62 meneos
1062 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear
Mozilla es uno de los grandes villanos de internet
Mozilla es uno de los grandes villanos de internet junto a Donald Trump y el artículo 13, según los ISP británicos Mozilla lleva más de un año trabajando en el protocolo DNS-Over-HTTPS, una alternativa que permite cifrar la gestión de los DNS en internet, haciendo más complicado que terceros puedan acceder a información sobre los mismos. A ...
|
comentarios cerrados
Hace unos años habría dicho "no puede ser cierto", parecen espías de John English
Pasos para activarlo en Firefox (sirve también en Android):
about:config --> network.security.esni.enabled --> true
network.trr.mode --> 2
luego cambia tus DNS a 1.1.1.1 y 1.0.0.1 y comprueba que todo va bien en
www.cloudflare.com/ssl/encrypted-sni/
Salu2
Ya digo que a mi no me convence. Ahora lanzas un DNS request en UDP y tienen tu IP, con Doh tienen tu IP, el user-agent, y probablemente hasta el calzoncillo que lleves ese día.
Además lo de la seguridad no es ninguna tontería. En entornos corporativos se cazan muchos ataques interceptando DNS requests de dominios chungos, por ejemplo malware que intenta conectar con su C&C, Los malos ahora lo tendrán un poco más fácil, no tendrán más que cifrar la petición en https para saltarse eso, y confundirse con el tráfico "normal"
Por otro lado, no sé si me gusta esta tendencia. Antes, el browser era una aplicación más que obtenía servicios de red del stack TCP/IP del SO de la máquina, con múltiples aplicaciones para cada necesidad. Cada vez más, da la sensación de que el browser tiene ambición de sustituir al SO y que lo utilicemos para todo.
Como es hoy y no estyo mu borde... Pzfffffffff (pedorreta y acabando el cubata)
Pa uno que explica y lo chuscas! Mamaaaaooo
Por cierto, no bebas mucho que no es sano. Del dicho sexo, drogas y rock and rollo se debería limitar sólo a sexo y rock. Pasatelo bien con los cubatas y de marcha
La petición Doh se hace contra un servidor, como ahora, sólo que el transporte va cifrado y además no es UDP sólo sino que es https. En ese proceso, la petición https contiene cabeceras adicionales a las de la petición DNS.
Lo que yo decía es que esas cabeceras adicionales de https (léete la RFC8484) pueden ser utilizadas para obtener una correlación mayor sobre los datos del cliente que hace la petición, por ejemplo, es concebible utilizar cookies, user-agent, user-locale, etc, todos los mecanismos de profiling que tiene https, mientras que una petición DNS "convencional" no tiene esa posibilidad. Y ese servidor es, por ejemplo, de Google, o de vete tu a saber quién. Dejas de utilizar el servidor DNS estándar de Google pero usas el servidor Doh, que es el mismo, y ya de paso le das más información sobre tí. No sé, sigo sin verle la ventaja.
Y estoy hablando específicamente de Doh, hay otros esquemas que podrían ser más beneficiosos desde el punto de vista de la seguridad y privacidad, como DNS over TLS, o DNSCrypt
La diferencia es que usando Doh el tráfico DNS queda enmascarado por el resto del tráfico de navegación, ya que usa el mismo puerto convencionalmente atribuido a https. Por tanto para interceptar las peticiones tendrías que descifrar, y volver a cifrar, cosa que por cierto se hace habitualmente por medio de proxies en muchos entornos corporativos.