Vlákno názorů k článku Krátké vlny: Ministerstvo financí prosazuje nesmysl, internet není krabička cigaret od JVr - Stejně to současné blokování funguje (má fungovat) na...

Stejně to současné blokování funguje (má fungovat) na bázi DNS. Tzn. pokud uživatel chce na doménu, (url adresu), kterou využívá daný poskytovatel hazardní hry, tak operátor nevrátí správnou ()vrátí žádnou) odpověď.

Ofc pokud uživatel nepoužije DNS server operátora a použije např. google 8.8.8.8, tak toto "blokování" přemostí. Nemluvně o různých DNS over TLS apod.

Pokud však jako operátor blokuji na bázi DNS mohu klidně vrátit i jinou IP (kterou mi MF nadiktuje), tzn. přesměrovat uživatele na stránky, které jej varují vůči hazardu. A je úplně jedno jestli používá HTTP nebo HTTPS... tzn. zamyšlení hezké ale....

Vrátit jinou adresu sice ISP může, ale pak nebude souhlasit certifikát s doménovým jménem, takže prohlížeč odmítne zobrazit tu falešnou stránku podle MFČR a místo ní zobrazí varování, že něco není v pořádku a někdo se možná pokouší o MitM útok. No a HTTP přesměrování použít nepůjde také, protože i to by bylo chráněné TLS.

Jedině že by si MFČR zřídilo vlastní autoritu, která by té jejich stránce generovala certifikáty pro všechna blokovaná doménová jména, a nařídilo její povinnou instalaci coby důvěryhodné do všech prohlížečů v zemích českých. Ne, počkat, to jsem asi neměl psát, ještě by někoho z vrchnosti mohlo napadnout to opravdu zkusit...

To jsme tu dokonce jeden cas i meli - certifikat Cesky Posty byl chvili soucasti browseru. Pak ale nezvladli projit bezpecnostnima proverkama coby duveryhodna CA a byli vyrazeni.

PostSignum je ovšem normální komerční autorita, která si v žádném případě nemůže dovolit vydávat falešné certifikáty. Její certifikáty jsou zařazené ve Windows. Nejsou v úložišti důvěryhodných certifikátů ve Firefoxu, MacOS a Androidu, ale tam se pokud vím ani nikdy nesnažili dostat.

Ale po odsouhlasení varování se tam dostane, tj vlk se nažral a koza zůstala celá (to že to nikdo odsouhlasovat nebude je vedlejší)

Pokud domena nepouziva hsts a uzivatel na ni jde po prve, tak u presmerovani na urovni DNS prohlizec nezobrazi zadne varovani protoze informaci o certifikatu na domene nema k dispozici a MitM reseni mu da k dispozici certifikat vygenerovany pro danou domenu.

„Daná doména“ je ale doména toho hazardního webu. A na cizí doménu vám fakt žádná důvěryhodná certifikační autorita certifikát nevystaví.

Tady se ale bavime o mitm reseni a to vam vystavi certifikat klidne pro *.google.com

6. 4. 2023, 17:35 editováno autorem komentáře

Špatně. HSTS neříká nic o certifikátu. To pouze říká, že web používá HTTPS a klient se nemá připojovat přes HTTP.

Mate pravdu.

Ne, u současného blokování není řečeno, jakým způsobem se má provádět. MF deklarovalo, že pokud to někdo dělá na bázi DNS, je to za ně OK – ale neříká, že je to jediná správná možnost.

Tak ten závěr je špatně. Je to tak jak píše Michal Kubeček.

Ale viděl jsem ISPka, který unášel standardní DNS dotazy. Tzn. že i pokud jste dali DNS server Googlu, tak jej unesl a nahradil jinou IP adresou.
Navíc blokoval DoH na známé servery, takže se prohlížeč na ně nepřipojil.

Takže to ne vždy musí být tak jednoduché.

To se samozřejmě stát může a HTTPS (nebo jakákoli jiná forma zabezpečeného spojení) z principu útočníkovi "na drátě", který může nejen poslouchat, ale do komunikace i zasahovat, nemůže zabránit v tom, aby bezpečnou komunikaci zablokoval. Ale může, při správné implementaci a použití, zabránit tomu, aby se uživateli zobrazila falešná stránka (ať už z jakýchkoli pohnutek) a on neměl šanci poznat, že se tak stalo. Samozřejmě je tu problém, že nepoučený uživatel, který na tu stránku moc chce, ochotně varování ignoruje, ale s tím už se moc dělat nedá, pokud zároveň chceme poučenému uživateli umožnit, aby je ignoroval ve chvíli, kdy ví co dělá a rozmyslel si, že žádné nebezpečí nehrozí.

"Ale viděl jsem ISPka, který unášel standardní DNS dotazy. Tzn. že i pokud jste dali DNS server Googlu, tak jej unesl a nahradil jinou IP adresou.
Navíc blokoval DoH na známé servery, takže se prohlížeč na ně nepřipojil."

tohle zni bez jmena firmy jako uplnej blabol, co by z toho mel?

Třeba byl hodně vyděšený z možnosti, že mu BFU obejde jednoduchou změnou DNS serveru (nebo překliknutím "používej DoH" ve svém prohlížeči, což jsem snad někde četl že i bude v prohlížečích default) to blokování, a MF mu napálí likvidační pokutu.