Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DoH-Standard: DNS über HTTPS ist…

Computerbesitzer verlieheren Kontrolle über DNS

  1. Thema

Neues Thema Ansicht wechseln


  1. Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:15

    Aus dem Artikel:
    > In Situationen, in denen Admins bisher legitimerweise Filterregeln per DNS verteilen, sollten diese auch Zugriff auf die Clients zur Umsetzung der DoH-Konfiguration haben. Das gilt in Unternehmensnetzwerken ebenso wie für Eltern mit den Geräten ihrer Kinder.

    Genau dies wird nicht der Fall sein. Bei Chrome (und auch bei Firefox) kann ich mir gut vorstellen, das DoH irgendwann mal nicht mehr abschaltbar ist.

    Selbst wenn dies nicht eintreten sollte, dann wird die Werbeindustrie, etc. DoH Resolver in Javascript schreiben, um DNS Filter zu umgehen.

  2. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 10:27

    Das wird definitiv nicht geschehen. Javascript könnte unter Umständen zwar eine IP auflösen, jedoch löst ein OS/Browser unabhängig (und von Javascript unbeeinflussbar) selber die IP auf.

  3. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:38

    Mit Hilfe eines in Javascript geschriebenen DoH Resolvers, kann eine Webseite im Browser DNS Namen in IP Adressen auflösen. Das Javascript kann dann den Zugriff auf die IP machen. Das ganze passiert komplett im Javascript der Seite, unabhängig von der normalen DNS Auflösung. Der Browser oder das OS kann dagegen nichts machen.

  4. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 10:49

    Ja, das könnte so geschehen.
    Ich seh aber deine Verbindung zum umgehen von DNS Filtern nicht, es macht ja im Vergleich zu heute keinen Unterschied. Es steht der Werbeindustrie schon heute frei, ihren Mist über eine IP statt einer Domain nachzuladen...

  5. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: slacki 18.07.19 - 10:52

    Der Unterschied ist dass ich problemlos via Adblocker oder IPTables solche Sachen blocken kann. Das wird mit DoH nicht mehr möglich sein. Ausser jede Applikation die DoH Nutzt setzt sowas wie IPTables/AdBlock um. Und dann darf ich das für jeden Client konfigurieren? Yay! Nein Danke DoH.

  6. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 10:52

    Klar geht das. Allerdings scheinen die DNS basieren Adblocker zu funktionieren.

  7. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 11:09

    Wirst du ja auch danach noch können. Ob nun Webseite über eine Domain, über einer IP, oder über eine von DoH aufgelösten IP (oder einer anderen API) Zeugs nach lädt, macht keinen Unterschied. Es muss immer der Endpoint geblockt werden... Die Werbeindustrie liefert ja mittlerweile Werbung über dieselbe Domain der Webseite aus um DNS Blocks zu umgehen... Das sind völlig andere Probleme, unabhängig von DoH.



    1 mal bearbeitet, zuletzt am 18.07.19 11:10 durch Noren.

  8. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: slacki 18.07.19 - 11:23

    Und wie genau soll ich das blocken können wenn Chrome standardmaessig 8.8.8.8 als DNS Resolver nutzt? Klar, ich kann den sperren so dass alle Requests nach 8.8.8.8 ins Nirvana gehen, aber dann geht keine Seite mehr im Chrome auf. Yay. Mal abgesehen davon, dass es dann eine Leichtigkeit ist den DNS Resolver abzuschalten und alle gehen "leer" aus, resp. Überwachung noch penetranter zu etablieren.
    Das Betriebssystem hat die DNS Konfiguration zur Verfügung zu stellen, nicht irgend eine Applikation. Und so kann ich dann auch wählen welchem Resolver ich vertraue. Oder nicht.

  9. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Tuxgamer12 18.07.19 - 11:23

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Mit Hilfe eines in Javascript geschriebenen DoH Resolvers, kann eine
    > Webseite im Browser DNS Namen in IP Adressen auflösen.

    Dir ist aber schon klar, dass das schon wirklich immer ging? Mit oder ohne DoH?

    Vor allem, weil du dir den ganzen Javascript-Mist auch sparen kannst - und die IP gleich in deine HTML-Seite schreiben kannst. Wegen mir auch dynamisch mit z.B. PHP.

    Ist nur dämlich.

    Erstens weil eine ziemliche Anzahl von HTTP-Server nicht hören, wenn sie mit der IP angesprochen werden. Zweitens weil HTTPS-Zertifikate meistens nicht für IPs ausgestellt sind.

    Deshalb: Wenn du DNS-Filter umgehen willst, machst das einfach mit einen Proxy. Also z.B. golem könnte einfach sämtliche Werbung über golem.de/ads ausliefern. Wobei alles, was bei golem.de/ads ankommt, einfach zu adservice.google.de weitergeleitet wird ;).

    Im Gegensatz zu versuchen 'adservice.google.de' mit der IP anzusprechen würde das sogar problemlos funktionieren!

    Erkentniss: DNS-Filter waren schon immer ein Witz, wenn es jemand irgendwie darauf anlegt diese zu umgehen.
    Mit DoH hat das alles somit nicht wirklich etwas zu tun.



    1 mal bearbeitet, zuletzt am 18.07.19 11:24 durch Tuxgamer12.

  10. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: tsx-11 18.07.19 - 11:27

    Mir ist das alles schon klar. Aber ein standardisiertes Verfahren wie es mit DoH möglich ist, macht es einfacher.

  11. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Noren 18.07.19 - 11:42

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Und wie genau soll ich das blocken können wenn Chrome standardmaessig
    > 8.8.8.8 als DNS Resolver nutzt? Klar, ich kann den sperren so dass alle
    > Requests nach 8.8.8.8 ins Nirvana gehen, aber dann geht keine Seite mehr im
    > Chrome auf. Yay.

    Abgesehen davon, dass ich geschrieben habe, der Endpoint geblockt werden sollte, verwechselst du den Layer. Sollte (wieso auch immer) eine Webseite den Endpoint für die Werbung durch 8.8.8.8 ermitteln, wird 8.8.8.8 eben durch dein Adblock Plugin deiner Wahl geblockt. Dies blockt nicht automatisch alle DNS Abfragen vom OS/Browser.

    Betreibst du einen simplen DNS Resolver, welche bestimmte Domains gar nicht erst auflöst, hast du sowieso auf längerer Zeit ein Problem, da wie ich schon geschrieben habe, immer mehr Werbung über eigene Domains ausgeliefert werden.

    > Das Betriebssystem hat die DNS Konfiguration zur Verfügung zu stellen,
    > nicht irgend eine Applikation. Und so kann ich dann auch wählen welchem
    > Resolver ich vertraue. Oder nicht.

    Dem stimme ich voll und ganz zu. Solange ich DoH entsprechend konfigurieren kann und nicht einsetzen muss, bis eine Auflösung auf OS Ebene geschieht, bin ich glücklich.

  12. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Tuxgamer12 18.07.19 - 12:38

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Aber ein standardisiertes Verfahren wie es
    > mit DoH möglich ist, macht es einfacher.

    Einfacher???

    Sorry, aber ganz so inkompetent ist die gesammte Werbeindustrie auch nicht, dass man es nicht hinbekommen würde z.B. paar IPs in Javascript-Dateien zu schreiben (was ja wohl ausreichen würde und offensichtlich einfacher wäre als einen DoH Resolver zu integrieren).

    => Man will offensichtlich einfach nicht (weil doofe Idee) und spielt lieber Proxy.

    Ganz unabhängig davon, dass deine "dann lade ich den Mist über eine IP statt einer Domain nach" Idee nicht einmal Sinn ergibt. Denn würde das die Werbeindustrie flächenddeckend machen, was glaubst denn wie schnell die Adblocker eine Option hätten "blocke alle HTTP-Requests auf IPs".

  13. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: FreiGeistler 18.07.19 - 21:21

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Das wird definitiv nicht geschehen. Javascript könnte unter Umständen zwar
    > eine IP auflösen, jedoch löst ein OS/Browser unabhängig (und von Javascript
    > unbeeinflussbar) selber die IP auf.
    Genau diese weiche Grenze zwischen System und Anwendung mancher Leute, ist das Problem.

  14. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: FreiGeistler 18.07.19 - 21:27

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > Deshalb: Wenn du DNS-Filter umgehen willst, machst das einfach mit einen
    > Proxy. Also z.B. golem könnte einfach sämtliche Werbung über golem.de/ads
    > ausliefern. Wobei alles, was bei golem.de/ads ankommt, einfach zu
    > adservice.google.de weitergeleitet wird ;).

    Ja, prima.
    Das könnte man sogar schon via CSS blocken.
    [href^="golem.de/ads"] {display: none;}

    Noch einfacher in der hosts. Statt X Urls hat man dann nur:
    0.0.0.0 golem.de/ads

    Und man hätte mit eine Streich keine Werbung mehr auf golem.de.

  15. Re: Computerbesitzer verlieheren Kontrolle über DNS

    Autor: Leseratte10 21.07.19 - 18:51

    Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren. Die /etc/hosts ist für Hostnamen da, und "golem.de/ads" ist kein Hostname.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. über experteer GmbH, Stuttgart
  3. itsc GmbH, Hannover
  4. operational services GmbH & Co. KG, Wolfsburg, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 139,00€ (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline

  1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
    Open Source
    NPM-Chef geht schon nach wenigen Monaten wieder

    Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

  2. Google: Chrome soll bessere Tab-Verwaltung bekommen
    Google
    Chrome soll bessere Tab-Verwaltung bekommen

    Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

  3. Samsung: Galaxy Fold bleibt extrem empfindlich
    Samsung
    Galaxy Fold bleibt extrem empfindlich

    Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


  1. 12:30

  2. 11:51

  3. 11:21

  4. 10:51

  5. 09:57

  6. 19:00

  7. 18:30

  8. 17:55