The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

ICANN призывает к повсеместному внедрению DNSSEC. Обновление..., opennews (ok), 24-Фев-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  –6 +/
Сообщение от timur.davletshin (ok), 24-Фев-19, 12:01 
DNS over HTTPS — шляпа. Если нужно шифрование, то только over TLS.
Ответить | Правка | Наверх | Cообщить модератору

15. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +1 +/
Сообщение от Аноним (15), 24-Фев-19, 13:25 
Наоборот, если весь трафик будет HTTPS, фильтрануть будет намного сложнее.
Ответить | Правка | Наверх | Cообщить модератору

17. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  –3 +/
Сообщение от timur.davletshin (ok), 24-Фев-19, 13:36 
Загугли "DNS over HTTPS criticism".
Ответить | Правка | Наверх | Cообщить модератору

20. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +6 +/
Сообщение от Аноним (20), 24-Фев-19, 14:05 
Загугли "DNS over HTTPS criticism debunked".
Ответить | Правка | Наверх | Cообщить модератору

23. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  –5 +/
Сообщение от timur.davletshin (ok), 24-Фев-19, 14:12 
Хорошая попытка, но нет.
Ответить | Правка | Наверх | Cообщить модератору

53. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +2 +/
Сообщение от Аноним (20), 25-Фев-19, 01:36 
ты гуглишь только то, что вписывается в манямирок?
Ответить | Правка | Наверх | Cообщить модератору

55. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +5 +/
Сообщение от Аноним (55), 25-Фев-19, 06:00 
Он просит гуглить других.
Ответить | Правка | Наверх | Cообщить модератору

75. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +1 +/
Сообщение от Аноним (75), 25-Фев-19, 10:35 
А что по поводу DNS over TLS criticism? Daniel Stenberg говорит, что все имплементации DoT делают новое TLS соединение на каждый резолв. Это полная дичь.
35:20 https://fosdem.org/2019/schedule/event/dns_over_http/
DoH соединение живет часами, а еще имеет мультиплексирование и другие плюшки http/2, и потом быстро перейдет на http/3 over quic с очередными плюшками отказа от tcp-костылей.
А про DoT еще автор DNSCrypt давно говорил: https://dnscrypt.info/faq/
> Will be difficult to improve without introducing more hacks. Unlikely to benefit from any improvements besides new TLS versions or homegrown reinventions.
> Difficult to implement securely. Validating TLS certificates in non-browser software is the most dangerous code in the world https://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-...
> Not well understood even by its proponents. It is a truck, as it is heavy and slow to load, but most if not all implementations perform a full round trip for every packet
> Questionable practical benefits over DoH
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

26. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +/
Сообщение от вейланд (?), 24-Фев-19, 15:16 
Ты не мог бы отвечать по теме? Вопрос про шифрование, а не фильтрацию.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

56. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +10 +/
Сообщение от Аноним (75), 25-Фев-19, 06:11 
Он отвечает по теме. Знаешь какой главный аргумент критики DoH и одобрения DoT у одного из разработчиков DNS Пола Викси? То что он хочет в своей домашней и корпоративной сети иметь возможность блокировать шифрование днс и откатывать юзеров к обычному, потому что он хороший и ему надо верить, он лучше знает и о юзерах заботится. А DoH мешает и вызывает ненависть.
https://www.theregister.co.uk/2018/10/23/paul_vixie_slaps_do.../
https://www.theregister.co.uk/2018/10/30/dns_over_https_cont.../
https://twitter.com/paulvixie/status/1053765281917661184
> DoH is an over the top bypass of enterprise and other private networks. But DNS is part of the control plane, and network operators must be able to monitor and filter it. Use DoT, never DoH.
> DoH will be the default setting for many BYOD, and will mindlessly bypass security policy. Not at all like DoT, which can be filtered by any network operators with ease, to force local resolver use. DoH is a big F.U. to ALL network operators.
> Not an expert here, but in many/most parts of the planet, the "network operators" ARE the #1 threat.
> And this matters why exactly? My home and Enterprise networks monitor and control DNS, for the good of the users. I am not the bad guy here.

А теперь вопрос, вы действительно хотите его слушать и выбирать DoT? Вы считаете что провайдер/оператор/владелец сети должен за вас решать и блокировать DoT по желанию, получая ваши днс-запросы? Обратите внимание: "Not at all like DoT, which can be filtered by any network operators with ease, to force local resolver use".
Нет. Пускай эти админы и операторы идут в лес со своими хотелками и предпочитаемым протоколом, вдарим по ним DoH.

Ответить | Правка | Наверх | Cообщить модератору

96. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +/
Сообщение от гуглефларя (?), 26-Фев-19, 15:24 
да! А мы хотим чтобы эта возможность была только у нас!
Верьте нам, мы правильные ребята, ведь мы не живем на деньги, которые платите нам вы, в отличие от вашего опсоса, который спит и видит кому бы еще вас запродать. Верьте, мы - корпорации добра!
Ответить | Правка | Наверх | Cообщить модератору

97. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +/
Сообщение от Аноним (97), 27-Фев-19, 20:59 
Думаешь ты хоть капельку убедителен?
1. Юзеры и так сидели на гуглоднс десятилетия. 8.8.8.8 стандарт многих эникеев, хомяков и даже некоторых админов. С CF аналогично становится. Т.е. они и так имели доступ. Но помимо них все остальные по пути, от оператора и соседа-хацкера до неизвестных людей. Нет ничего плохого в том, чтобы запретить всем, кроме конечных гуглефляр, смотреть и фильтровать днс-трафик. Это полностью правильно.
2. Те, кто брезговал гуглефлярой в прошлые годы, могут делать это и с протоколами шифрования. Это стандарты, есть много открытых реализаций. DoH на своём сервере поднять особенно просто, в этом одно из основных преимуществ. Это тоже полностью правильно, запретить оператору и другим смотреть на днс-трафик между тобой и твоим сервером.
Где ты видишь усиление централизации? Она и так была с открытым днс десятилетия, не надо отрицать факты. И ситуация не меняется от шифрованных протоколов никак, кроме запрета третьим сторонам по пути трафика.
Ответить | Правка | Наверх | Cообщить модератору

27. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +2 +/
Сообщение от Аноним (27), 24-Фев-19, 15:22 
Далеко не во всех странах фильтрация сколько нибудь существенная проблема. А шпиенить любят везде.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

49. "ICANN призывает к повсеместному внедрению DNSSEC. Обновление..."  +2 +/
Сообщение от Аноним (49), 24-Фев-19, 22:49 
dnscrypt же
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру