Das längste Thema

  • Momentan ist es mehr ein Vorschlag mit noch offenen Fragen also bevor irgendwelche selbsternannten Bedenkenträger den Finger heben, beteiligt euch vernüftig daran oder lasst es, es zwingt ja auch niemand dies dann zu benutzen, es soll auch nur eine Alternative sein. Die ganzen genannten Stichpunkte sind nur Phrasen ohne Substanz.

  • Momentan ist es mehr ein Vorschlag mit noch offenen Fragen also bevor irgendwelche selbsternannten Bedenkenträger den Finger heben, beteiligt euch vernüftig daran oder lasst es, es zwingt ja auch niemand dies dann zu benutzen, es soll auch nur eine Alternative sein. Die ganzen genannten Stichpunkte sind nur Phrasen ohne Substanz.

    Wäre es im Grunde ja auch, wenn nicht z.B. die Browser hergehen würden und das auf einmal standardmäßig einschalten (unabhängig davon, welche DNS Resolver man in seinem Betriebssystem hinterlegt hat). In den meisten Fällen würde man das sogar nicht einmal merken. Das ist schon eine sehr aggressive Verbreitungs-Methode, die da zum Tragen kommt. Daher ist das aktuell schon etwas mehr als nur ein Vorschlag, über den wir da sprechen.

  • Wäre es im Grunde ja auch, wenn nicht z.B. die Browser hergehen würden und das auf einmal standardmäßig einschalten (unabhängig davon, welche DNS Resolver man in seinem Betriebssystem hinterlegt hat). In den meisten Fällen würde man das sogar nicht einmal merken. Das ist schon eine sehr aggressive Verbreitungs-Methode, die da zum Tragen kommt. Daher ist das aktuell schon etwas mehr als nur ein Vorschlag, über den wir da sprechen.

    Das kann man dann im Browser ja entsprechend einstellen bzw. prüfen, sowie jetzt auch die DNS Server vom Internetanbieter per Default verwendet werden wenn man sich nicht kümmert.


    Sowie auch einer der Vorteile ist ja, dass der (DNS) Traffic nicht vom normalen HTTPS Traffic zu unterscheiden ist.

  • Das kann man dann im Browser ja entsprechend einstellen bzw. prüfen, sowie jetzt auch die DNS Server vom Internetanbieter per Default verwendet werden wenn man sich nicht kümmert.

    Es stimmt natürlich schon, dass man das weiterhin selbst konfigurieren kann. Aber irgendwo läuft da ja schon was falsch, wenn auf einmal jedes Tool eigene DNS Resolver konfiguriert und Systemeinstellungen ignoriert werden. Zu meinem Provider brauche ich ja sowieso ein gewisses Vertrauensverhältnis, da dieser den gesamten Traffic mitlesen und die unverschlüsselten Informationen auswerten könnte (theoretisch, vielleicht manchmal auch praktisch). Das ist doch nochmal etwas anderes als wenn auf einmal der komplette DNS Traffic zu einem US-amerikanischen Unternehmen läuft. Jetzt nichts gegen Cloudflare, die haben schon tolle Dienste, die ich auch selbst nutze, ich würde aber trotzdem nicht wollen, dass mein privater PC alle DNS Anfragen dort hin sendet.


    Zitat


    Sowie auch einer der Vorteile ist ja, dass der (DNS) Traffic nicht vom normalen HTTPS Traffic zu unterscheiden ist.

    Wobei genau das ja die angesprochene Verletzung des Protokolls ist, die durchaus fragwürdig ist. Den Vorteil möchte ich gar nicht abstreiten, es ist nur etwas traurig, dass wir überhaupt so etwas in Erwägung ziehen. Da wäre ein klassischer SSH Socks Proxy doch die bessere Wahl (Für den Fall, dass man mal in einem solchen Netzwerk ist, wo das nötig wäre.

  • Sowie auch einer der Vorteile ist ja, dass der (DNS) Traffic nicht vom normalen HTTPS Traffic zu unterscheiden ist.

    Ich bin nicht davon überzeugt, dass TCP/HTTPs das geeignetste Protokoll für Namensauflösungen ist. Selbst, wenn Pakete klein sind, und etwaige MTU-Probleme nicht zu Tage treten, ist dennoch ein TCP-Handshake im Spiel. Und da ist bei der Geschwindigkeit schlicht immer noch DoT im Vorteil. Und wie mainziman schon erwähnt hat, ist es ein Henne-Ei-Problem, denn für DoH braucht man zunächst eine Auflösung zum die DoH vorhaltende URL. Außerdem finde ich es bedenklich, dass der Browser eine in der lokalen Umgebung vorgegebene Infrastruktur (lokaler Resolver) umschiffen sollte - das beeinträchtigt nämlich dann wieder lokale Sicherheitskonzepte und Schutzmaßnahmen.

  • Ich bin nicht davon überzeugt, dass TCP/HTTPs das geeignetste Protokoll für Namensauflösungen ist. Selbst, wenn Pakete klein sind, und etwaige MTU-Probleme nicht zu Tage treten, ist dennoch ein TCP-Handshake im Spiel. Und da ist bei der Geschwindigkeit schlicht immer noch DoT im Vorteil.

    DoQ (DNS over QUIC) kommt bestimmt auch bald ;)

  • Sowie auch einer der Vorteile ist ja, dass der (DNS) Traffic nicht vom normalen HTTPS Traffic zu unterscheiden ist.

    klar und wie löst Du das Problem mit der Zertifikatsvalidierung via OCSP?

    wie gesagt wenn Du darauf verzichtest kannst den Unfug gleich bleiben lassen, weil ob dann über HTTP (das würde dies nicht in einen Deadlock führen) oder so wie jetzt direkt DNS hat genau NULL Unterschied


    viel Spaß wenn des dann durch einen Proxy durchgejagt wird ... ¹


    denn für DoH braucht man zunächst eine Auflösung zum die DoH vorhaltende URL

    nicht wirklich, an dem dass man dem OS, Browser, ... wem auch immer die IP des DNS-Resolvers gibt darf sich nichts ändern;

    sprich hier kommt dazu, dass dann SSL-Zertifikate auf IP Adressen erlaubt sein müssen;

    ein https://67.81.55.11/ muss ohne Zertifikats-Fehler im Browser möglich sein;


    ¹ und URLs die keinen FQDN im Host Teil haben werden sehr gerne blockiert ...


    und zum Thema DoT, auch hier wenn Du nicht vorher checkst ob der DNS-Server überhaupt valide ist, kannst es gleich sein lassen;

    (viel Spaß dabei ohne weiterer DNS-Requests ...)

    ist wie MTAs, die zwar TLS machen aber nicht checken, ob es denn der richtige Mailserver ist, dem sie die Post übergeben ...:D


    zur ganzen Thematik DNS over 'Pfusch' fällt mir nur das da ein ...

    DNSoverPfusch.jpg

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Der Sinn des Ganzen ist doch eh nicht irgendeine Verbesserung für den Nutzer, sondern den Datenkraken zu ermöglichen, das Nutzerverhalten NOCH einfacher und besser analysieren und steuern zu können.

  • Der Sinn des Ganzen ist doch eh nicht irgendeine Verbesserung für den Nutzer, sondern den Datenkraken zu ermöglichen, das Nutzerverhalten NOCH einfacher und besser analysieren und steuern zu können.

    Vielleicht nicht direkt für den deutschen Durchschnittsnutzer, ja. Aber es gibt genug Bereiche wo es "hilfreich" ist das DNS Anfragen "neutral" bzw. $irgendwie verschlüsselt übertragen werden können.


    Sicher, mit jeder Technik lässt sich irgendwie eine Datenkrake konstruieren.

  • Der Sinn des Ganzen ist doch eh nicht irgendeine Verbesserung für den Nutzer, sondern den Datenkraken zu ermöglichen, das Nutzerverhalten NOCH einfacher und besser analysieren und steuern zu können.


    Wieso schreibst du das noch fett? Ob man DNS via Port 53 oder HTTPS beantwortet macht doch für den Anbieter zum mitloggen keinerlei Unterschied.


    Es geht immernoch darum, dass niemand in einem öffentlichem WLAN, Regime, etc mitlesen kann, welche Seite du ansteuerst

    "Security is like an onion - the more you dig in the more you want to cry"

  • nicht wirklich, an dem dass man dem OS, Browser, ... wem auch immer die IP des DNS-Resolvers gibt darf sich nichts ändern;

    sprich hier kommt dazu, dass dann SSL-Zertifikate auf IP Adressen erlaubt sein müssen;

    ein https://67.81.55.11/ muss ohne Zertifikats-Fehler im Browser möglich sein;

    Die IP-Bootstraps etwa in Firefox sprechen eine andere Sprache. Da werden Resolver voreingestellt. Ich freue mich schon auf Malware, die anstelle von %SystemRoot%\system32\drivers\etc\hosts halt nur den Firefox manipulieren muss.

  • Die IP-Bootstraps etwa in Firefox sprechen eine andere Sprache. Da werden Resolver voreingestellt.

    ja aber sicher nur in Form von IP-Adressen, oder?

    (bzw. ja hier kann es ja jetzt auch in Form von DNS-Namen sein, weil DNS als 'unterste' Schicht existiert ja)

    HTTPS ist auch komplett überflüssig, gibt ja VPN ...

    ich denke da reden wa aneinander vorbei; vmk geht es darum, daß man nicht mittracen kann, welche DNS-Requests, und damit welche Hosts man ansurft, ...

    und dafür gibts VPN und auch TOR; an Stelle der Hühner Eier Probleme a la DNS over n/a

    man sollte bei einer VPN Verbindung aber auch daran denken, fürchtet man sich vor dem was am anderen Ende des Tunnels ist, soll man es gleich bleiben lassen; man reist ja auch nicht an einen Ort, wo man sich um sein Leben fürchten muss, oder?;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Jemand eine Idee was hier

    Code
    [24-May-2019; 22:31:19.308695] IPv6[FWD]: IN=inet OUT=wlan SRC=2a00:1450:4016:0801:0000:0000:0000:2004 DST=IPv6-of-Android-Device LEN=1378 TC=0 HOPLIMIT=58 FLOWLBL=0 PROTO=UDP SPT=443 DPT=37545 LEN=1338 

    geblockt wird?


    HTTPS über UDP?

    (macht das Sinn?)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Jemand eine Idee was hier

    Code
    [24-May-2019; 22:31:19.308695] IPv6[FWD]: IN=inet OUT=wlan SRC=2a00:1450:4016:0801:0000:0000:0000:2004 DST=IPv6-of-Android-Device LEN=1378 TC=0 HOPLIMIT=58 FLOWLBL=0 PROTO=UDP SPT=443 DPT=37545 LEN=1338 

    geblockt wird?


    HTTPS über UDP?

    (macht das Sinn?)

    QUIC