najednou byla možnost, jak si snadno poradit s rozbitým DNS v dané síti. A také jak obejít záměrně rozbité DNS – což vedlo k tomu, že se někteří na to rozbíjení vykašlali (a někteří zatvrdili a rozbíjí to ještě víc, ale ti postupně skončí).

Já osobně dávám přednost rychlejším inovacím, než obranou před nějakým domnělým nebezpečím v budoucnosti.

V tom se lišíme, v překotném vývoji vidím vyšší riziko přešlapů. Internet je tak moc důležitý, že ty přešlapy udělají paseku ve všem.

Ale nelíbí se mi zakazovat mu to preventivně, jen proto, že by to teoreticky někdy v budoucnosti zneužít mohl.

To si asi do mých slov promítáte něco, co nepíšu. Googlu nejde něco zakazovat, k tomu není pověřená žádná autorita. Jediné, co jde, je mít oči otevřené a vidět a říkat si nejen jaká rizika odstraňujeme, ale i ta nová, ke kterým se přibližujeme. To se neděje dostatečně, komentářů (článků) na toto téma není mnoho.

Protože existence Google DNS resolverů posunula vpřed celý obor – najednou byla možnost, jak si snadno poradit s rozbitým DNS v dané síti. A také jak obejít záměrně rozbité DNS – což vedlo k tomu, že se někteří na to rozbíjení vykašlali (a někteří zatvrdili a rozbíjí to ještě víc, ale ti postupně skončí).

Zde dávám přednost spíš cestě práva. Pokud někomu nefunguje služba, kterou platím, tak reklamuji, domáhám se dodávky. Vím, že techniky to svádí spíš situaci obejít - je to rychlé a levné řešení. Jenže taková řešení v podstatě škodí společnosti, která ten internet potřebuje. Nevyřešily se důvody problému (že vůbec někdo neoprávněně zasahuje do provozu). Daleko zdravější by bylo říct: nesmíte se v tom hrabat. Pak byste neměl ani problém A, ani problém B (koncentrace do jiných rukou). Někdy mám pocit, že v oboru jsou jen techničtí nadšenci, kteří zapomínají, že jsou také občané své země, Evropy a světa.

Ono je to i docela praštěné. Žijeme v ČR, a místo toho, abychom chtěli a tím se i přičinili o to, aby ČR uměla chránit právo, tak delegujeme moc nad internetem do rukou společnosti, která se v kritických situacích musí řídit cizími zákony (USA). V případě opravdu velkého světového průšvihu taky můžeme zjistit, že internet bude nepoužitelný (spousta závislých služeb nedostupná) jen kvůli tomu, že USA musejí chránit své zájmy v konfliktu, kterého se možná ani neúčastníme. Právě a jen proto bych nad takovými technickými posuny tolik nejásal; řešíme technické problémy, ale opomíjíme strategii, kterou musíme - jako malá evropská země - mít úplně odlišnou.

V tom se lišíme, v překotném vývoji vidím vyšší riziko přešlapů. Internet je tak moc důležitý, že ty přešlapy udělají paseku ve všem.
Rychlý vývoj znamená, že se ty přešlapy rychle odstraní. Naštěstí jsme v prostředí internetu, který je decentralizovaný, takže udělat paseku ve všem zdaleka není snadné.

To se neděje dostatečně, komentářů (článků) na toto téma není mnoho.
Podle mne je zbytečné, aby vycházely spousty článků o samozřejmých věcech, které všichni ví.

Pokud někomu nefunguje služba, kterou platím, tak reklamuji, domáhám se dodávky.
To funguje jenom tehdy, když má služba nějaké garantované parametry, které následně nesplní. Řešit všechno garantovanými parametry nefunguje – to je třeba tragédie českého stavebnictví ve veřejném sektoru. Vše se dělá tak, aby s odřenými ušima a využitím všech výjimek splnilo normy. Takže když chcete, aby něco nebylo udělané vyloženě blbě, musí na to být norma, které to dělat blbě zakáže. Jenže pak musíte tu normu dodržovat všude, i tam, kde by zdaleka nejlepší řešení bylo takové, které by tu normu nedodrželo.
Takže já jsem mnohem raději, když si můžu vybrat mezi horší službou a lepší službou, a ukáže se, zda je zájem o tu lepší službu. Než aby byla nějaká norma, která zakáže tu horší službu poskytovat.

delegujeme moc nad internetem
To jsou zase ty vaše ničím nepodložené báje.

Řešit všechno garantovanými parametry nefunguje – to je třeba tragédie českého stavebnictví ve veřejném sektoru. Vše se dělá tak, aby s odřenými ušima a využitím všech výjimek splnilo normy. Takže když chcete, aby něco nebylo udělané vyloženě blbě, musí na to být norma, které to dělat blbě zakáže. Jenže pak musíte tu normu dodržovat všude, i tam, kde by zdaleka nejlepší řešení bylo takové, které by tu normu nedodrželo.

Normou myslím právní předpis. Ten stačí, když řekne, že není přípustno svévolně zasahovat do provozu (filtrovat, blokovat, jinak omezovat) a vyžadovat, aby byl odklon od takového pravidla precizně odůvodněný. Na to nejsou potřeba rigidní technické normy (jak jste asi z mého komentáře pochopil).

Mimochodem, i od technických norem se lze odchýlit, většinou nejsou závazné. Ve chvíli, kdy se od normy odchýlíte, je po Vás právě požadováno to, abyste přesně doložil, jakým jiným způsobem naplňujete účel právní normy. Typickým příkladem je QoS, kde lze vyargumentovat, proč je takový zásah do provozu přínosný a že stejný účel nelze naplnit jinak, ale taky musí být přezkoumatelné, jestli není zneužívaný nebo nastavený špatně (např. na UPC linkách je seškrcený provoz, který je potřeba po 6in4 tunel - bez vysvětlení, bez možnosti reklamovat).

To, že Google vydělává na tom, že umí zpracovat data ostatních, včetně využití k marketingu pro sebe a ostatní, je notorieta.
Pak by ale odpůrci Googlu měli být důslední a přestat například defekovat. Protože i takové fekálie obsahují spoustu osobních dat, a jak je notoricky známo, Google umí zpracovat každá data ostatních, včetně jejich využití k marketingu pro sebe i ostatní.

Protože i takové fekálie obsahují spoustu osobních dat, a jak je notoricky známo, Google umí zpracovat každá data ostatních, včetně jejich využití k marketingu pro sebe i ostatní.

Vy posíláte výkaly do Googlu?

Vy posíláte výkaly do Googlu?
Z předchozí diskuse vyplynulo, že je notoricky známo, že Google zpracovává i ta data, která nemá.

Z předchozí diskuse vyplynulo, že je notoricky známo, že Google zpracovává i ta data, která nemá.

To si nemyslím, že vyplynulo. Dotazy na resolvery má a musíte z opatrnosti předpokládat, že je může zpracovávat - ať už konkrétně, nebo jen anonymizovaně, hromadně.

Pak se ovšem vracíme k otázce, jak Google na dotazech na resolvery vydělává.

Pak se ovšem vracíme k otázce, jak Google na dotazech na resolvery vydělává.

Pointa je v tom, že někteří považují za lepší nepodporovat, aby se vůbec dostal do takového pokušení. Na tom nic nemění, jestli to dnes nedělá, nebo jestli jsou dnes tato data bezcenná.

Je to súčasťou stratégie, ako napríklad aj samotný Chrome - budovanie "priekopy" (moat), ktorá ochráni zvyšok biznisu.

T.j. nezarába to priamo, ale je to nástroj, ktorú Google má a potencionálny konkurent nemá, a pokiaľ ho nemá, nedokáže napodobniť alebo ohroziť biznis, ktorý robí Google. Čím viac Google (alebo iná firma) má takýchto prekážok, tým menšia šanca, že ich nejaký newcomer zosadí.

Takže nejdřív na tom vydělává a všichni to vědí. Pak už to vlastně vůbec není jasné, jestli vydělává. A pak řešíte jakési pokušení – aniž byste měl alespoň mlhavou představu, jak by Google tyhle data mohl zpeněžit.

@Filip

Překrucujete. Všichni vědí, že vydělává na tom, že dokáže získat a zpracovat data o lidech a jejich chování. Nastavením Google resolveru jim cpete do chřtánu další kus dat o svém chování - jenže, zatímco v prohlížečích se dá uvažovat o tom, že se odstraňují prostředky sloužící ke sledování uživatele / jeho chování, DNS dotazům se nevyhnete. I kdyby tím dokázal vysledovat jen to, jak často se lidi zajímají o nějakého konkurenta, je to cenná informace. S IPv6 bude uživatel už na úrovni DNS víceméně ztotožněn. Až dospěje doba, že v prohlížeči bude soukromí opravdu chráněno, bude už mít Google nový základ pro svoje aktivity. Nevím, jestli se tak už něco děje, ani jestli to v budoucnu opravdu nastane, ale vím, že prostředky k tomu má, a toto je jeden z nich. Jsem přesvědčený, že není přínosné podporovat, aby se vytvářela taková vícečetná závislost na jedné firmě, byť je dobrovolná. Preferuji, aby takové riziko vůbec neexistovalo. (Stejně jako nechci za premiéra pobírače dotací, který spolurozhoduje o jejich struktuře, ani když nejsou žádné přímé důkazy, že by dotace ovlivňoval ve prospěch oboru, ve kterém podniká.)

Neříkám tím nic míň, ani nic víc. Můžu to i zopakovat. Podsouváním demagogií a jízlivostí to nezměníte.

Celou dobu se ptám, jak Google z DNS dotazu z IP adresy, za kterou je spousta uživatelů, nebo je to nějaký DNS resolver, zjistí uživatele. Celou dobu se ptám, jak z dotazů, které se posílají v okamžiku, kdy někde vypadne záznam z cache, zjistí Google nějaké chování. A vy se stále tváříte, že je jisté, že to nějak jde, ale jak – to jste nikdy nenapsal.

To, jak často se lidé zajímají o nějakého konkurenta, může vědět Google ze svého vyhledávače. Bude vědět jak často se o něj zajímají (o několik řádů přesněji, než z DNS), a také v jakém kontextu a co je to za uživatele.

Jestli se resolver v síti ptá Googlu po IPv4 nebo IPv6 je úplně jedno, k identifikaci uživatelů používajících ten resolver to v obou případech nepomůže nijak.

vím, že prostředky k tomu má
Víte, ale když se na to opakovaně ptám, stále se na něco vymlouváte a nikdy to nenapíšete? To vám nevěřím. Já si myslím, že ve skutečnosti nemáte ani páru o tom, jak by Google ty informace, o kterých píšete, mohl z DNS dotazů získat.

Preferuji, aby takové riziko vůbec neexistovalo.
Ono neexistuje. Brání tomu principy, na kterých je DNS protokol založen.

Můžu to i zopakovat.
Místo opakování věcí, na které se nikdo neptal, byste mohl zkusit jednou odpovědět na to, na co se ptám.

Podsouváním demagogií a jízlivostí to nezměníte.
To je holt moje reakce na to, že nedokážete odpovědět na klíčovou otázku a pořád jenom mlžíte kolem.

Celou dobu se ptám, jak Google z DNS dotazu z IP adresy, za kterou je spousta uživatelů, nebo je to nějaký DNS resolver, zjistí uživatele. Celou dobu se ptám, jak z dotazů, které se posílají v okamžiku, kdy někde vypadne záznam z cache, zjistí Google nějaké chování. A vy se stále tváříte, že je jisté, že to nějak jde, ale jak – to jste nikdy nenapsal.

Jako hromadný jev to vypozorujete i přes cache. Jistě s daleko menší přesností a adresností, než co umožňují současné techniky v prohlížeči, ale pokud ty postupně zmizí, bude cenné i toto.

Jestli se resolver v síti ptá Googlu po IPv4 nebo IPv6 je úplně jedno, k identifikaci uživatelů používajících ten resolver to v obou případech nepomůže nijak.

Vážně mi nepomůže znalost přesné IPv6 adresy, když podle ní poznám konkrétní stroj? Vaše premisa byla, že si to nastavují přímo uživatelé, protože místní resolvery nefungují. Najednou je premisou to, že jsou schovaní za místním resolverem?

Já si myslím, že ve skutečnosti nemáte ani páru o tom, jak by Google ty informace, o kterých píšete, mohl z DNS dotazů získat.

Ani se o to nesnažím. Na to mi stačí vyšší imperativ.

Brání tomu principy, na kterých je DNS protokol založen.

Jaké?

Místo opakování věcí, na které se nikdo neptal, byste mohl zkusit jednou odpovědět na to, na co se ptám.

To rád udělám, až nebudete demagogicky pokládat kapciózní otázky.

To je holt moje reakce na to, že nedokážete odpovědět na klíčovou otázku a pořád jenom mlžíte kolem.

Jenže ona to není klíčová otázka. Podobně, jako mě nezajímá, jestli premiér ovlivnil na úrovni EU dotace tak, aby byly výhodné pro podniky velikosti Agrofertu, nebo ve prospěch oborů, ve kterých podniká, ani jak by to mohl udělat. Vím, že v takové pozici prostě být nemá, aby ta pochybnost ani nevznikala. U premiéra země je to kvůli obrovské výkonné moci, u Googlu je to kvůli obrovské tržní moci.

15. 4. 2021, 22:17 editováno autorem komentáře

Jako hromadný jev to vypozorujete i přes cache.
Zase to, nic konkrétního. V tom případě já se nebojím toho, že mne Google nějak špehuje nebo o mně získává informace. Já mám totiž něco, co Googlu brání získávat o mně informace. Takže klidně můžu čtyři osmičky používat.

Vážně mi nepomůže znalost přesné IPv6 adresy, když podle ní poznám konkrétní stroj?
Vážně netuším, k čemu vám bude rozpoznání konkrétního stroje, když je to DNS resolver, který používá několik uživatelů, nebo také několik stovek nebo tisíců uživatelů.

Vaše premisa byla, že si to nastavují přímo uživatelé, protože místní resolvery nefungují. Najednou je premisou to, že jsou schovaní za místním resolverem?
Já jsem ale nepsal, že je to jediný způsob použití. Když to někdo nastaví jako upstream resolver pro síť, která má tisíc uživatelů, musí si to někde jinde nastavit tisíc jednotlivců, aby to vyvážily.

Ani se o to nesnažím. Na to mi stačí vyšší imperativ.
Aha. Pak můžu doporučit jako ochranu před sledováním alobalovou čepičku. Vůbec nemusíte vědět, jak by mohla fungovat. Stačí vyšší imperativ.

Jaké?
Decentralizace, kešování.

To rád udělám, až nebudete demagogicky pokládat kapciózní otázky.
Otázka jaká data ke zpeněžení a jak Google z DNS resolveru získá je pro tuhle debatu zásadní. Demagogické je naopak vaše tvrzení, že odpověď na tuhle otázku není potřeba znát. Jinak můžu váš argumentační postup klidně obrátit proti vám. Vy tady řešíte, že Googlu posíláte pár informací přes DNS dotazy, a přitom se vůbec nestydíte mít doma počítač a dokonce ho používat. To nevíte, že Google ví o všem, co se kolem vašeho počítače děje, a to dokonce i když je vypnutý? A vůbec nemusí být nikam připojený. Že nevíte, jak by vás mohl pomocí vypnutého počítače sledovat? To nevadí, to je nedůležitá a vlastně demagogická otázka.