1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Comcast: Mozilla gewinnt ersten ISP…

PiHole in Zeiten von DoH

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. PiHole in Zeiten von DoH

    Autor: M.P. 29.06.20 - 10:57

    Funktioniert das weiterhin mit Firefox, oder ist DoH mit diesen drei DNS-Quellen "fest verdrahtet" und kann auch nicht in about:config umgestellt werden?

  2. Re: PiHole in Zeiten von DoH

    Autor: PHPGangsta 29.06.20 - 11:36

    Natürlich kann man auch seinen eigene DoH-Server konfigurieren, einfach in den Einstellungen konfigurieren:

    Einstellungen -> Allgemein -> Verbindungs-Einstellungen -> DNS über HTTPS aktivieren -> Benutzerdefiniert

    Erstes Ergebnis bei Google "firefox doh config":
    https://support.mozilla.org/en-US/kb/firefox-dns-over-https

  3. Re: PiHole in Zeiten von DoH

    Autor: S76 29.06.20 - 13:30

    Du kannst direkte IP-Adressen im Router verbieten und den DoH-Port sperren. Damit sollten alle DNS-Anfragen weiterhin über PiHole laufen.
    Im PiHole kann man dann (glaube ich mich zu erinnern) aber DoH aktiveren, sodass von dort aus per DoH weiter auflöst. Wer's denn wirklich braucht... In Deutschland ist die Notwendigkeit dafür nämlich überhaupt nicht gegeben!

    Man sollte sich der Gefahr von DoH auf jeden Fall bewusst sein: DNS-Anfragen in den USA, z.B. durch Cloudflare auflösen zu lassen, erhöht keinesfalls den Datenschutz. Die DSGVO hat dort keine Wirkung und die NSA saugt alles ab, was erst einmal US-Boden berührt hat.
    Da ist man bei der Telekom DEUTLICH datenschutzfreundlicher unterwegs!!!

  4. Re: PiHole in Zeiten von DoH

    Autor: wurstdings 29.06.20 - 14:49

    S76 schrieb:
    --------------------------------------------------------------------------------
    > Die DSGVO hat dort keine Wirkung und die NSA
    > saugt alles ab, was erst einmal US-Boden berührt hat.
    Nee, wo die Daten sind, interessiert die NSA nicht und die deutschen Geheimdenste versorgen die NSA ungefiltert mit entsprechenden Überwachungsdaten.
    > Da ist man bei der Telekom DEUTLICH datenschutzfreundlicher unterwegs!!!
    Haha,
    das war lustig. Informiere dich doch mal über die Datenabsaugung beim DE-CIX https://www.golem.de/specials/de-cix/

  5. Re: PiHole in Zeiten von DoH

    Autor: S76 29.06.20 - 15:41

    wurstdings schrieb:
    --------------------------------------------------------------------------------
    > > Die DSGVO hat dort keine Wirkung und die NSA
    > > saugt alles ab, was erst einmal US-Boden berührt hat.
    > Nee, wo die Daten sind, interessiert die NSA nicht und die deutschen
    > Geheimdenste versorgen die NSA ungefiltert mit entsprechenden
    > Überwachungsdaten.

    Die Ringtausch-Orgien der Geheimdienste sind als Problem längst bekannt, hier aber nicht Thema.
    Und im übrigen vom Verfassungsgericht mittlerweile untersagt.

    > > Da ist man bei der Telekom DEUTLICH datenschutzfreundlicher unterwegs!!!
    > Haha,
    > das war lustig. Informiere dich doch mal über die Datenabsaugung beim
    > DE-CIX

    Vielleicht solltest du dich mal informieren, wie DNS funktioniert. Normalerweise gehen DNS-Anfragen nämlich nicht sonstwo durchs Netz, sondern werden (für Telekom-Kunden) von der Telekom selbst aufgelöst. Es müssen schon reichlich exotische Anfragen sein, dass die DNS-Server der Telekom dieser weiterleiten!
    Und die Telekom unterliegt nun mal der DSGVO - ganz entgegen der NSA.

  6. Re: PiHole in Zeiten von DoH

    Autor: whitbread 29.06.20 - 17:58

    Mich nervt DoH auch ganz gewaltig, aber nur da wir es in DE glücklicherweise nicht brauchen. Wer statt seines eigenen ISPs einen US-Dienst muss schon ziemlich naiv sein!
    PiHole bietet übrigens einen DoH-Schutz an, indem es FF darauf hinweist, dass die Auflösung im LAN erfolgt. Jetzt PiHole per DoH auflösen zu lassen ist ziemlicher Blödsinn.

  7. Re: PiHole in Zeiten von DoH

    Autor: PHPGangsta 29.06.20 - 18:16

    Wir brauchen DoH in Deutschland nicht? Bist du schon mal in öffentlichen WLANs oder Netzen gewesen, im Hotel, im Freifunknetz, auf einer Konferenz, in einem Cafe?

    Traust du den jeweiligen Betreibern blind über den Weg?

    Du bist also kein Kunde von Vodafone (Großbritannien), Unitymedia oder Kabeldeutschland (siehe Vodafone), O2 (Großbritannien), DeutscheGlasfaser (Schweden)? Bist du sicher, dass diese Konzerne im Ausland nicht an die DNS-Profildaten rankommen, die du bei denen so sicher glaubst?

    Vielleicht ist DoH zu einem vertrauenswürdigerem DoH-Resolver doch besser, als diese unverschlüsselten Default-DNS-Resolver zu nutzen?

  8. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 29.06.20 - 20:58

    PHPGangsta schrieb:
    --------------------------------------------------------------------------------
    > Wir brauchen DoH in Deutschland nicht?
    Nein

    > Bist du schon mal in öffentlichen
    > WLANs oder Netzen gewesen, im Hotel, im Freifunknetz, auf einer Konferenz,
    > in einem Cafe?
    Mit VPN. Du verlässt Dich ernsthaft auf DoH zur Absicherung? Mein Beileid.

    > Traust du den jeweiligen Betreibern blind über den Weg?
    Nein

    > Du bist also kein Kunde von Vodafone (Großbritannien),
    Ja
    > Unitymedia oder
    Ja
    > Kabeldeutschland (siehe Vodafone),
    Ja
    > O2 (Großbritannien),
    Ja
    > DeutscheGlasfaser (Schweden)?
    Ja
    (und nur zur Erklärung: ich bin nirgends dort Kunde. Aber Du hattest gefragt, ob ich dort _nicht_ Kunde bin, daher mußte ich mit Ja antworten).

    > Bist du sicher, dass diese Konzerne im Ausland nicht an die
    > DNS-Profildaten rankommen, die du bei denen so sicher glaubst?
    Nein

    > Vielleicht ist DoH zu einem vertrauenswürdigerem DoH-Resolver doch besser,
    > als diese unverschlüsselten Default-DNS-Resolver zu nutzen?
    Nein. Denn ich vertraue DoH und DNS Resolvern gleichermassen nicht.

    Mozilla hat das "Problem", DNS nicht erfunden zu haben, und von daher ist es doof. Würde sich Mozilla auch nur einen Scheiß um das Netz an sich scheren, würde es DoT und DNSSEC nach vorne treiben. Aber nein, Mozilla leidet ja scheinbar am NIH-Syndrom.

    Am Anfang war DoH so superwichtig, weil alle ISP die DNS Daten ihrer User nutzen. Also musste der Resolver weg vom ISP. Jetzt liefern die ISP einfach DoH Resolver und nutzen die Daten weiter. Aber ach, sie versprechen es nicht zu tun! Wer's glaubt...

    Aber DoH nutzt das bessere HTTP! Bloß, daß UDP performanter ist.

    DoH versteckt aber, wohin du gehst! Traffic ist immer noch IP basiert. Also guckt man einfach, welche Seite auf der IP ist. Bei IPv4 vielleicht mehrere (SNI), bei IPv6 meist nur eine.

    Also was soll ich mit dem DoH Müll? In meinem Netz dürfen DNS Requests nur an feste Resolver; aller andere Port 53 Traffic droppt. Mit DoH kann jedes Programm eigene Resolver nutzen, und dank des Mißbrauches von Port 443 kann ich das _auf_meinen_eigenen_ Systemen nicht filtern. Klar, man kann einen DoH Resolver irgendwo installieren, aber kein Programm muß sich daran halten.

    Mit DoH wird sich das dezentrale DNS System zentralisieren. Kleinere ISPS werden ihre Resolver abschaffen und die ganzen Requests kanalisieren sich zu ein paar großen Resolvern (von denen manche fett im Werbe/Profiling-Geschäft unterwegs sind). Ganz großes Kino für Sicherheit und Privatsphäre. Und ein paar wenige zensieren auch leichter.

    Für mich ist FF tot, sobald DoH zwingend wird.

  9. Re: PiHole in Zeiten von DoH

    Autor: PHPGangsta 30.06.20 - 00:01

    edison.cannon schrieb:
    --------------------------------------------------------------------------------
    > PHPGangsta schrieb:
    > ---------------------------------------------------------------------------

    > > Bist du schon mal in öffentlichen
    > > WLANs oder Netzen gewesen, im Hotel, im Freifunknetz, auf einer
    > Konferenz,
    > > in einem Cafe?
    > Mit VPN. Du verlässt Dich ernsthaft auf DoH zur Absicherung? Mein Beileid.

    Ich rede eher aus Sicht des Normalos, nicht von uns IT-Spezis. Wir wissen, was ein VPN ist und wie man es benutzt. 98% der Internetnutzer wissen das nicht, und gehen ahnungslos in jedes sich bietende WLAN. Diese 98% profitieren von verschlüsselten DNS-Queries (nicht weil der Resolver die Queries nicht mehr sieht, sondern weil alle Beteiligten auf dem Weg die DNS-Queries nicht mehr sehen und nicht manipulieren können. Auch die Telekom hat manipuliert, indem sie bis vor kurzem NXDomain auf ihre "Hilfe-Portal-Seite" umgelenkt haben...).

    Mir ist dabei erstmal egal ob DoT oder DoH. Beide haben ihre jeweiligen Vor- und Nachteile (DoT ist leichter blockbar -> Das ist Vorteil und Nachteil zugleich, je nachdem ob man Endanwender oder Netzwerk-Administrator ist).

    > Nein. Denn ich vertraue DoH und DNS Resolvern gleichermassen nicht.

    Du betreibst also deinen eigenen Resolver. Das tun 99% der Internetnutzer nicht.

    Tue mir einen Gefallen und denk mal nicht nur aus deiner IT-Profi-Sicht, sondern aus Sicht der normalen Internetnutzer. Bei den Überlegungen kannst du VPN und eigene DNS-Resolver weglassen. Wie willst du dann DNS sicher (sprich privat und nicht manipulierbar) machen für diese 98% der Internet-Nutzer? Wie soll das deiner Meinung nach ohne Verschlüsselung gehen?

    > Aber DoH nutzt das bessere HTTP! Bloß, daß UDP performanter ist.

    Wenn das ein valides Argument wäre, dürfte man gar keine Verschlüsselung nutzen. Verschlüsselung hat immer einen leichten Performance-Impact. Und mit DNS-over-HTTP3 wird es auch UDP/Quic-basiert sein.

    > Mit DoH wird sich das dezentrale DNS System zentralisieren. Kleinere ISPS
    > werden ihre Resolver abschaffen und die ganzen Requests kanalisieren sich
    > zu ein paar großen Resolvern (von denen manche fett im
    > Werbe/Profiling-Geschäft unterwegs sind). Ganz großes Kino für Sicherheit
    > und Privatsphäre. Und ein paar wenige zensieren auch leichter.

    Wenn alle "kleineren ISPs" DoH/DoT Resolver anbieten würden, wäre das Problem vermutlich nicht so groß geworden. Aber weil die ISPs jahrelang nicht mitgemacht haben, sahen sich die Browser gezwungen, die DNS-Verschlüsselung selbst in die Hand zu nehmen. Hätte Microsoft vor Jahren mitgemacht und DoT oder DoH im Betriebssystem eingebaut, hätten die Browser nicht selbst die Verschlüsselung einbauen müssen. Soweit ich es gelesen habe, haben sie es machen müssen, weil ISPs und Betriebssysteme jahrelang nicht aus dem Quark gekommen sind, und man das Warten satt war.

    Wir sind uns ja einig, dass es keinen Sinn macht, wenn jede Applikation sein eigens DoH/DoT-Zeugs macht. Es macht null Sinn, DoT/DoH in ping, ssh und jede kleine Applikation einzubauen. Das ist Sache des Betriebssystems. Aber die haben viele Jahre nichts gemacht, also kam Druck von den Browsern. Und jetzt langsam kommt Microsoft um die Ecke und baut auch DoH ein. Warum DoH und kein DoT verstehe ich nicht...

    Comcast scheint jetzt der erste ISP zu sein, der verschlüsselte DNS-Resolver anbietet. Es gibt nur eine Zentralisierung wenn die ganzen ISPs weiterhin nur ihren unverschlüsselten Kram anbieten, dann werden Anwender mehr oder minder dazu gezwungen, zu denen zu gehen, die Verschlüsselung anbieten. Warum das vor allem US-Anbieter sind, ist mir ein Rätsel. Warum bietet kein "deutscher" Provider DoH, DoT oder DNScrypt an? Sie hätten keine Nachteile, sie würden ihren DNS-Traffic behalten, alles wäre gut. Aber weil es keiner macht, zentralisiert es sich auf die "modernen DNS-Resolver". Die Frage ist, wessen Fehler das nun ist...

    DNS als letztes Protokoll im Internet unverschlüsselt zu lassen ist keine Lösung...

    > Für mich ist FF tot, sobald DoH zwingend wird.

    Ist Chrome noch nutzbar für dich, weil die auch automatisch DoH nehmen wenn verfügbar? Das hast du dann auch nicht mehr unter Kontrolle bei Fremdgeräten in deinem Netz. Wenn das Fremdgerät aktuell unverschlüsseltes Cloudflare oder Google konfguriert hat, wird es bald verschlüsseltes Cloudflare oder Google nutzen. Wie willst du dich dagegen wehren bei Fremdgeräten?

    Verbietest du auch Tor und VPNs in deinem Netz?

  10. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 30.06.20 - 16:42

    PHPGangsta schrieb:
    --------------------------------------------------------------------------------
    > Diese 98% profitieren von verschlüsselten DNS-Queries (nicht weil der Resolver
    > die Queries nicht mehr sieht, sondern weil alle Beteiligten auf dem Weg die
    > DNS-Queries nicht mehr sehen und nicht manipulieren können.
    Das war es aber auch schon mit dem Gewinn. Denn das stellt keineswegs sicher, daß der danach abgerufene Content auch verschlüsselt ist. Gegen Manipulation gibt es übrigens auch schon lange was: DNSSEC.

    > Du betreibst also deinen eigenen Resolver.
    Das habe ich nicht gesagt. Ich traue beiden nicht, brauche aber den Dienst.

    > Wie soll das deiner Meinung nach ohne Verschlüsselung gehen?
    Ich ja nicht gegen die Verschlüsselung. Ich bin dagegen, das Moz einfach was neues auf den Markt kotzt, obwohl eine sichere Alternative (DoT) bereits existiert und deren Basis sich seit Jahrzehnten bewährt hat.
    Erinnerst Du Dich an SPDY? War der Riesenhype, das neue Web. Ich weiß nicht mehr wieviele Kunden es unbedingt haben wollten. Und nun? Deprecated und aus den Browsern wieder rausgeflogen. Lebensdauer: 2012-2016.

    > haben sie es machen müssen
    Sie mußten gar nichts. Reine PR unter dem Deckmantel des Userschutzes weil Moz der Markt wegbricht.

    > Es macht null Sinn, DoT/DoH in ping, ssh und jede kleine Applikation einzubauen
    Aber mit DoH ginge es halt. Und ich traue mich fast wetten, daß dies am meisten Verbreitung in der Werbe- und Malwareindustrie finden wird weil es bestehende Filtersysteme umgehen kann.

    > Es gibt nur eine Zentralisierung wenn die ganzen ISPs weiterhin nur ihren
    > unverschlüsselten Kram anbieten
    1. Wären alle ISPs die unsättlichen Datensammler, die DNS für das Profiling brauchen, würden die ruckzuck DoH Server aufstellen und hätten weiterhin alle Daten.
    2. Ergo: den meisten ISPs ist es egal, wer wo DNS macht weil sie diese Daten nicht nutzen. Dann ist es sogar schlecht für die Privatsphäre wenn Moz alles an Cloudflare und Google pumpt.
    3. Die ISPs, die DNS Anfragen für Profiling/Zensur auswerten, stellen nun einfach auch DoH zur Verfügung und machen weiter wie bisher. Wieder Ende der versprochenen Privatsphäre.

    Der ganze Mist nur wegen theoretischer MITM Angriffe? Soviel Alufolie kann es ja gar nicht geben für all die Hüte.

    > dann werden Anwender mehr oder minder dazu gezwungen, zu denen zu gehen,
    > die Verschlüsselung anbieten
    Du kannst mir nicht vorwerfen daß VPN keine Lösung ist, weil 98% der Nutzer es nicht kennen, wenn Du selbst die Annahme in den Raum stellst daß die Anwender zur Verschlüsselung gezwungen werden.
    Den 98% ist beides fremd. Da zählt nur, ob Facebook & Co erreichbar sind. Wobei es schon makaber ist: man kämpft für Privatsphäre um alles Private auf FB zu posten.

    > DNS als letztes Protokoll im Internet unverschlüsselt zu lassen ist keine Lösung...
    Ack. Daher DoT und keinen DoH Kladderadatsch.
    Für DoT braucht es nur ein kleines Update am OS und schon profitiert jedes Programm. So aber kocht Moz sein eigenes Süppchen, und der Rest der Welt geht denen am A... vorbei. Moz, Cloudflare, Google & Co könnten leicht ihren gemeinsamen Einfluß nutzen und DoT erzwingen. Schon seltsam daß sie lieber für eine Lösung eintreten, die den Großteil dieser Daten zu ihnen leiten wird. Oder nicht?

    > Ist Chrome noch nutzbar für dich
    Ich nutze Chrome nicht.

    > Wie willst du dich dagegen wehren bei Fremdgeräten?
    Brauche ich nicht. Unbekannte MACs bekommen keinen Zugang. Mein Netz, meine Regeln.

    > Verbietest du auch Tor und VPNs in deinem Netz?
    Nö, denn ich weiß wer Tor/VPN nutzt.

    Übrigens favorisiert das IETF DoT; da brauche ich nicht lange überlegen, was meinen Support hat.

  11. Re: PiHole in Zeiten von DoH

    Autor: Xar 30.06.20 - 17:58

    edison.cannon schrieb:
    --------------------------------------------------------------------------------
    > Ich ja nicht gegen die Verschlüsselung. Ich bin dagegen, das Moz einfach
    > was neues auf den Markt kotzt, obwohl eine sichere Alternative (DoT)
    > bereits existiert und deren Basis sich seit Jahrzehnten bewährt hat.

    Ja klar, DoT ist ja auch so viel älter als DoH. Und es war ganz alleine Mozilla, die es entwickelt haben. Deswegen konnte DoH auch einfach so RFC werden.

    > Erinnerst Du Dich an SPDY? War der Riesenhype, das neue Web. Ich weiß nicht
    > mehr wieviele Kunden es unbedingt haben wollten. Und nun? Deprecated und
    > aus den Browsern wieder rausgeflogen. Lebensdauer: 2012-2016.
    Schonmal was von http/2 gehört? Schon krass, dass manche Dinge ich weiterentwickeln können.


    > > haben sie es machen müssen
    > Sie mußten gar nichts. Reine PR unter dem Deckmantel des Userschutzes weil
    > Moz der Markt wegbricht.
    Ich nehme an, Google und Microsoft bricht der Markt auch weg? Oder warum kann Chrome DoH? Oder warum soll Windows es auch bald können?

    > > Es macht null Sinn, DoT/DoH in ping, ssh und jede kleine Applikation
    > einzubauen
    > Aber mit DoH ginge es halt.
    Und mit DoT auch. Und mit klassischem DNS auch. Was also ist der Punkt?

    > Und ich traue mich fast wetten, daß dies am
    > meisten Verbreitung in der Werbe- und Malwareindustrie finden wird weil es
    > bestehende Filtersysteme umgehen kann.
    Deswegen hat sie es bisher auch schon mit hardcoded IPs versucht? Weil kaum einer das umgehen dürfte, besonders bevor es die Pis gabs?

    >
    > > DNS als letztes Protokoll im Internet unverschlüsselt zu lassen ist keine
    > Lösung...
    > Ack. Daher DoT und keinen DoH Kladderadatsch.
    und was genau macht DoT besser?
    Das was du bisher gegen DoH genannt hast, kann man einfach so auch zu DoT sagen.

    > Für DoT braucht es nur ein kleines Update am OS und schon profitiert jedes
    > Programm.
    Ach und für DoH nicht?
    Wieso implementiert MS dann zuerst DoH, mehr oder weniger mit der Begründung, dass es sich einfach in Windows einbauen lässt als DoT?

    > So aber kocht Moz sein eigenes Süppchen, und der Rest der Welt
    > geht denen am A... vorbei. Moz, Cloudflare, Google & Co könnten leicht
    > ihren gemeinsamen Einfluß nutzen und DoT erzwingen. Schon seltsam daß sie
    > lieber für eine Lösung eintreten, die den Großteil dieser Daten zu ihnen
    > leiten wird. Oder nicht?
    Und wieso sollte die mit DoT nicht "den Großteil dieser Daten zu ihnen leiten" können?

  12. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 30.06.20 - 21:35

    Xar schrieb:
    --------------------------------------------------------------------------------
    > Schonmal was von http/2 gehört?
    Schön, Du hast verstanden, was ich damit ausdrücken wollte: daß das einst tolle SPDY auf den Müll wanderte als das nächste Neue um die Ecke kam.

    > Schon krass, dass manche Dinge ich weiterentwickeln können.
    Manche Dinge muß man auch nicht weiterentwickeln. Du darfst aber gerne das Rad neu erfinden.

    > Oder warum kann Chrome DoH? Oder warum soll Windows es auch bald können?
    Ernsthaft? Du fragst wirklich, warum die größten Datensammler DoH bevorzugen? Wenn Google/Cloudflare default in Chrome/Firefox werden, was glaubst Du, wieviele User das umstellen werden? Die bekommen plötzlich Userdaten in vorher nie gekanntem Ausmaß.

    > Und mit DoT auch. Und mit klassischem DNS auch. Was also ist der Punkt?
    Punkt ist, daß diese Rogue-DNS Anfragen gnadenlos an meiner Firewall scheitern.
    Warum argumentierst Du eigentlich über Sicherheit, wenn Du offensichtlich nicht die Grundlagen von Netzwerkadministration kennst?

    > Deswegen hat sie es bisher auch schon mit hardcoded IPs versucht?
    Malware mit hardcoded IP hat aber halt das Problem, daß Dein Botnetz tot ist, sobald der C&C offline geht.

    > und was genau macht DoT besser?
    DoT läßt dem Nutzer die Wahl. Ich behalte die Kontrolle über mein Netzwerk und kann entscheiden, wer DNS Anfragen beantworten darf. DoH nimmt diese Kontrolle dem Nutzer weg.

    > Wieso implementiert MS dann zuerst DoH
    Frag mich nicht. MS macht vieles was keinen Sinn ergibt. Es sollte für die kein Drama sein, bestehende DNS Anfragen in TLS zu verpacken.
    Warum MS das überhaupt macht ist schleierhaft, denn Chrome/Firefox scheinen sich ja nicht um den OS Resolver mehr scheren zu wollen.

    > Und wieso sollte die mit DoT nicht "den Großteil dieser Daten zu ihnen leiten" können?
    Weil jeder ernsthafte DNS Server (BIND, NSD, PDNS) DoT bereits unterstützt.

    Ich habe absolut nichts gegen verschlüsselte DNS Anfragen.
    Aber wenn irgendwelche selbsternannte angebliche Weltverbesserer mir die Kontrolle über meine eigenen Netzwerke entziehen wollen, hört der Spaß auf.

    Abschließend zitiere ich einfach mal Paul Vixie:
    "Rfc 8484 is a cluster duck for internet security. Sorry to rain on your parade. The inmates have taken over the asylum."

  13. Re: PiHole in Zeiten von DoH

    Autor: Xar 30.06.20 - 23:31

    edison.cannon schrieb:
    > Schön, Du hast verstanden, was ich damit ausdrücken wollte: daß das einst tolle SPDY auf den Müll wanderte als das nächste Neue um die Ecke kam.
    Und SSL2 wäre heute auch noch gut genug?
    manche Sachen brauchen eben doch eine Weiterentwicklung. und http/2 baut nunmal auf SPDY auf, so gesehen ist das nicht auf den Müll, sondern wirklich weiter entwickelt.

    >> Oder warum kann Chrome DoH? Oder warum soll Windows es auch bald können?
    > Ernsthaft? Du fragst wirklich, warum die größten Datensammler DoH
    > bevorzugen? Wenn Google/Cloudflare default in Chrome/Firefox werden, was
    > glaubst Du, wieviele User das umstellen werden? Die bekommen plötzlich
    > Userdaten in vorher nie gekanntem Ausmaß.
    Nicht zwangsweise. Das Sammeln von Daten ist kein Teil der RFC. Wenn dann sind hier die Provider schuld, die es versäumen mit der Zeit zu gehen.
    Also: Warum bevorzugt MS wohl DoH über DoT? Weil Windows bisher keinerlei Daten preisgibt?
    Warum DoH in Chrome? Weil Chrome ein Datenschutzbrowser ist?

    >> Und mit DoT auch. Und mit klassischem DNS auch. Was also ist der Punkt?
    > Punkt ist, daß diese Rogue-DNS Anfragen gnadenlos an meiner Firewall
    > scheitern.
    > Warum argumentierst Du eigentlich über Sicherheit, wenn Du offensichtlich
    > nicht die Grundlagen von Netzwerkadministration kennst?

    Warum argumentierst du mit Argumenten gegen DoH, die so auch auf DoT und DNS ohne Verschlüsselung zutreffen können?


    > > Deswegen hat sie es bisher auch schon mit hardcoded IPs versucht?
    > Malware mit hardcoded IP hat aber halt das Problem, daß Dein Botnetz tot
    > ist, sobald der C&C offline geht.
    Und die Werbeindustrie? Die hast du jetzt gekonnt unter den Teppich gekehrt.


    > > und was genau macht DoT besser?
    > DoT läßt dem Nutzer die Wahl. Ich behalte die Kontrolle über mein Netzwerk
    > und kann entscheiden, wer DNS Anfragen beantworten darf. DoH nimmt diese
    > Kontrolle dem Nutzer weg.
    Nein, einfach nein.
    Wo hast du bitte mit DoT mehr Kontrolle?

    > > Wieso implementiert MS dann zuerst DoH
    > Frag mich nicht. MS macht vieles was keinen Sinn ergibt. Es sollte für die
    > kein Drama sein, bestehende DNS Anfragen in TLS zu verpacken.
    > Warum MS das überhaupt macht ist schleierhaft, denn Chrome/Firefox scheinen
    > sich ja nicht um den OS Resolver mehr scheren zu wollen.
    Du hast also keine Ahnung.
    Also kommen wir wieder zu dem, was MS verlauten lies: Es ist einfach als DoT. Und dein Argument dagegen? "Nö is nicht so, weil ICH BIN BESSER ALS GANZ MS!!!"? Oder irgendwas handfestes?

    > > Und wieso sollte die mit DoT nicht "den Großteil dieser Daten zu ihnen
    > leiten" können?
    > Weil jeder ernsthafte DNS Server (BIND, NSD, PDNS) DoT bereits
    > unterstützt.
    Und? Genauso wie ein DoH vorgegeben werden kann, kann auch auch jeder DNS-Server vorgegeben werden. Wieso sollte DoT das nicht können, was du DoH vorwirfst?

  14. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 01.07.20 - 09:53

    Xar schrieb:
    --------------------------------------------------------------------------------
    > Und SSL2 wäre heute auch noch gut genug?
    Netter Versuch. Die Stärke einer Verschlüsselung ist allerdings der Rechenleistung unterworfen. Erkläre mir mal bitte, wie schnellere CPUs das DNS Protokoll an sich unsicher machen.

    > manche Sachen brauchen eben doch eine Weiterentwicklung.
    Manche. Nicht alle.

    > Nicht zwangsweise. Das Sammeln von Daten ist kein Teil der RFC. Wenn dann sind
    > hier die Provider schuld, die es versäumen mit der Zeit zu gehen.
    Und Dein Argument ist? Wenn ISPs bisher Daten sammeln, tun sie dies auch weiterhin. DoH kann das technisch nicht unterbinden, sondern es ändern sich nur die Sammler.

    > Also: Warum bevorzugt MS wohl DoH über DoT? Weil Windows bisher keinerlei
    > Daten preisgibt?
    Ernsthaft? Hast Du die ganze Telemetriediskussion verschlafen? Auch Facebook gibt die gesammelten Daten nicht preis, nutzt diese aber schamlos aus.

    > Warum DoH in Chrome? Weil Chrome ein Datenschutzbrowser ist?
    Chrome und Datenschutz? In welchem Universum lebst Du bitte? Oder trollst Du nur einfach?

    > Warum argumentierst du mit Argumenten gegen DoH, die so auch auf DoT und
    > DNS ohne Verschlüsselung zutreffen können?
    Du schnallst es wirklich nicht? DoT/DNS kann ich in meiner Firewall kontrollieren. DoH nicht.

    > Und die Werbeindustrie? Die hast du jetzt gekonnt unter den Teppich gekehrt.
    Im allgemeinen rechne ich die Werbeindustrie einfach zur Malware.

    > Wo hast du bitte mit DoT mehr Kontrolle?
    Ja, Du schnallst es wirklich nicht. Du argumentierst ohne auch nur die geringsten Grundlagen zu kennen.

    > Also kommen wir wieder zu dem, was MS verlauten lies: Es ist einfach als DoT.
    > Und dein Argument dagegen? "Nö is nicht so, weil ICH BIN BESSER ALS GANZ MS!!!"?
    > Oder irgendwas handfestes?
    Nur weil es einfacher ist, ist es besser? Das ist Dein Argument?
    Wenn ein Konzern wie MS DoT nicht umsetzen kann (oder will?), dann zweifle ich eben an deren Fähigkeiten. Android zB kann seit v9 nativ DoT; die haben es ja auch hinbekommen.

    > Genauso wie ein DoH vorgegeben werden kann, kann auch auch jeder DNS-Server
    > vorgegeben werden. Wieso sollte DoT das nicht können, was du DoH vorwirfst?
    Nur, daß Du keine Kontrolle hast, wenn die Software Dir diese Option eben nicht einräumt.

    Einmal noch, ganz langsam, damit Du es verstehst:

    DoT:
    - Umgehung des OS Resolvers
    - Tarnung von DNS Requests als HTTPS -> Keine Kontrolle durch den User

    DoH:
    - DNS auf OS Ebene
    - Eigener Port -> Kontrollierbar durch den User

  15. Re: PiHole in Zeiten von DoH

    Autor: Xar 01.07.20 - 13:44

    edison.cannon schrieb:
    --------------------------------------------------------------------------------
    > > Nicht zwangsweise. Das Sammeln von Daten ist kein Teil der RFC. Wenn dann
    > sind
    > > hier die Provider schuld, die es versäumen mit der Zeit zu gehen.
    > Und Dein Argument ist? Wenn ISPs bisher Daten sammeln, tun sie dies auch
    > weiterhin. DoH kann das technisch nicht unterbinden, sondern es ändern sich
    > nur die Sammler.
    1. ändert sich der Sammler nicht zwangsweise.
    2. Sollte DoH das auch nie verhindern.
    Also nettes Scheinargument, dass du hier andauernd anführst.

    >> Also: Warum bevorzugt MS wohl DoH über DoT? Weil Windows bisher keinerlei
    >> Daten preisgibt?
    > Ernsthaft? Hast Du die ganze Telemetriediskussion verschlafen? Auch Facebook gibt die gesammelten Daten nicht preis, nutzt diese aber schamlos aus.

    >> Warum DoH in Chrome? Weil Chrome ein Datenschutzbrowser ist?
    >Chrome und Datenschutz? In welchem Universum lebst Du bitte? Oder trollst Du nur einfach?
    Das ist kein trollen, du verstehst einfach das stilistische Mittel hier nicht.
    Chrome gilt genau wie Windows 10 nicht als Datenschutzfreundlich. Du argumentierst mit dem Sammeln von Daten, dass DoH bevorzugt wird. Meine Frage also: Sind Chrome und Windows 10 bisher so Datenschutzfreundlich (wohl kaum), dass die Firmen dahinter nicht an die Informationen aus den DNS-Anfragen? Oder hat das Sammeln von Daten vielleicht gar nichts mit DoH zu tun? Gerade MS kann doch einfach auch so DNS-Informationen aus dem OS gewinnen.

    > > Warum argumentierst du mit Argumenten gegen DoH, die so auch auf DoT und
    >
    > > DNS ohne Verschlüsselung zutreffen können?
    > Du schnallst es wirklich nicht? DoT/DNS kann ich in meiner Firewall
    > kontrollieren. DoH nicht.
    Wird es jetzt langsam beleidigend?
    Das mit der Firewall ist sowohl ein Vor- als auch ein Nachteil. Wenn Du es mit berechtigtem Interesse nicht kannst, dann vielleicht auch nicht Erdowahn oder andere mit nicht berechtigtem Interesse.

    > > Wo hast du bitte mit DoT mehr Kontrolle?
    > Ja, Du schnallst es wirklich nicht. Du argumentierst ohne auch nur die
    > geringsten Grundlagen zu kennen.
    Jap, du hast keine Argumente, also wirst du beleidigend.

    > > Also kommen wir wieder zu dem, was MS verlauten lies: Es ist einfach als
    > DoT.
    > > Und dein Argument dagegen? "Nö is nicht so, weil ICH BIN BESSER ALS GANZ
    > MS!!!"?
    > > Oder irgendwas handfestes?
    > Nur weil es einfacher ist, ist es besser? Das ist Dein Argument?
    Nein. Mein Argument ist, dass du was Gegenteiliges behauptest. Unterstellst mir keine Ahnung zu haben, kannst aber deine Position nicht begründen.

    > Wenn ein Konzern wie MS DoT nicht umsetzen kann (oder will?), dann zweifle
    > ich eben an deren Fähigkeiten. Android zB kann seit v9 nativ DoT; die haben
    > es ja auch hinbekommen.

    Sie haben nicht gesagt, sie wollen nicht, sondern dass DoH zuerst kommt, da einfacher in Windows zu implementieren.

    > > Genauso wie ein DoH vorgegeben werden kann, kann auch auch jeder
    > DNS-Server
    > > vorgegeben werden. Wieso sollte DoT das nicht können, was du DoH
    > vorwirfst?
    > Nur, daß Du keine Kontrolle hast, wenn die Software Dir diese Option eben
    > nicht einräumt.
    bei DoH oder DoT? Oder beidem?
    > Einmal noch, ganz langsam, damit Du es verstehst:
    >
    > DoT:
    > - Umgehung des OS Resolvers
    > - Tarnung von DNS Requests als HTTPS -> Keine Kontrolle durch den User
    >
    > DoH:
    > - DNS auf OS Ebene
    > - Eigener Port -> Kontrollierbar durch den User

    Ah DoH Kontrollierbar, DoT nicht. Jetzt bin ich endgültig überzeugt, dass deine Argumente nicht valide waren.
    Aber falls du hier nur einen freudschen verschreiber hattest:
    Wieso sollte DoT nicht den OS Resolver umgehen können?
    Wieso sollte DoH das zwangsweise tun, wenn es doch von MS auf OS-Ebene eingebaut wird? Ich habe keine Insider Version zum Testen hier, aber vll sieht es quasi so aus wie DoT unter Android.

    Was ist, wenn ich DoT einfach auf Port 443 laufen lasse? Ist dass dann genau so "schlecht" wie DoH auf 443?

  16. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 01.07.20 - 18:31

    Xar schrieb:
    --------------------------------------------------------------------------------
    > Also nettes Scheinargument, dass du hier andauernd anführst.
    Aber genau das war doch das Hauptargument für DoH: der ISP spioniert, also muß DNS weg vom ISP.

    > Du argumentierst mit dem Sammeln von Daten, dass DoH bevorzugt wird.
    Nicht bevorzugen. Aber auch nicht verhindern. Die Daten gehen halt an jemand anderen, und zwar zentralisierter.

    > Gerade MS kann doch einfach auch so DNS-Informationen aus dem OS gewinnen.
    Natürlich. Ebenso Chrome und FF. Daher verstehe ich den Push für DoH noch weniger.

    > Wenn Du es mit berechtigtem Interesse nicht kannst, dann vielleicht auch nicht
    > Erdowahn oder andere mit nicht berechtigtem Interesse
    Und warum soll ich es bei mir nicht mehr können dürfen? In meinem Netz will ich die Regeln aufstellen dürfen.
    Warum soll es der Arbeitgeber nicht können dürfen? Der zahlt meine Arbeitszeit, da räume ich ihm auch das Recht ein, ein Auge auf das Netz zu haben damit nicht Hinz und Kunz die Arbeitszeit auf zB Facebook verbringen.

    > Jap, du hast keine Argumente, also wirst du beleidigend.
    Du hast Dich bisher geweigert zu verstehen, daß DoT im Gegensatz zu DoH in der Firewall kontrollierbar ist. Und das ist mein zentraler Punkt.

    > Sie haben nicht gesagt, sie wollen nicht, sondern dass DoH zuerst kommt
    Warum? Firefox wird ja nicht den OS Resolver nehmen.

    > bei DoH oder DoT? Oder beidem?
    Bei DoH kann die Software eigene Resolver nach Lust und Laune kontaktieren und als Admin kannst Du das nicht filtern weil es über 443 läuft.
    Bei DoT kann die Software zumindest versuchen, eigene Resolver zu kontaktieren, aber wenn 53/853 für alle außer dem erlaubten Resolver geblockt sind, geht eben nix.

    > Aber falls du hier nur einen freudschen verschreiber hattest:
    Jo, Freud lässt grüßen. Mea culpa :)

    > Wieso sollte DoT nicht den OS Resolver umgehen können?
    Weil 53/853 gesperrt wird und damit der Request scheitert wenn was anderes als der erlaubte Resolver genutzt wird.

    > Wieso sollte DoH das zwangsweise tun, wenn es doch von MS auf OS-Ebene eingebaut wird?
    Weil FF sich nicht darum schert: privacy-handbuch dot de slash handbuch_21w dot htm
    Ich sehe dort keinen localhost Eintrag in der Auswahlliste. Außer vielleicht custom wenn der lokal als HTTPS Server läuft; das kann aber wieder dann Probleme geben wenn Leute schon einen lokalen Webserver haben.

    > Was ist, wenn ich DoT einfach auf Port 443 laufen lasse?
    Für DoT ist 853 offiziell spezifiziert. Du kannst natürlich DoT auf 443 einstellen, aber dann mußt Du auch einen DoT Server auf 443 betreiben weil der Port eben nicht Standard ist und kein öffentlicher Resolver den anbieten wird.

    Dann stellen sich aber auch noch andere Fragen:
    - Ich nullroute bei mir z.B. etliche Domains (Tracking, aber u.a. auch Facebook). In Zukunft wird FF diese dann einfach wieder auflösen.
    - DoH-Ausnahmen muß man unständlich über about:config konfigurieren. Ein paar geht vielleicht, aber Hunderte?
    - Was ist mit lokalen Hostnamen? Kennen werden die meisten fritz.box oder speedport.ip, aber manch einer nutzt auch im LAN Domains.
    - Es fällt das DNS Splitbrain weg, d.h. wenn eine Domain extern auflösbar ist, wird meine lokale Einstellung ignoriert.

  17. Re: PiHole in Zeiten von DoH

    Autor: Xar 01.07.20 - 19:33

    edison.cannon schrieb:
    --------------------------------------------------------------------------------
    > Xar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also nettes Scheinargument, dass du hier andauernd anführst.
    > Aber genau das war doch das Hauptargument für DoH: der ISP spioniert, also
    > muß DNS weg vom ISP.
    Und TLS existiert, weil der Server spioniert?
    Ich kopiere jetzt einfach mal aus der Wikipedia:
    "Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird"

    > > Du argumentierst mit dem Sammeln von Daten, dass DoH bevorzugt wird.
    > Nicht bevorzugen. Aber auch nicht verhindern. Die Daten gehen halt an
    > jemand anderen, und zwar zentralisierter.
    Zentralisierter nur, wenn die Serverbetreiber es zulassen. Also wie Cromecast noch letztes Jahr, indem behauptet wird DoH sei böse, anstatt es selbst zu implementieren.

    > > Gerade MS kann doch einfach auch so DNS-Informationen aus dem OS
    > gewinnen.
    > Natürlich. Ebenso Chrome und FF. Daher verstehe ich den Push für DoH noch
    > weniger.
    >
    > > Wenn Du es mit berechtigtem Interesse nicht kannst, dann vielleicht auch
    > nicht
    vielleicht solltest du einfach Weg von dem Gedanken des Detensammelns.

    > > Erdowahn oder andere mit nicht berechtigtem Interesse
    > Und warum soll ich es bei mir nicht mehr können dürfen? In meinem Netz will
    > ich die Regeln aufstellen dürfen.
    > Warum soll es der Arbeitgeber nicht können dürfen? Der zahlt meine
    > Arbeitszeit, da räume ich ihm auch das Recht ein, ein Auge auf das Netz zu
    > haben damit nicht Hinz und Kunz die Arbeitszeit auf zB Facebook
    > verbringen.
    Dann wird dein Arbeitgeber bzw die IT das per DNS-Command im Unternehmensnetz verhindern. Oder falls der Firefox verwendet wird auch per polices


    > > Jap, du hast keine Argumente, also wirst du beleidigend.
    > Du hast Dich bisher geweigert zu verstehen, daß DoT im Gegensatz zu DoH in
    > der Firewall kontrollierbar ist. Und das ist mein zentraler Punkt.
    Das erklärt aber nicht, warum DoT besser sein soll als DoH. Nur weil es für dich besser ist,... aber ich wiederhole mch.

    > > Sie haben nicht gesagt, sie wollen nicht, sondern dass DoH zuerst kommt
    > Warum? Firefox wird ja nicht den OS Resolver nehmen.
    Sagt wer? Gab es da schon nen Blogeintrag oder einen Bugzillaeintrag, indem steht, dass das nicht passieren wird?

    > > Wieso sollte DoH das zwangsweise tun, wenn es doch von MS auf OS-Ebene
    > eingebaut wird?
    > Weil FF sich nicht darum schert: privacy-handbuch dot de slash handbuch_21w
    > dot htm
    Weil es bisher auch noch kein OS mit DoH-Support gibt. Wie die Zukunft aussieht steht noch nicht fest.

    > > Was ist, wenn ich DoT einfach auf Port 443 laufen lasse?
    > Für DoT ist 853 offiziell spezifiziert. Du kannst natürlich DoT auf 443
    > einstellen, aber dann mußt Du auch einen DoT Server auf 443 betreiben weil
    > der Port eben nicht Standard ist und kein öffentlicher Resolver den
    > anbieten wird.
    Komisch, in der letzten großen Diskussion wurde mir noch gesagt, man müsse DoT nur auf 443 laufen lassen und hätte die Vorteile von DoH, ohne die Nachteile. (dass das BS war ist ne andere Sache)
    Nun geht es nicht mehr so einfach? Wieso nicht? Was sollte mich daran hindern? Und was einen Serveranbieter? Die Spezifikation gibt nicht vor, dass 853 genutzt werden muss.

    > Dann stellen sich aber auch noch andere Fragen:
    > - Ich nullroute bei mir z.B. etliche Domains (Tracking, aber u.a. auch
    > Facebook). In Zukunft wird FF diese dann einfach wieder auflösen.
    > - DoH-Ausnahmen muß man unständlich über about:config konfigurieren. Ein
    > paar geht vielleicht, aber Hunderte?
    Oder du nimmst einen anderen DNS-Server. Via GUI.

  18. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 02.07.20 - 20:38

    Xar schrieb:
    --------------------------------------------------------------------------------
    > indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe
    > verhindert wird
    Genau das bietet DoT auch, aber ohne das ganze restliche Chaos.
    Und mal Butter bei die Fische: wieviele müssen sich _ernsthaft_ Sorgen um MITM machen? Wenn ich mich auch nur im entferntesten zu einer Zielgruppe zähle, dann muß es ein VPN sein.

    > Zentralisierter nur, wenn die Serverbetreiber es zulassen
    Willst Du die ISP dazu zwingen, DoH anzubieten? Wenn die nun entscheiden, Ihre DNS Infrastruktur aufzulösen weil es nur ein unnötiger Kostenfaktor ist, dann gehen eben alle Userdaten an ein paar wenige. Und wenn die ISP doch DoH machen, bleiben die Daten bei denen wie bisher.

    > vielleicht solltest du einfach Weg von dem Gedanken des Detensammelns.
    Warum? Wie gesagt, das ist ein zentrales Argument der DoH Befürworter.

    > Dann wird dein Arbeitgeber bzw die IT das per DNS-Command im Unternehmensnetz
    > verhindern
    Kann er ja eben nicht mehr. Bei FF kann man evtl noch rumdoktoren (notfalls stellt der User einen anderen TRR ein), bei BYOD kannst Du das vergessen.

    > Nur weil es für dich besser ist
    Besser für jeden, der auch nur entfernt mit Netzwerksicherheit zu tun hat und sich um seine eigene Privatsphäre kümmert.

    > Sagt wer? Gab es da schon nen Blogeintrag oder einen Bugzillaeintrag, indem steht,
    > dass das nicht passieren wird?
    Aus dem Moz-Wiki (ich darf ja keine URLs posten):
    "TRR bypasses system DNS so you might not be using any 'enhanced' DNS services provided by your default DNS server which may include Web Content Filtering or basic Malware Protection, phishing protection."
    Also, ganz offiziell: Moz umgeht den OS Resolver und ist sich auch bewußt daß damit User bestehende Sicherheits- und Schutzeinstellungen verlieren.

    > Die Spezifikation gibt nicht vor, dass 853 genutzt werden muss.
    Langsam wird es mir echt zu dumm. Hast Du Dich überhaupt in das Thema eingelesen? Denn RFC7858 gibt das natürlich vor:
    "By default, a DNS server that supports DNS over TLS MUST listen for and accept TCP connections on port 853"
    "a DNS client desiring privacy from DNS over TLS from a particular server MUST establish a TCP connection to port 853"

    > Oder du nimmst einen anderen DNS-Server. Via GUI.
    Womit wir wieder am Anfang sind, denn bei DoH muß ich theoretisch in jedem Programm (sofern es mich lässt) den DoH Resolver konfigurieren und kann mich nicht mehr auf meine Firewall verlassen.
    Danke daß Du mit diesem Beispiel meine Argumentation gegen DoH unterstützt hast.

  19. Re: PiHole in Zeiten von DoH

    Autor: Xar 02.07.20 - 23:38

    edison.cannon schrieb:
    --------------------------------------------------------------------------------
    > Xar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > indem das Abhören und Manipulieren von DNS-Daten durch
    > Man-in-the-Middle-Angriffe
    > > verhindert wird
    > Genau das bietet DoT auch, aber ohne das ganze restliche Chaos.
    > Und mal Butter bei die Fische: wieviele müssen sich _ernsthaft_ Sorgen um
    > MITM machen? Wenn ich mich auch nur im entferntesten zu einer Zielgruppe
    > zähle, dann muß es ein VPN sein.
    Hier in Deutschland vielleicht keiner.
    Was ist mit der Türkei? Ägypten?
    Kasachstan hatte schon einen versuch eines Staats-CA-Zertifikats versucht, das jeder zu installieren habe. Klar könnten Softwarehersteller das auf breiter Linie blocken, aber was, wenn so eine Regierung doch auch mal eben Port 853 sperren lassen und dann schaut man mit DoT blöd in die Wäsche, DoH wird da schwerer zu blockieren.

    > > Zentralisierter nur, wenn die Serverbetreiber es zulassen
    > Willst Du die ISP dazu zwingen, DoH anzubieten? Wenn die nun entscheiden,
    > Ihre DNS Infrastruktur aufzulösen weil es nur ein unnötiger Kostenfaktor
    > ist, dann gehen eben alle Userdaten an ein paar wenige. Und wenn die ISP
    > doch DoH machen, bleiben die Daten bei denen wie bisher.
    Ach, die lassen dann wieder ihre 4 Sekunden langsamen Server laufen.
    Aber wieso sollte das mit DoT besser sein? Wieso sollten ISP das anbieten? Wieso sollte das mit DoT keine Zentralisierung geben?

    > > vielleicht solltest du einfach Weg von dem Gedanken des Detensammelns.
    > Warum? Wie gesagt, das ist ein zentrales Argument der DoH Befürworter.

    Hier führst hauptsächlich du das als angebliches Argument pro DoH an.

    > > Dann wird dein Arbeitgeber bzw die IT das per DNS-Command im
    > Unternehmensnetz
    > > verhindern
    > Kann er ja eben nicht mehr. Bei FF kann man evtl noch rumdoktoren (notfalls
    > stellt der User einen anderen TRR ein), bei BYOD kannst Du das vergessen.
    Und bei jeder Software, die das bisher versucht hat zu verhindern, ganz ohne DoH, auch.
    ist ja nicht so, als wäre etwas unmöglich, nur, weil kein Standard dafür existiert.

    > > Nur weil es für dich besser ist
    > Besser für jeden,
    Nein.
    > der auch nur entfernt mit Netzwerksicherheit zu tun hat
    > und sich um seine eigene Privatsphäre kümmert.
    einfach nein. Siehe oben, die Welt ist größer als Deutschland.
    > > Sagt wer? Gab es da schon nen Blogeintrag oder einen Bugzillaeintrag,
    > indem steht,
    > > dass das nicht passieren wird?
    > Aus dem Moz-Wiki (ich darf ja keine URLs posten):
    > "TRR bypasses system DNS so you might not be using any 'enhanced' DNS
    > services provided by your default DNS server which may include Web Content
    > Filtering or basic Malware Protection, phishing protection."
    > Also, ganz offiziell: Moz umgeht den OS Resolver und ist sich auch bewußt
    > daß damit User bestehende Sicherheits- und Schutzeinstellungen verlieren.
    Auch das ist der Status quo, du sprachst davon, dass sich das auch nicht ändern wird.

    > > Die Spezifikation gibt nicht vor, dass 853 genutzt werden muss.
    > Langsam wird es mir echt zu dumm. Hast Du Dich überhaupt in das Thema
    > eingelesen?
    Das gleiche könnte ich dich fragen, was DoH angeht.
    Immer dieser ISP-Datensammel-Strohmann

    > > Oder du nimmst einen anderen DNS-Server. Via GUI.
    > Womit wir wieder am Anfang sind, denn bei DoH muß ich theoretisch in jedem
    > Programm (sofern es mich lässt) den DoH Resolver konfigurieren und kann
    > mich nicht mehr auf meine Firewall verlassen.

    Und das ist immer noch kein reiner Nachteil, sondern sowohl Vor- als auch Nachteil, siehe oben, Deutschland ist nicht die Welt.

    DoH ist in manchen Szenarien das beste Protokoll, dass wir für DNS zur Verfügung haben, auch wenn du das nicht akzeptieren möchtest.

  20. Re: PiHole in Zeiten von DoH

    Autor: edison.cannon 03.07.20 - 09:52

    Xar schrieb:
    --------------------------------------------------------------------------------
    > Was ist mit der Türkei? Ägypten?
    Whataboutism. Der Export westlicher Werte hat ja auch nirgends dort Kriege und Aufstände mit Tausenden Toten ausgelöst. Außerdem ist es schon etwas anmaßend, wenn Du Deine Vorstellungen anderen Länder vorschreiben oder aufzwingen willst.

    > Kasachstan hatte schon einen versuch eines Staats-CA-Zertifikats versucht
    Damit scheitert DoH aber auch.

    > doch auch mal eben Port 853 sperren lassen
    Aber dann weißt Du, daß was im Argen ist. Bei DoH bekommst Du sowas gar nicht mit.

    > Auch das ist der Status quo, du sprachst davon, dass sich das auch nicht ändern wird.
    > Das gleiche könnte ich dich fragen, was DoH angeht.
    > Immer dieser ISP-Datensammel-Strohmann

    Also erst tust Du so, als ob Moz nie behauptet hätte, den OS Resolver zu umgehen; wenn man dann das Gegenteil beweist wird die Argumentation wieder rumgedreht und Du versuchst mir den schwarzen Peter zuzuschieben. Dann zeigst Du, daß Du keine Ahnung von den vorgeschrieben Ports hast, und wenn man Dein Nichtwissen aufzeigt, wird mir Nichtwissen unterstellt. Und ein Stohmann-Argument ist das Sammeln eben auch nicht, da Moz das dem US-Kongress selbst so dargelegt hat; was Du scheinbar auch nicht wusstest.

    Tut mir leid, aber mir wird es zu dumm mit Dir zu argumentieren und Grundlagen zu erklären wenn nur Verdrehungen zurückkommen. Da ich Dich nicht beleidigen möchte, nehme ich an daß Du nicht blöd bist, sondern nur trollst.

    Wie dem auch sei, ich klinke mich hier aus. Paraphrasiere das wie Du willst. Ich bin fast sicher daß Du es schafft, Dich als Held hinzustellen.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Raum Fuldatal
  2. TenneT TSO GmbH, Bayreuth
  3. ACS PharmaProtect GmbH über RAVEN51 AG, Berlin
  4. Schwarz IT KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 58,48€ (PC), 68,23€ (PS4) 69,99€ (Xbox One)
  2. 4,99€
  3. (u. a. Warhammer 40,00€0: Gladius - Relics of War für 23,79€, Aggressors: Ancient Rome für 17...


Haben wir etwas übersehen?

E-Mail an news@golem.de