VLOG admina z trasy #34 O drugim dnie wdrożenia DNS-over-HTTPS w przeglądarkach Chrome i Firefox

Рет қаралды 2,466

Күн бұрын

Пікірлер: 21

@lampkabiurkowa6502 5 жыл бұрын

A czy nie sądzisz, że w najbliższym czasie pojawi się możliwość uwalania takich połączeń w wyższych warstwach na różnego rodzaju NGFW i UTM-ach?

@PoProstu_Ameryka 2 жыл бұрын

Jak omija Pan firewalla uczelnianego skoro wszystkie DNS sa tam zablokowane oprocz jednego?

@AdminAkademia 2 жыл бұрын

1. VPN 2. Dns over HTTPS :-)

@markiu200 4 жыл бұрын

Odnośnie tej sytuacji na uczelni z blokowaniem DNSów - rozumiem że zablokowane zostały porty wychodzące (do 53 i 853 ewentualnie)? Bo zabrzmiało mi to tak, jakby zablokowany został cały zestaw adresów IP do tych DNSów :D A w tej sytuacji (gdyby zablokowane zostały IP) chyba żaden z wymienionych DoH, DoT ani DNSCrypt by nie pomógł? Bo niezależnie od zawartości wiadomości - czy to zaszyfrowana czy nie, na jakikolwiek by to nie był port - połączenia z DNSem nie ma i nie będzie? Takie być może głupie i laickie pytanie, ale dopiero się uczę a chodzi mi to teraz po głowie :D

@RK-ly5qj 5 жыл бұрын

Ciekawe czy fx i chr szyfruja pole SNI

@ntcer 5 жыл бұрын

Jakieś polecane źródła o DNS?

@Krzysztof_1979 5 жыл бұрын

Trzeba ręcznie wpisywać DNS

@AdrianuX1985 5 жыл бұрын

Z "darmowego" WiFi korzysta głównie "informatyczny laik" - lekko mówiąc. Obecnie net mobilny z rozsądnym "lejkiem" jest bardzo tani. Ja z zasady unikam "darmowych" hotspotów.

@AdrianuX1985 5 жыл бұрын

@@AdminAkademia HotSpot w kinie.. O_o ?? No idealne miejsce na "fake-hotspot". Brak zasięgu mobilnego ISP - cóż to za operator ? No chyba, że to kino to solidny bunkier i stąd decyzja właściciela aby zainstalować hotspot. ;-))

@AdrianuX1985 5 жыл бұрын

@@AdminAkademia W sumie gdzie by nie pójść tam jest Hot-Spot. Są miejsca gdzie to ma sens, ale sala kinowa ? Płaci taki klient za seans i zamiast skoncentrować się na treści filmu to ten myśli o WiFi. Normalnie kuriozum.. O_o

@AdrianuX1985 5 жыл бұрын

@@AdminAkademia Pozwolę sobie pożyczyć komentarz od Pana Aleksandra: Ale że o co się rozchodzi.. ?? ;-] Przecież technologia VPN jest mi znana i jej zalety również. Termin "darmowe WiFi" stał się w ostatnich latach powszechnym i nadużywanym modnym "hasełkiem". Instalowane wszędzie aż w nadmiarze. Bez racjonalnej konecpcji w konfiguracji. Pozostawione generyczne ustawienia: SSID, IP, "Wi-Fi Protected Setup" , domyślne hasło, domyślny kanał, itd.. Poprostu jeden WIELKI syf w eterze - elektrosmog. Dla przykładu są miejsca gdzie kilkanaście lub więcej SSID'ów na tym samym kanale interferuję ze sobą. Bo WiFi takie modne, więc być musi - WSZĘDZIE.. Stąd też termin "darmowe WiFi" budzi we mnie negatywne skojarzenia bo "WiFi to ZUO" (czasem wygodne, ale jednak).. To tak w skrócie..

@adamzoyniak9768 5 жыл бұрын

Argument prywatności jest dramatyczny - ok - mój ISP nie wie o jakie DNS pytam ale za to google się dowie :D - gdzie tu prywatność ?:-) A gdzie prywatność kiedy nie będę mógł pytać swojego wybranego serwera tylko będę musiał pytać google ? A jeśli będę chciał skorzystać z prywatnej aplikacji która wymaga sufiks dns ....co jeśli działa w AD i potrzebuje korzystać z DNS kontrolera domeny ? - jakaś całkowita porażka funkcjonalna

@gorgucz 5 жыл бұрын

@Agrafka Agrafka Dokłądanie tak jak piszesz - VPN na potrzeby przeglądania Internetu dla zastosowań domowych ( bardzo popularnie ostatnio sprzedawany ) z prywatnością nie ma nic wspólnego - ani z prywatnością , ani z bezpieczeństwiem - dlatego płacenie za "bezpieczny VPN" to zazwyczaj wyrzucanie kasy w błoto . Bo teraz komu bardziej ufasz - dostawcy VPN czy swojemu ISP ....dla mnie to ten sam poziom zaufania - czy logi z moich połączeń przechowuje dostawca VPN czy IPS - < ; Bezpieczeństwo ? https do banku over VPN jest tak samo bezpieczny jak https do banku bez VPN . Serio google się mniej interesuje tym co oglądam a co nie vs mój ISP ?:> przeczytaj sobie to zdanie jeszcze raz :-) . A jak już zestawisz ten VPN i z serwera VPN generujesz połączenie do dowolnej strony www to tam już nie ma drogi docelowej i zwrotnej w ramach której istnieją dokładnie te same ryzyka jak twoje bezpośrednie połączenie do tej www bez VPN ? VPN na potrzeby dostępu do sieci lokalnej za VPN, na potrzeby łączenia oddziałów i tworzenia Intranetów - OK - na potrzeby przeglądania Internetu ....... użyteczne tylko na potrzeby użycia innego src IP a w kontekście bezpieczeństwa , prywatności....to są tylko slogany reklamujące produkt i sprawiające ,że zwykły Kowalski to kupi bo teraz jego połączenie do Banku będzie jeszcze bezpieczniejsze - j a s n e :)

@gorgucz 5 жыл бұрын

@Agrafka Agrafka 1) Weryfikacja założenia twój ISP vs DNS np google - skąd wiesz ,że admin, który akurat ma dostęp do przeglądania twoich zapytań jest tym sąsiadem za oknem czy też nie ? może DNS twojego ISP administruje jakiś Francuz który ma Cie głęboko gdzieś a admin google to akurat twój sąsiad zza płotu ....w dzisiejszych realiach i ilości danych oraz ich przepływu myślę ,że twoje założenie jest spełnione w obydwu przypadkach - serwer DNS z którego korzystasz na 99,999% adminuje ktoś komu jesteś całkowicie obojętny . 2)" Generalnie połączenia https + vpn dla kowalskiego jest napewno lepszym rozwiązaniem niż bez vpna. Wydawałoby się ze to oczywista oczywistość, ale chyba nie dla każdego." no właśnie wcale nie jest to takie oczywiste i po tym stwierdzeniem się właśnie zdecydowanie nie podpisuje - przeanalizuj sobie drogę pakietu od kowalskiego do banku z vpn i bez vpn i spróbuj znaleźć dlaczego to jest lepsze rozwiązanie. 3) "Wg twojej logiki to np połączenie nieszyfrowane plain textem byłoby tak samo nieprywatne i niebezpieczne jak to samo ale z vpn bo admin vpna też se może popatrzeć." i to jest kolejny wątek , które większość ludzi nie rozumie - jeśli łączysz się z stroną plain textem , bo np nie obsługuje https ( albo używasz poczty bez szyfrowania w tranzycie ) i kupisz sobie teraz szyfrowanego vpn to zgadza się - poziom twojego bezpieczeństwa i prywatności nic się nie zwiększył - bo docelowo twoje pakiety dalej lecą plain textem i można je odczytać ! Szyfrowany jest tylko odcinek twój host serwerVPN....a jak wygląda połączenie SerwerVPNdocelowa strona www i czym się różni połączenie serwerVPNstronaBanku , od twójHoststrona banku ? odpowiem - niczym , ale myślę, że Pan Agrafka jest wstanie to zauważyć i finalnie dojść do wniosku,że to co wydawało by się oczywistą oczywistością wcale taką nie jest

@gorgucz 5 жыл бұрын

@Agrafka Agrafka wiesz ,że czasy małych lokalnych ISP po 100-200 klientów się już skończyły ...nawet najmniejsi ISP są teraz raczej na tyle "duzi" i prawidłowo oksryptowani w "RODO" i inne ,że naprawdę twoje zapytanie do ich DNS są im mocno obojętne tak samo to po jakich www chodzisz a admin który w tym siedzi najprawdopodobniej w ogóle Cie nie zna . Rozumie tę idee - ale miała swój sens z 15 lat temu nie teraz. Anonimowość nie zwiększa bezpieczeństwa i z nim nie ma dużo wspólnego - przecież bezpieczniej jest kiedy twój bank nie ukrywa się pod anonimowym IP z anonimową losową nazwą domenową tylko podaje Ci wszystko jawnie , otwarcie i do weryfikacji ...a mimo to korzystasz z bezpiecznej szyfrowanej , uwierzytelnionej transmisji. Jeśli twój plain text zawiera login do poczty i hasło to raczej są to dane w pełni użyteczne ... Bank podałem jako przykład , który idealnie obrazuje,że wprowadzenie dodatkowego VPN dla połączenia pomiędzy host a stroną banku nie podnosi poziomu bezpieczeństwa. plain text podałem jako przykład tego,że VPN nie zaszyfruje tego plain textu - więc również nie zwiększa poziomu bezpieczeństwa Może VPN to dobry sposób na popełniania przestępstw bez możliwości znalezienia sprawcy ? Bo właściciele serwerów VPN to tacy frajerzy , którzy będą odpowiadać za każde przestępstwo i działanie abuzywne zrealizowane przy pomocy ich IP i wezmą to wszystko na siebie ...bez wskazania który ich klient to zrobił. Anonimowość w Internecie to oddzielny wątek / bezpieczeństwo to oddzielny i nie ma tutaj korelacji ,że jeśli coś jest bardziej anonimowe to na pewno jest bezpieczniejsze.

@gorgucz 5 жыл бұрын

@Agrafka Agrafka Jeśli mam nawiązane połączenie z stroną banku over https - transmisja uwierzytelniona , zaszyfrowana to fakt ,że wiesz ,że TO JA nawiązałem połączenie nie zmniejsza poziomu bezpieczeństwa i sytuacja w której nie masz pojęcia kto nawiązuje połączenie również tego poziomu nie zwiększa - jest tak samo dobrze zaszyfrowane. Rozumię do czego się odnosisz - jeśli ktoś wie ,że ja lubię łączyć się z stroną banku A to może zrealizować dedykowany atak ...ale 1) zabezpieczenia mają być tak dobre ,żeby to uniemożliwić 2) jeśli korzystasz z VPN dalej ktoś wie ,że lubisz się łaczyć z storną banku i może zrealizować dedykowany atak , tylko admin 1-bramy domyślnej to inna osoba - cała różnica . Może faktycznie zrobimy PASS bo widzę ,że każdy obstawia przy swoim i skoro do tej pory nie udało mi się Ciebie przekonać do popatrzenia na temat z innej strony to dalej też się nie uda.

@gorgucz 5 жыл бұрын

@@AdminAkademia Panie Jarosławie.....właśnie to jest przykład osoby , która myśli ,ze VPN mu coś pomógł w tej sytuacji ...przecież WiFi calling zestawia IPSEC w jednym z najbezpieczniejszych wariantów - to już sam w sobie jest bardzo bezpieczny VPN i NordVPN nic tu nie usprawnia - mogło by go nie być. Dla takiego WiFi to jest ważniejszy dobry firewall, antywirus bo największe niebezpieczeństwo to to ,że jesteśmy z potencjalnym włamywaczem w jednym L2 z naszym urządzeniem ( pełna wymiana pakietów po mac adres ) i tutaj VPN nic nie zabezpiecza.

@adamzoyniak9768 5 жыл бұрын

Trochę słaby ten przykład z DNS; przecież od co najmniej 8 lat przeglądarka na podmianę IP strony bankowej zareaguje :'Ostrzeżenie: potencjalne zagrożenie bezpieczeństwa Firefox wykrył potencjalne zagrożenie bezpieczeństwa i nie wczytał „inteligo.pl”. Jeśli otworzysz tę stronę, atakujący będą mogli przechwycić informacje, takie jak hasła, adresy e-mail czy dane kart płatniczych." Co do Ministerstwa......muszę stanąć trochę w ich obronie i wejśc w polemikę :) Patrzymy na problem z złej strony - czepiamy się ,że Ministerstwo wymyśliło metodę , którą można bardzo prosto i łatwo obejść - na wiele różnych sposobów i dlatego ich zabezpieczenie jest "d...". Ministerstwo stworzyło PRAWO , które obywatel ma przestrzegać - nie wolno Ci korzystać z stron wymienionych w rejestrze i dodatkowo stowrzło a nie musiało świetny ułatwiać dla przeciętnego "Kowalskiego" - jeśli nie chce Ci się czytać rejestru to ustaw sobie DNS który daje Ci ISP ( albo po prostu nie rób nic ) i jak wejdziesz na stronę która jest w rejestrze zostaniesz o tym poinformowany odpowiednim komunikatem. PROSTE, skuteczne , nie głupie - a jeśli chesz być przestępcą i łamać prawo to rób to ( jedną z wielu znanych metod ) ale łamiesz wtedy prawo z premedytacją i świadomie. Kradzież samochodów jest zabroniona prawda? a czy Ministerstwo wysyła do każdego właściciela samochodu jakieś zabezpieczenie ( mądre lub głupie ) ,żeby tę kradzież uniemożliwić -jasne ,że nie to rola osoby tworzącej prawo . Po dogłębnej obserwacji ustawy natyhazardowej stwierdzam ,że : 1) ponad 90% ludzi nie potrafi wejść na stronę z rejestru zakazanego co jest wyjątkowo skuteczne jak na zabezpieczenie z którego się wyśmiewa każdy fachowiec ....tak samo jak zabezpieczenia w szkołach które opierają się tylko na DNS i CISCO umbrella , które też opiera się tylko na DNS - są to wyjątkowo skuteczne rozwiązania , bo ponad 90% użytkowników nie ma wiedzy ,która umożliwia im korzystanie choćby z alternatywnego serwera DNS ; swoją drogą korzystanie z DNS od ISP ze względu na problemy geolokalizacyjne to jedyne rozwiązanie dla posiadania prawidłowo działającej usługi i może to być jak najbadziej zawarte w umówie - chyba ,że nam nie przeszkadza ,że np mamy 400ms do serwera X zamiast 10ms bo tak nam inny DNS którego używamy rozwiązał . 2) Ktoś kto chce skorzystać z stron wypisanych w rejestrze - robi to bez większego problemu i tym samym w pełni świadomie i z premedytacją łamie prawo ......tak sam jak korzysta z łatwych w obsłudze torrentów do pobierania i udostępniania treści chronionych prawem autorskim....Muszę również zdementować "po prostu przywalą karą, bo ktoś z tej sieci jednak ominął, a miał nie ominąć" - to jest nie prawda; nie znam ani jednego przypadku kary za to ,że z sieci ISP działa strona hazardowa - nikt nie został ukarany - jeśłi ktoś został ukarany to ISP, którzy się nie wywiązali z umowy i posiadawszy włąsny DNS nie zrealizowali obowiązku nakłożonego na nich przez ustawę. Ustawa wprost wskazuje co ma być zrobione i nie ma tam słowa o tym ,że użytkownik końcowy z sieci ISP nie może skorzystać z usług stron wpisanych w rejestr . I jeszce raz się powtórze w obliczu rozważań z początku postu - takie rozwiązanie jest całkowicie wystarczające , nie jest zbyt upierdliwe dla ISP a wyjątkowo pomocne dla przeciętnego "kowalskiego" , który ma szanse nie popełnić przestępstwa ( a niestety nieznajomość prawa nie zwalnia z obowiązku jego przestrzegania ) bo w większości przypadków zobaczy stosowną informację. Jak już jest się o co przyczepić to o to ,że jest nałożony na każdego obywatela obowiązek znajomośći zawartości rejestr antyhazardowego i nie korzystanie z usług firm , które na tym rejestrze się znajdują - ale to nie pierwszy hardcor prawny , który musimy znać i przestrzegać :(