neprihlásený Piatok, 3. apríla 2020, dnes má meniny Richard   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Firefox začal skrývať DNS dotazy pred poskytovateľom pripojenia

Značky: FirefoxDNS

DSL.sk, 25.2.2020


Organizácia Mozilla dnes začala vo svojom webovom prehliadači Firefox masovo zapínať štandardnú podporu využívania štandardu DNS-over-HTTPS, DoH, pri ktorom sa DNS dotazy na preklad domén na IP adresy prenášajú šifrovaným protokolom HTTPS.

Organizácia o tom infornuje v tomto oznámení.

Štandardné nasadzovanie sa týka len užívateľov v USA a bude uskutočňované postupne niekoľko týždňov, aby sa potvrdilo že nasadzovanie nespôsobuje nejaké problémy.

Pri využívaní DoH už analyzovaním dátovej komunikácie užívateľa nebude možné analýzou DNS dotazov zistiť aké domény navštevuje. V prípade často používaného šifrovaného protokolu TLS môžu byť domény ale stále zisťované z indikácie rozšírením SNI, Server Name Indication, ak sa ešte nevyužíva šifrovaná verzia ESNI.

Použitie DoH samozrejme tiež ale zabraňuje manipulácii DNS odpovedí, podobne ako DNSSEC, a tiež blokovaniu domén na úrovni DNS. DNSSEC je zatiaľ nasadený ale len na časti domén.

Firefox užívateľom v USA nastavuje pre DoH server služby Cloudflare a za tento aspekt je kvôli centralizácii DNS Mozilla kritizovaná.

Nastaviť používanie DoH si môžu aj ostatní užívatelia prehliadača Firefox a to v sieťových nastaveniach prehliadača. Pri manuálnom nastavení je okrem Cloudflare možné zvoliť aj NextDNS ale tiež ľubovoľný iný DoH server.


      Zdieľaj na Twitteri



Najnovšie články:

Sprístupnená beta verzia Ubuntu 20.04 LTS
SpaceX sa pri teste zničila už tretia Starship
Google zo sledovania polohy užívateľov zverejnil o koľko menej kam Slováci chodia
Štát stále nepovedal ako presne využije lokalizačné dáta
Vydaný alternatívny Android LineageOS 17
V SR sa napriek situácii uskutočnila informatická olympiáda, cez Internet
NASA roztvorila zrkadlo nástupcu Hubblovho teleskopu, na Zemi
Streamovacie služby kvalitu znižovať nemuseli, tvrdí český NIX
Uvedený 8-jadrový 5.3 GHz CPU pre notebooky
Intel sa vrátil na pozíciu najväčšieho výrobcu čipov


Diskusia:
                               
 

To by ešte tak chýbalo, aby niekto iný ako ja menil nastavenia software-u bežiaceho na mojom stroji ...
Odpovedať Známka: -2.6 Hodnotiť:
 

Nevyhnutné je mať okrem ja aj druhé ja.
Keby mal Pellegrini ženu, mal by mu kto variť čajíček a nemusel skončiť v nemocnici ako bezdomovec s pneumoniou.

Nehovoriac o tom, keby mal deti pravidelne by aktualizoval imunitu a bol by funkční.

Deti vždy donesú aktuálny vírus z kolektívu, nie všetko si môže človek robiť sám.
Odpovedať Známka: 1.5 Hodnotiť:
 

Keby si mal deti ty, naučili by ťa gramatiku. Na tretí pokus by sa im to určite podarilo.
Odpovedať Známka: 7.4 Hodnotiť:
 

Kebi sa aspoň ďebiľňie ĎeŤeŇeĽeĎiŤiŇiĽi DODRŽIAVALO!!!
Všakže... aĽe, aĽebo, Ľes, Ľesňík, ĽenŤilki, Ďelfín, Ďiktát, gramaŤika, maŤemaŤika....

Mňa! Všetki! Tieto slová! MAMA naučila!!!
Takže sú to MOJE MAŤERINSKÉ SLOVÁ!!!
(Ďebiľňie víhovorki že sú to cudzie slová si láskavo strčťe! vieťe presňe KAM!)

Tak láskavo prestaň uprednostnovať FORMU pred OBSAHOM!
(Áno presňe tak! S IQ to má spoločné presňe toľko ako Tvoja! Slaboduchosť!)
Odpovedať Známka: -6.0 Hodnotiť:
 

Podla seba sudim teba?

Tato zmena je len pre:
1) Tych co maju zapnute STUDIE. Ked chces mat nastavania pod kontrolou ty, mas STUDIE urcite vypnute.
2) Ak si si nastavenia neskontroloval a studie mas zapnute, aj tak ti Firefox pri spusteni ukaze vyzvu, ktoru musis POTVRDIT alebo ZAMIETNUT.
Odpovedať Známka: 10.0 Hodnotiť:
 

Nestaci VPN? Tam si moze provider piskat ... tu nemam istotu, ze neuvidi co niekto navstevuje ...

Priklad: Jozko pojde na pornostranku a Firefox skryje DNS, takze provider nevidi kam isiel

Lenze potom jozko streamuje video z https://pornostranka.xxx/Jebacka.avi a toto uz provider vidi, ci???
Odpovedať Známka: -6.4 Hodnotiť:
 

Že by zrovna pornostránky adresy, či eventuálne infraštuktúru, sharovali kvôli optimalizácii nákladov, neistej budúcnosti biznisu, či neschopnosti samostatného prevádzkovania, s kdekým, takže by bol pre skrývanie DNS príklad k veci, predstavuje priekazne vysoko expertný konštrukt.
Odpovedať Známka: -3.8 Hodnotiť:
 

Pán používa generátor náhodnych slov ale si synom Andreja Danka?
Odpovedať Známka: 2.6 Hodnotiť:
 

Presne tak. Znalosti elementárnej kvantovej mechaniky stavajú pravdepodobnosť možnosti používania generátora náhodnych slov priekazne na úroveň schopnosti jeho zostrojenia.
Odpovedať Známka: -2.7 Hodnotiť:
 

c: je spravne
Odpovedať Známka: 10.0 Hodnotiť:
 

Poslechni svého pána, střílej ... au au
Odpovedať Známka: 3.3 Hodnotiť:
 

Nie. Provider nevidi nic. URL nieje sucastou DNS requestu. To ze Jozko pozera porno bude vediet cloudflare.
Odpovedať Známka: 8.8 Hodnotiť:
 

A ked provider pomeni requesty, poopripade ti podstrci certifikat???
Odpovedať Známka: -8.2 Hodnotiť:
 

takeho providera ktory na teba robi MITM utok mozes jebat
Odpovedať Známka: 8.9 Hodnotiť:
 

Presne lenze ty to nikdy nevies skontrolovat. Co ak budes v hladaciku tajnych sluzieb? Vyuziju vsetky prostriedky a provider musi spolupracovat
Odpovedať Známka: -2.0 Hodnotiť:
 

Ten zákaz zrušenia firmy sa týka len providerov či priekazne všetkých činností?
Odpovedať Známka: -1.4 Hodnotiť:
 

Mal by si to vediet skontrolovat. V pripade MITM bude certifikat servera podpisany utocnikom a nie CA.
Odpovedať Známka: 10.0 Hodnotiť:
 

Po prvé to treba zákonom zakázať, po druhé treba aspoň Tor...
Odpovedať Známka: 6.0 Hodnotiť:
 

Ako ti podstrci certifikat tvojho nastaveneho DoH servera? Ak nebude podpisany niekym, koho mas v trusted chaine nainstalovanom na tvojom PC, tak to nie je platne. A ak si naimportujes certifikat hocikoho, kto o to poziada, tak ti niet pomoci..
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Navyse Firefox nepouziva root CA certifikaty nainstalovane v operacnom systeme, ale bundluje si svoje vlastne (na rozdiel od Chromium based prehliadacov). Takze je to este o jednu vrstvu bezpecnejsie.

Odpovedať Známka: 10.0 Hodnotiť:
 

nepodstrčí ti nič, nato je tam to HTTPS://, komunikácia medzi serverom a klientom je už šifrovaná a podpis je overovaný treťou stranou, teda Certifikačnou autoritou. Tvoj provider si môže aj trhať vlasy, keď ti v prehliadači svieti tá pekná zelená kládka nikto nevidí a ani nemôže upraviť dáta ktoré idú od klienta na server a späť. Do toho spadajá aj celá cesta stránky... to ale neplatí pre DNS requesty, čo znamená, že pokiaľ nepoužívaš DNSSEC alebo pod. systém tak čo vidí tvoj provider je toto:

pripojíš sa na "some website . co, / some params"
------
DNS Client -> "some website . com"
123.123.123.123 <- DNS Server
[Encrypted Request] -> [123.123.123.123]
127.0.0.1 <- [Encrypted Response]
...atď...
------

Odpovedať Známka: 10.0 Hodnotiť:
 

Zabudol si na ip adresy... z top milion stranok podla Alexy ma 95% z nich priame mapovanie medzi hostname a ip adresou. To, ze Jozkov blog ma rovnaku ipcku ako Ferkov, je uplne nepodstatne.

Odpovedať Známka: 0.0 Hodnotiť:
 

to už až tak neovplyvníš. podstatné je, že nevidí, čo na tej adrese robíš :) a vôbec, môžeš si skočiť cez nejaké to proxy ak to potrebuješ vážne ukryť... z toho čo provider vie je maximálne to, že si niekde pripojený a keď veľmi chce môže si resolvnúť meno pre tú IP aby zistil kde... ale to v podstate môže úplne každý cez koho preskočíš, nehovoriac o tom, že keď si za reouterom alebo niečo podobné, tak nevie kto presne sa tam pripojil :) tak si si nechal odomknutú Guest Wifi a niekto tam cez teba skočil... to už je predsa detail, overiť to nemajú ako, lebo nevidia obsah ani parametre, žiaden login ani iný jednoznačný identifikátor... v podstate hádať sa o tom kto vidí IPčky je zbytočné, lebo niekto ich vidieť musí, či je to tvoj ISP alebo VPN provider, alebo Proxy provider... pick your poison
Odpovedať Známka: 10.0 Hodnotiť:
 

A ked mam nejake lokalne domeny pristupne iba z mojej siete tak si mozem piskat. Je mi u riti ci provider vidi ake domeny navstevujem, ked aj tak bude vidiet IP adresy na ktore pristupujem. Skor mam problem s tym ze firefox bude vidiet domeny ktore navstevujem. Ale ako sposob na sledovanie uzivatelov firefoxu je to dobre...
Odpovedať Známka: -4.3 Hodnotiť:
 

tvrdis, ze pred zapunitim DoH to nevie a potom bude?
Odpovedať Známka: 10.0 Hodnotiť:
 

Cloudflare... predtym to nevedel, teraz to vediet bude.
Odpovedať Známka: -6.0 Hodnotiť:
 

Nie. Tvrdí, že má DNS server ktorý mu prekladá neverejné IP adresy a mená a to sa po zapnutí DoH prekladať prestane.
Odpovedať Hodnotiť:
 

To je pravda. Pokusne som mal DNSSEC zapnuty vo Firefoxe a robilo mi to problem pri lokalnych domenach. Riesenim doma je mat DNSSEC na urovni routera a nie na kompe. Neriesi to samozrejme cudziu siet.
Odpovedať Známka: 10.0 Hodnotiť:
 

Samozrejme, ze ich to v Mozille napadlo. Je moznost cez network.trr.excluded-domains urobit zoznam lokalnych domen, na ktore bude pouzivat nastavenia OS.

Druha moznost:
To signal that their local DNS resolver implements special features that make the network unsuitable for DoH, network administrators may configure their networks to modify DNS requests for the following special-purpose domain called a canary domain: use-application-dns.net.
Odpovedať Známka: 10.0 Hodnotiť:
 

A samozrejme, pretoze v Mozille tiez pouzivaju mozgove myslenie, na vytvorenie canary domain treba rozbit DNSSEC pre cely .net root. Keby rozumeli tomu co robia, nahradili by jednu pomlcku bodkou a len tato subdomena by mala vypnute DNSSEC.

Niet divu, ze ich cela DNS komunita ma v zuboch.
Odpovedať Známka: 3.3 Hodnotiť:
 

Po rokoch na Chrome a Opere, som si nasiel cestu naspat na novy Firefox. Mozem povedat, ze velka spokojnost, na mojom MX Linux ide velmi dobre.
Odpovedať Známka: 7.8 Hodnotiť:
 

ak si rozchodis dnscrypt-proxy nemusis cakat na firefox... trochu poguuglis a da sa...
Odpovedať Hodnotiť:
 

sem tu cestu
Odpovedať Hodnotiť:
 

Bez DoH dôveruješ poskytovateľovy pripojenia a firme ktorá prevádzkuje DNS server, že nezneužije informácie ktoré domény pozeráš.

S DoH dôveruješ firme ktorá prevádzkuje DoH server.

Keď použiješ VPN tak dôveruješ firme ktorá prevádzkuje VPN server.

Ja používam https://www.dnscrypt.org/
Dôverujem firmám, osobám ktoré prevádzkujú servery. Je ich viac, existuje Anonymized DNS relays.
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne,dobre si to napisal. Firefox, len rozsiruje moznosti tu doveru presunut na niekoho ineho. Nejde spiclovat alebo co, dava dalsiu moznost so svojimi plusmi a aj minusmi.
Odpovedať Známka: 6.0 Hodnotiť:
 

Presne tak!
Je dobre mat na vyber. Len pripomeniem, ze NASTROJE - MOZNOSTI - VSEOBECNE - NASTAVENIA siete - Zapnut DNS cez HTTPS (pripadne vybrat poskytovatela)

Okrem toho, Firefox ukaze pri spusteni okno, kde moze uzivatel zmenu POTVRDIT alebo ZAMIETNUT.

Je to robene cez studie, kto ma studie vypnute, toho sa to netyka.
Odpovedať Známka: 10.0 Hodnotiť:
 

Je tu este ta moznost, ze rekurzivny resolver si budes prevadzkovat sam.
Odpovedať Známka: 10.0 Hodnotiť:
 

zopar rekurzivnych DNS serverov si uz vyse 20 rokov prevadzkujem sam a vsetky svoje DNS requesty sa snazim podla moznosti smerovat voci nim...
Odpovedať Známka: 10.0 Hodnotiť:
 

Alebo cez VPN sa pripojíš na Tor a dovi dopo. Tu už nikto nedôveruje nikomu. Ľudia si zaslúžia istoty
Odpovedať Hodnotiť:
 

https://dopice.sk/nHh
Odpovedať Hodnotiť:
 

zaujímavé čítanie ale je to naozaj dilema:
buď si vyberieš nešifrované DNS, pri ktorom každý hop vidí o akú IP adresu ide + vidia to všetci útočníci (man in the middle)
alebo si vyberieš DoH, pri ktorom nikto nevidí o akú IP adresu ide, žiaden MITM útočník nevidí plaintext IP - ale, môže sa stať že ju rozširuje (ak sa použije šifra typu sha-1 alebo md5) alebo zaútočí na šifrovací server alebo samotný šifrovací server si to rozšifruje resp. si môže uložiť log pred zašifrovaním prípadne môže poskytnúť kľúče iným subjektom a pod.

čiže dilema typu: kúpim si lacné hodinky, odvediem z nich daň ale nedarí sa mi ixh skryť, takže všetci tie hodinky vidia a vedia že sú moje a že ich nosím
alebo
kúpim si drahé hodinky, neodvediem z nich daň nikto mi ich nikdy na ruke nevidí aj keď ich nosím ale dúfam že ma nenatre predavač, že si predavač neurobil záznam o tom že som si ich kúpil a že daňováci nekúpia od predavača info
Odpovedať Známka: 10.0 Hodnotiť:
 

Pri otvoreni niektorych stranok pada (firefox) ako prezreta hruska, napr. shmu.sk.
Odpovedať Známka: -10.0 Hodnotiť:
 

shmu.sk na ff pozerám takmer denne, nespadol ani raz. a na druhú stranu tiež neskenuje aké aplikácie máš nainštalované v PC ako to robí chrome.
Odpovedať Známka: 10.0 Hodnotiť:
 

DNS cez HTTPS... Vam musi jebat chalani, vam musi docista jebat. Mame take rychle siete a pocitace, ze mozeme robit neefektivne a zbytocne veci, a to vo velkom. Parada. Keby niekto s takymto napadom prisiel na internet v 1995, tak by ho jemnesie povahy hnali svinskym krokom a radikalnejsie by ho utlkli hlavickami IP paketov.
Odpovedať Známka: -5.0 Hodnotiť:
 

www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex
Odpovedať Hodnotiť:
 

slovo Dotazy nieje nahodou cechizmus?
Odpovedať Hodnotiť:
 

www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex
Odpovedať Hodnotiť:
 

www.KKISS.CLUB - úžasné zoznamovacie miesto pre dospelých, ktorí chcú nájsť partnera na sex
Odpovedať Hodnotiť:

Pridať komentár