Názory k článku
DNS over HTTPS se blíží do Windows 10

Je to docela dobrá ochrana proti MIITM útokům...

A nebo také ne, jen je tím "mužem uprostřed" někdo jiný než dosud.

Informaci o tom, proc je to spatne, lze najit hodne jak v anglictine, tak v cestine.

Krome dalsiho delate DNS zavisle na nekolika malo spolecnostech.

Zlo se šíří :-(

Brzy bude "vse pres https".

Je to výhoda pro toho, kdo chce DNS over HTTP používat ve všech aplikacích, ne jen v těch,které to zrovna podporují. Pokud to někdo používat v OS nechce, prostě to vypne. Zdiskreditované to není a autorovi OS to nedává žádné nové možnosti, které nemá už dávno.

DNS over HTTP je obrana proti únosům DNS ze strany ISP, případně ze strany místní sítě (i když tam je snadné DNS over HTTP vypnout). Nikdy to nebylo myšleno jako obrana proti OS (protože to ani nedává smysl).

Napadá mě, budou se s takovou implementací DoH kamarádit různé captive portály?

Nevymýšlejte si. Google opravdu nevynucuje na všech webech DNS over HTTPS, s weby to totiž vůbec nijak nesouvisí a neexistuje způsob, jak to vynucovat na webech – protože neexistuje nic jako „web používá DNS over HTTPS“.

Já ne. Ale je dost sítí, které unášejí DNS dotazy. A spousta dalších sítí, které dotazy sice neunášejí, ale místní resolver funguje špatně (např. přes něj neprojde DNSSEC). Do třetice, je spousta sítí, kde jediné tři fungující protokoly jsou DNS+HTTP+HTTPS (na standardních portech). A DNS pro tunelování není úplně vhodné, na rozdíl od HTTPS.

Mimochodem, všimněte si, že jsem odpovídal na komentář o „vše přes HTTPS“, takže to, že DNS je třetí nejčastěji fungující protokol po HTTP a HTTPS na mé odpovědi nic nemění.

A ten duveryhodny certifikat, ten se prosim vezme kde?

Pokud Vam spatne funguje mistni sit nebo ISP, tak ho vymente. Protoze ta "spatne fungujici mistni sit" vam bude pristup k Internetu delat stejne, at pouzivate DNS over IP nebo DNS over HTTPS over IP.

To je tak, kdyz nekdo vymejsli rovnak na vohejbak.

To, ze je neco "stav" neznamena, ze to je dobre.

díky

Opravdu mate sit, ve ktere nefunguje zadny nameserver?

"Výhoda je, že v tomto případě je podpora integrována přímo do OS, ne pouze do prohlížeče."
Opravdu je to výhoda? Není tím vlastně nějak celá ta věc diskreditovaná?
Já tomu moc nerozumím, ale nedává toto MS kontrolu nad průběhem komunikace, kterou by právě měla ta technika vyloučit?

Co je na tom špatně? Je to docela dobrá ochrana proti MIITM útokům...

Nemůžou si za to provozovatelé sítí sami, když často povolují jen HTTP+HTTPS, nebo jediné HTTP+HTTPS plus mínus normálně funguje?

... jenom je docela dost zbytečné, vynucovat to plošně násilím na všech webech, jak to dělá google

Důvěryhodný certifikát vystavují důvěryhodné certifikační autority.

Nevím, kolik lidí bude měnit školu, zaměstnání nebo se bude stěhovat kvůli tomu, že jeho školení/firemní síť povoluje komunikaci s internetem jen přes HTTP/HTTPS nebo že ISP unáší DNS dotazy.

Rovnák na vohejbák to je, bohužel se z toho stal standard, že „připojení k internetu“ znamená „připojení k webu“ a cokoli navíc už je jen příjemný bonus. Proto je stále málo rozšířené IPv6, proto někde nefunguje DNSSEC, proto máme Let's Encrypt místo aby se používalo DANE. Cokoli over HTTPS je jen očekávatelná reakce na tenhle stav.

Tohle vlákno začínalo trochu jinak - ne konkrétně o DNS over HTTPS, ale pouze o HTTPS. A k tomu pak směřoval můj názor, že je zbytečné, mít ho všude.

16. 5. 2020, 13:15 editováno autorem komentáře

Ten náš asi nic, ale jsou státy, pro které by nejspíš nebyl problém poskytovatele prohlížečů (a potažmo toho DNS over HTTPS) přesvědčit, že je v jejich zájmu příslušný blacklist zahrnout.

Nikoli, tohle protokol DNS over HTTPS nezpůsobuje – implementovat to může kdo chce, místní síť klidně může mít svůj DNS over HTTPS resolver a počítače v síti ho mohou používat stejně, jako používají DNS resolver. Jediný rozdíl je v tom, že dnes existuje standard, jak při konfiguraci sítě sdělit zařízení místní DNS resolver, ale momentálně neexistuje standard, jak to samé udělat pro DNS over HTTPS. Což je logické, když DNS over HTTPS vzniklo hlavně pro to, aby nebyl překlad jmen závislý na špatně fungující místní síti (nebo ISP).

Já jsem snad někde psal, že je to dobré? Psal jsem, že je to realita, a že jako každá akce to vyvolává reakci. Pokud jediný protokol, který všude bez problémů funguje, je HTTPS, čím dá víc toho bude „over HTTPS“. Nepomůže stěžovat si na to – jediné, co pomůže, je to, že stejně dobře bude fungovat i jakýkoli jiný protokol.

Copak s tím asi pak nadělá stát, jak budou zakazovat herní weby černých sázkařů, když si každý místo DNS svého providera zapne DNS over HTTPS a státní "ochrana" bude zase zcela namydlená... co s tím, Andreji a Aleno teď uděláš ?

Az si Donik usmysli, ze krome injekci dezinfekce je potreba, aby Google posilal veskerou komunikaci NSA a blokoval pristup k zone .ir ... tak co myslite, ze Google udela?