fefe

https://blog.fefe.de/?ts=a43ffcb6

> Aber lasst euch mal nicht von dem "privacy-first"-Blablah täuschen. Das ist eine Behauptung, ein Versprechen. Google verspricht Ähnliches für 8.8.8.8.
>
> Der DNS-Server kann alles sehen, was ihr an Anfragen ins Netz stellt, und sieht damit, was man seit Snowden bei Telefonen "die Metadaten" nennt. Wer seine DNS-Daten ohne Not in fremde Hand gibt, gibt damit seine Privatsphäre weitgehend auf.
>
> Ich rate also entschieden davon ab, irgendeinen (gar zu einer ausländischen Organisation gehörende) DNS-Server zu verwenden — schon gar nicht aus Five-Eyes-Staaten.

Ich lass das einfach mal unkommentiert im Raum stehen; ich hab zuwenig Ahnung davon um dazu irgendwas zu sagen... Ist mir halt nur als Erstes aufgefallen, weil plötzlich auch Golem und Heise auf den Cloudflare-Dienst hinweisen^^...

Ich muss ja mal sagen, dass es falls man unerwünschte Sachen tut doch deutlich wahrscheinlicher ist, dass die Tätigkeiten einer deutschen Staatsanwaltschaft das eigene Leben beeinflussen, als dass es die NSA tut.

Insofern stellt sich eher die Frage, ob es klug ist, seine DNS history in Deutschland abzulegen.

aeehm es geht nicht darum ob man was "illegales" tut, weil wer computerkriminalitaet(TM) vor hat wird das wohl A kaum von seinem heimanschluss in DE machen (bzw einen anschluss den er selbst angemeldet hat). und bitte jetzt net so kinderkram wie illegales videostreaming, konux.tl oder aehnliches...

es geht darum, das deine metadaten ggf. an xbeliebige verkauft werden koennten (die dann irgendwann wie auch immer zu deinen ungunsten verwendet werden koennten), wenn der DNS nicht in der EU steht bzw sich der service nicht an EU datenschutzrecht haelt (halten muss).

ausserdem hast du keinen einfluss darauf was der dns server dir aufloest, UND WAS NICHT und ob die aufloesung auch korrekt ist!

weiterhin ist es in sinnvoll, einen DNS zu benutzen, der ueberhaupt nix protokolliert, weil das fuer den dienst an sich auch gar net noetig ist!

ich wuerd mal eher die dnssec faehigen dnsserver vom ccc oder dnswatch benutzen...

und was wäre mit den direkten root-name-servern?

https://de.wikipedia.org/wiki/Root-Nameserver



1 mal bearbeitet, zuletzt am 03.04.18 13:30 durch User_x.

Kann man machen. Ganz aus der Überwachungsnummer kommt man damit zwar nicht raus, aber das hat den Vorteil, dass man seine DNS Anfragen nicht einem Einzelnen überlässt sondern eben verteilt.

User_x schrieb:
--------------------------------------------------------------------------------
> und was wäre mit den direkten root-name-servern?
>
> de.wikipedia.org


Die Resolver sind auch dazu da, die Last der Rootserver zu mindern...

Jolla schrieb:
--------------------------------------------------------------------------------
> Kann man machen. Ganz aus der Überwachungsnummer kommt man damit zwar nicht
> raus, aber das hat den Vorteil, dass man seine DNS Anfragen nicht einem
> Einzelnen überlässt sondern eben verteilt.

Was am Ende darauf hinauslaeuft, dass jeder alles hat (mit Ausnahme von Servern die man nur sehr selten aufruft). Klingt nicht nach einer Verbesserung.
Evtl. koennte man die Requests so sharden, dass Google nur die a-k Domains aufloest, Cloudflare l-z und die Telekom alles mit Nummern oder so. Ob das mit irgendeinem DNS Proxy so gemacht werden kann ist dann die Frage.

amagol schrieb:
--------------------------------------------------------------------------------
> Jolla schrieb:
> ---------------------------------------------------------------------------
> -----
> > Kann man machen. Ganz aus der Überwachungsnummer kommt man damit zwar
> nicht
> > raus, aber das hat den Vorteil, dass man seine DNS Anfragen nicht einem
> > Einzelnen überlässt sondern eben verteilt.
>
> Was am Ende darauf hinauslaeuft, dass jeder alles hat (mit Ausnahme von
> Servern die man nur sehr selten aufruft). Klingt nicht nach einer
> Verbesserung.

Ich verstehe nicht wieso jeder alles hat wenn meinen Request nur der derjenige auflöst, der für die Domain zuständig ist. Das sollte beim Einsatz eines Resolvers bzw. der DNS Root Server doch gegeben sein.

Ich betrache jetzt mal nur die Auswertung der DNS Requests am DNS Server. Global galaktisch ist das natürlich mehr oder weniger alles überflüssig. Aber man muss es ihnen™ ja nicht zu leicht machen.

wenn CF eh den meisten content ausliefert oder durchleitet, werden die so oder so wissen, was man aufruft, oder?

Jolla schrieb:
--------------------------------------------------------------------------------
> Ich verstehe nicht wieso jeder alles hat wenn meinen Request nur der
> derjenige auflöst, der für die Domain zuständig ist. Das sollte beim
> Einsatz eines Resolvers bzw. der DNS Root Server doch gegeben sein.

Nehmen wir mal golem.de. Vermutlich wird jetzt mindestens mal www.golem.de und forum.golem.de aufgeloest. Statt einem wissen jetzt potentiell schon 2 dass du irgenwas bei golem.de machst. Ausserdem wird dein Rechner morgen die gleichen Anfragen wieder stellen (Annahme TTL<=24h), damit wissen evtl 2 weitere darueber Bescheid.
Ob das zur verbesserung deiner Privatsphaere beitraegt ueberlasse ich dir.

tunnelblick schrieb:
--------------------------------------------------------------------------------
> User_x schrieb:
> ---------------------------------------------------------------------------
> -----
> > und was wäre mit den direkten root-name-servern?
> >
> > de.wikipedia.org
>
> Die Resolver sind auch dazu da, die Last der Rootserver zu mindern...

Root Server lösen keine DNS Anfragen auf. Einfach mal nslookup golem.de 198.41.0.4 probieren :-)