1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DoH-Standard: DNS über HTTPS ist…

Computerbesitzer verlieheren Kontrolle über DNS

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:15

    Aus dem Artikel:
    > In Situationen, in denen Admins bisher legitimerweise Filterregeln per DNS verteilen, sollten diese auch Zugriff auf die Clients zur Umsetzung der DoH-Konfiguration haben. Das gilt in Unternehmensnetzwerken ebenso wie für Eltern mit den Geräten ihrer Kinder.

    Genau dies wird nicht der Fall sein. Bei Chrome (und auch bei Firefox) kann ich mir gut vorstellen, das DoH irgendwann mal nicht mehr abschaltbar ist.

    Selbst wenn dies nicht eintreten sollte, dann wird die Werbeindustrie, etc. DoH Resolver in Javascript schreiben, um DNS Filter zu umgehen.

  2. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 10:27

    Das wird definitiv nicht geschehen. Javascript könnte unter Umständen zwar eine IP auflösen, jedoch löst ein OS/Browser unabhängig (und von Javascript unbeeinflussbar) selber die IP auf.

  3. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:38

    Mit Hilfe eines in Javascript geschriebenen DoH Resolvers, kann eine Webseite im Browser DNS Namen in IP Adressen auflösen. Das Javascript kann dann den Zugriff auf die IP machen. Das ganze passiert komplett im Javascript der Seite, unabhängig von der normalen DNS Auflösung. Der Browser oder das OS kann dagegen nichts machen.

  4. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 10:49

    Ja, das könnte so geschehen.
    Ich seh aber deine Verbindung zum umgehen von DNS Filtern nicht, es macht ja im Vergleich zu heute keinen Unterschied. Es steht der Werbeindustrie schon heute frei, ihren Mist über eine IP statt einer Domain nachzuladen...

  5. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: slacki 18.07.19 - 10:52

    Der Unterschied ist dass ich problemlos via Adblocker oder IPTables solche Sachen blocken kann. Das wird mit DoH nicht mehr möglich sein. Ausser jede Applikation die DoH Nutzt setzt sowas wie IPTables/AdBlock um. Und dann darf ich das für jeden Client konfigurieren? Yay! Nein Danke DoH.

  6. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:52

    Klar geht das. Allerdings scheinen die DNS basieren Adblocker zu funktionieren.

  7. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 11:09

    Wirst du ja auch danach noch können. Ob nun Webseite über eine Domain, über einer IP, oder über eine von DoH aufgelösten IP (oder einer anderen API) Zeugs nach lädt, macht keinen Unterschied. Es muss immer der Endpoint geblockt werden... Die Werbeindustrie liefert ja mittlerweile Werbung über dieselbe Domain der Webseite aus um DNS Blocks zu umgehen... Das sind völlig andere Probleme, unabhängig von DoH.



    1 mal bearbeitet, zuletzt am 18.07.19 11:10 durch Noren.

  8. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: slacki 18.07.19 - 11:23

    Und wie genau soll ich das blocken können wenn Chrome standardmaessig 8.8.8.8 als DNS Resolver nutzt? Klar, ich kann den sperren so dass alle Requests nach 8.8.8.8 ins Nirvana gehen, aber dann geht keine Seite mehr im Chrome auf. Yay. Mal abgesehen davon, dass es dann eine Leichtigkeit ist den DNS Resolver abzuschalten und alle gehen "leer" aus, resp. Überwachung noch penetranter zu etablieren.
    Das Betriebssystem hat die DNS Konfiguration zur Verfügung zu stellen, nicht irgend eine Applikation. Und so kann ich dann auch wählen welchem Resolver ich vertraue. Oder nicht.

  9. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Tuxgamer12 18.07.19 - 11:23

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Mit Hilfe eines in Javascript geschriebenen DoH Resolvers, kann eine
    > Webseite im Browser DNS Namen in IP Adressen auflösen.

    Dir ist aber schon klar, dass das schon wirklich immer ging? Mit oder ohne DoH?

    Vor allem, weil du dir den ganzen Javascript-Mist auch sparen kannst - und die IP gleich in deine HTML-Seite schreiben kannst. Wegen mir auch dynamisch mit z.B. PHP.

    Ist nur dämlich.

    Erstens weil eine ziemliche Anzahl von HTTP-Server nicht hören, wenn sie mit der IP angesprochen werden. Zweitens weil HTTPS-Zertifikate meistens nicht für IPs ausgestellt sind.

    Deshalb: Wenn du DNS-Filter umgehen willst, machst das einfach mit einen Proxy. Also z.B. golem könnte einfach sämtliche Werbung über golem.de/ads ausliefern. Wobei alles, was bei golem.de/ads ankommt, einfach zu adservice.google.de weitergeleitet wird ;).

    Im Gegensatz zu versuchen 'adservice.google.de' mit der IP anzusprechen würde das sogar problemlos funktionieren!

    Erkentniss: DNS-Filter waren schon immer ein Witz, wenn es jemand irgendwie darauf anlegt diese zu umgehen.
    Mit DoH hat das alles somit nicht wirklich etwas zu tun.



    1 mal bearbeitet, zuletzt am 18.07.19 11:24 durch Tuxgamer12.

  10. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 11:27

    Mir ist das alles schon klar. Aber ein standardisiertes Verfahren wie es mit DoH möglich ist, macht es einfacher.

  11. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 11:42

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Und wie genau soll ich das blocken können wenn Chrome standardmaessig
    > 8.8.8.8 als DNS Resolver nutzt? Klar, ich kann den sperren so dass alle
    > Requests nach 8.8.8.8 ins Nirvana gehen, aber dann geht keine Seite mehr im
    > Chrome auf. Yay.

    Abgesehen davon, dass ich geschrieben habe, der Endpoint geblockt werden sollte, verwechselst du den Layer. Sollte (wieso auch immer) eine Webseite den Endpoint für die Werbung durch 8.8.8.8 ermitteln, wird 8.8.8.8 eben durch dein Adblock Plugin deiner Wahl geblockt. Dies blockt nicht automatisch alle DNS Abfragen vom OS/Browser.

    Betreibst du einen simplen DNS Resolver, welche bestimmte Domains gar nicht erst auflöst, hast du sowieso auf längerer Zeit ein Problem, da wie ich schon geschrieben habe, immer mehr Werbung über eigene Domains ausgeliefert werden.

    > Das Betriebssystem hat die DNS Konfiguration zur Verfügung zu stellen,
    > nicht irgend eine Applikation. Und so kann ich dann auch wählen welchem
    > Resolver ich vertraue. Oder nicht.

    Dem stimme ich voll und ganz zu. Solange ich DoH entsprechend konfigurieren kann und nicht einsetzen muss, bis eine Auflösung auf OS Ebene geschieht, bin ich glücklich.

  12. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Tuxgamer12 18.07.19 - 12:38

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Aber ein standardisiertes Verfahren wie es
    > mit DoH möglich ist, macht es einfacher.

    Einfacher???

    Sorry, aber ganz so inkompetent ist die gesammte Werbeindustrie auch nicht, dass man es nicht hinbekommen würde z.B. paar IPs in Javascript-Dateien zu schreiben (was ja wohl ausreichen würde und offensichtlich einfacher wäre als einen DoH Resolver zu integrieren).

    => Man will offensichtlich einfach nicht (weil doofe Idee) und spielt lieber Proxy.

    Ganz unabhängig davon, dass deine "dann lade ich den Mist über eine IP statt einer Domain nach" Idee nicht einmal Sinn ergibt. Denn würde das die Werbeindustrie flächenddeckend machen, was glaubst denn wie schnell die Adblocker eine Option hätten "blocke alle HTTP-Requests auf IPs".

  13. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: FreiGeistler 18.07.19 - 21:21

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Das wird definitiv nicht geschehen. Javascript könnte unter Umständen zwar
    > eine IP auflösen, jedoch löst ein OS/Browser unabhängig (und von Javascript
    > unbeeinflussbar) selber die IP auf.
    Genau diese weiche Grenze zwischen System und Anwendung mancher Leute, ist das Problem.

  14. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: FreiGeistler 18.07.19 - 21:27

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > Deshalb: Wenn du DNS-Filter umgehen willst, machst das einfach mit einen
    > Proxy. Also z.B. golem könnte einfach sämtliche Werbung über golem.de/ads
    > ausliefern. Wobei alles, was bei golem.de/ads ankommt, einfach zu
    > adservice.google.de weitergeleitet wird ;).

    Ja, prima.
    Das könnte man sogar schon via CSS blocken.
    [href^="golem.de/ads"] {display: none;}

    Noch einfacher in der hosts. Statt X Urls hat man dann nur:
    0.0.0.0 golem.de/ads

    Und man hätte mit eine Streich keine Werbung mehr auf golem.de.

  15. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Leseratte10 21.07.19 - 18:51

    Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren. Die /etc/hosts ist für Hostnamen da, und "golem.de/ads" ist kein Hostname.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Allianz Deutschland AG, München Unterföhring
  3. Bandstahl Schulte & Co. GmbH, Hagen
  4. Caritasverband Offenbach/Main e.V., Offenbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 16,99€
  2. 18,19€
  3. 10,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme