Názory k článku
Stabilní Firefox má DNS-over-HTTPS

Jen doplním zprávičku - nastavení network.trr.mode=5 je "Off by choice", pokud by to někdo hledal.

dik, zapol som

ako sa takychto "sraciek" zbavit na vystupnom firewalle (nie na klientovi)?

A k čemu je dobré, rozeznávat to?

Řekl bych, že to je právě účel tohoto, aby se to nedalo snadno zablokovat :-)

Stačí zablokovat známé providery, případně i podle patternu kolik se toho přenáší etc. by to s velkou šancí šlo detekovat.

BTW Zkoušel to někdo? Já ano, network.trr.mode=2 a vygenerovalo to jednu query na example.com, to dostalo odpověď a zbytek jde klasicky přes 53. Kdepak asi udělali soudruzi z NDR chybu?

Jinak Velkému Bratru to kromě dotazu posílá jen tohle, takže (alespoň v případě FF) se slova skeptiků o posílání unikátního ID nepotvrdily (i když je to zhruba o jeden UA víc, než potřebuje vědět anyway):
POST /dns-query HTTP/1.1
Host: mozilla.cloudflare-dns.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: application/dns-message
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Cache-Control: no-store
Content-Type: application/dns-message
Content-Length: 48
Connection: keep-alive

V sieti nastav pristup do netu len cez proxy, pri poziadavkach na hostov s DoH vrat chybovy kod.

To bude velmi zábavné... některé už velkého centrálního šmíráka aktivně sabotují, aneb na http://archive.is/ se nepodíváte:

https://community.cloudflare.com/t/archive-is-error-1001/18227
https://twitter.com/archiveis/status/1018691421182791680

Firefox 60.0.3 má volbu "Zapnout DNS přes HTTPS" v nastavení připojení a je možné tam zadat i URL, která je standartně nastavená na https://mozilla.cloudflare-dns.com/dns-query. Není tak třeba to řešit přes about:config.

Díky za informaci, ale většina lidí tu naopak řeší, jak tu "funkci" vypnout a zlikvidovat.

standardně

Dementni svet.

Certifikacnim autoritam se neda verit, nejaky centralni trust ani neexistuje, na vetsine verejnych webu neni nic, co by stalo za sifrovani, sifrovani znemoznuje efektivni kontrolu provozu na gateway, nejdelsi zivotnost certifikatu nebude v budoucnu ani 1 rok ... ale priblble browsery budou obchazet centralni konfiguraci DNS, vsechno nesifrovane blokovat, sifrovat i uvodni vymenu verejneho certifikatu, sifrovat SNI, HTTP 3 bude pouzivat UDP, uz od HTTP 2 tu mame push komunikaci server -> klient, navrhuje se kompilovana a optimalizovana binarni podoba html, zbytecne se prechazi na IPv6 s primou komunikaci klient-server (bez NAT) ... a proc vlastne ?

Nemam pocit, ze by cokoliv z toho bylo ve prospech uzivatele, nebo firmy, kde ten uzivatel sedi, spise naopak.

Misto skutecne bezpecnosti se resi zelena pizda vlevo v adresnim radku, a jak zabranit jakekoliv kontrole mezi serverem a uzivatelem. Soucasne uzivatele chceme mit zasadne zbaveneho anonymity jeho elektronickeho alter-ega, nejlip i se vzorkem stolice (a telefonnim cislem), zodpovedneho za vse, co napise, cenzurovaneho, trestatelneho za virtualni ciny v realnem svete. Cili jedinemu, komu to sifrovani pomuze, budou

Normalni svet.

Certifikacnim autoritam da verit (pokud zverejnuji vsechny vystavene certifikaty), mame na to treba centralni trust od Mozilly, verejne weby stojej za sifrovani, sifrovani znemoznuje efektivni kontrolu provozu na gateway, nejdelsi zivotnost certifikatu neni vubec podstatna ... browsery budou obchazet centralni konfiguraci DNS, dokud OS neprejde na zabezpeceny prenos DNS dotazu, vsechno nesifrovane blokovat, sifrovat i uvodni vymenu verejneho certifikatu, sifrovat SNI, HTTP 3 bude pouzivat UDP (taky z toho nejsem odvazanej, ale pokud to necemu pomuze, tak proc ne)... A hlavne uz aby se konecne zrusilo IPv4 a preslo na IPv6 s primou komunikaci klient-server (bez NAT) ... a proc vlastne ?

Protoze je to vse ve prospech uzivatele.

Škoda času na takovouhle debatu. "Myšlenky" jako "browsery budou obchazet centralni konfiguraci DNS, dokud OS neprejde na zabezpeceny prenos DNS dotazu" opravdu nemají chybu. Ten browser vůbec neví a ani nezkouší zjistit, zda je DNS přenos dotazů zabezpečený nebo zda takové zabezpečení dává v daném případě vůbec nějaký smysl. On prostě v rámci šíření "univerzálního dobra" rozbije DNS a je to vyřízené. A jako bonus budeme veškeré DNS dotazy lifrovat přes společnost v americké jurisdikci, proslulé takovými výdobytky svobody a právního státu, jako jsou tajné soudní procesy a tajná rozhodnutí.

Výtečná idea.

By mě jenom zajímalo, kdy ti pitomci zavedou HTTPS over HTTPS. Jako že browser řekne CloudFlare co chce, CloudFlare to po HTTPS stáhne a po HTTPS (přebalený) pošle klientovi...

Neví někdo co se děje s Firefox doplňky? S3 Translator je pryč, scrapbook pryč, mám opustit firefox protože končí??