Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Vereinigtes Königreich: Provider…

Fefes Antwort

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Fefes Antwort

    Autor: FeepingCreature 05.07.19 - 14:17

    Zitat aus dem Blog:

    "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.

    ...

    Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse."

    Hat also sehr andere Gründe als die ISPs.



    1 mal bearbeitet, zuletzt am 05.07.19 14:18 durch FeepingCreature.

  2. Re: Fefes Antwort

    Autor: demon driver 05.07.19 - 14:57

    FeepingCreature schrieb:
    --------------------------------------------------------------------------------
    > Zitat aus dem Blog:
    >
    > "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in
    > ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan
    > habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code. [...]

    Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und damit Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören, diese Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren (damit meine ich Golem und Heise, nicht dich)?

  3. Re: Fefes Antwort

    Autor: bionade24 05.07.19 - 15:07

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > FeepingCreature schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Zitat aus dem Blog:
    > >
    > > "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in
    > > ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan
    > > habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
    > [...]
    >
    > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt
    > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu
    > blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und damit
    > Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören, diese
    > Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren (damit
    > meine ich Golem und Heise, nicht dich)?

    Im Vergleich zur DNS over TLS hat DoH halt in mehrere Richtungen Overhead, nur für das Argument, dass man 443 ja nicht blocken könne, was Blödsinn ist, dann wird halt die IP der Resolver geblockt, die Verschleierung bringt nix, denn keiner Ruft Cloudflare's Seite über 1.1.1.1 auf. Somit hat fefe recht, DoH ist blödsinn und man sollte nur auf DoT setzen, so wie Google es bereits in Android tut.

    Edit: Port korrigiert

    Bitte BBCode nutzen und nicht einfach Links reinpasten, wir sind hier schließlich in einem IT-Forum!



    1 mal bearbeitet, zuletzt am 05.07.19 15:19 durch bionade24.

  4. Re: Fefes Antwort

    Autor: demon driver 05.07.19 - 15:17

    bionade24 schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > > FeepingCreature schrieb:
    > > ---------------------------------------------------------------------------
    > > > Zitat aus dem Blog:
    > > >
    > > > "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in
    > > > ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan
    > > > habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
    > > [...]
    > >
    > > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt
    > > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu
    > > blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und damit
    > > Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören, diese
    > > Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren (damit
    > > meine ich Golem und Heise, nicht dich)?
    >
    > Im Vergleich zur DNS over TLS hat DoH halt in mehrere Richtungen Overhead,

    Na und? Damit wird es nicht automatisch unsicher. Genau das behauptet Fefe aber implizit.

    > nur für das Argument, dass man 80 ja nicht blocken könne,

    Wenn schon, dann 443...

    > was Blödsinn ist, dann wird halt die IP der Resolver geblockt,

    Sind tausende Resolver, zu denen ständig neue dazu kommen, per IP-Adresse so leicht geblockt wie ein Port?

    > die Verschleierung bringt nix, denn keiner Ruft Cloudflare's Seite über 1.1.1.1 auf.

    Welche 'Verschleierung', und wieso 'Seite'?

    > Somit hat fefe recht,
    > DoH ist blödsinn und man sollte nur auf DoT setzen, so wie Google es
    > bereits in Android tut.

    Du verstehst meinen Einwand nicht. Ich habe nirgends behauptet, dass DoH besser ist als DoT. Ich sage hier ledliglich, dass Fefes Regeln für die Softwareentwicklung aus dem dritten Semester Informatik im Kontext realitätsfremder Quatsch sind.

  5. Re: Fefes Antwort

    Autor: bionade24 05.07.19 - 15:28

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > bionade24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > demon driver schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > > FeepingCreature schrieb:
    > > >
    > ---------------------------------------------------------------------------
    >
    > > > > Zitat aus dem Blog:
    > > > >
    > > > > "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man
    > in
    > > > > ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es
    > getan
    > > > > habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
    > > > [...]
    > > >
    > > > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch
    > jetzt
    > > > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm
    > zu
    > > > blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und
    > damit
    > > > Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören,
    > diese
    > > > Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren
    > (damit
    > > > meine ich Golem und Heise, nicht dich)?
    > >
    > > Im Vergleich zur DNS over TLS hat DoH halt in mehrere Richtungen
    > Overhead,
    >
    > Na und? Damit wird es nicht automatisch unsicher. Genau das behauptet Fefe
    > aber implizit.
    >
    > > nur für das Argument, dass man 80 ja nicht blocken könne,
    >
    > Wenn schon, dann 443...
    >
    > > was Blödsinn ist, dann wird halt die IP der Resolver geblockt,
    >
    > Sind tausende Resolver, zu denen ständig neue dazu kommen, per IP-Adresse
    > so leicht geblockt wie ein Port?
    Wie sollen dort neue IPs hinzukommen? In dem man den JSON auch noch die Adresse für den neuen Resolver hinzufügt? Russland hat schon einfach alle AWS-Adressen geblockt.
    >
    > > die Verschleierung bringt nix, denn keiner Ruft Cloudflare's Seite über
    > 1.1.1.1 auf.
    >
    > Welche 'Verschleierung', und wieso 'Seite'?

    Mozilla und Stengenberg argumentieren auch damit, dass man den Traffic nicht mehr von Web-Traffic unterscheiden könne. Solange aber 1.1.1.1 oder 8.8.8.8 in der SNI steht ist das theoretischer Blödsinn.

    > > Somit hat fefe recht,
    > > DoH ist blödsinn und man sollte nur auf DoT setzen, so wie Google es
    > > bereits in Android tut.
    >
    > Du verstehst meinen Einwand nicht. Ich habe nirgends behauptet, dass DoH
    > besser ist als DoT. Ich sage hier ledliglich, dass Fefes Regeln für die
    > Softwareentwicklung aus dem dritten Semester Informatik im Kontext
    > realitätsfremder Quatsch sind.

    Blödsinn. Auch wenn ich fefe nicht magt, damit dass DoH unnötig komplex ist hat er recht. Im DNS plötzlich Sicherheitslücken zu haben wird uns noch einige unerwartete Disaster bescheren. Klar, hat DoT hier das gleiche Problem, aber dennoch ist die Komplexität durchaus geringer. Mozilla könnte umschwenken, warum sie es nicht tun haben sie so weit ich weiß mit nicht mehr als dem lächerlichen Traffic-Argument von oben und dem Port begründet, aber wahrscheinlich hat CloudFlare ordentlich gezahlt.

  6. Re: Fefes Antwort

    Autor: FeepingCreature 05.07.19 - 15:31

    > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und damit Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören, diese Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren (damit meine ich Golem und Heise, nicht dich)?

    Du gehst vielleicht davon aus, dass hier selbstverständlich klar ist wieso das Unsinn ist, ist es aber nicht. Ich persönlich denke, Fefes Argument hat viel für sich, aber ich bin auch so ein Typ, der lieber OpenRC als SystemD fährt...

    Es ist nicht, als ob moderne Softwareentwicklung inhärent unsicherer ist, in vieler Hinsicht ist sie tatsächlich sicherer. (Managed arrays anstatt Stackbuffer alleine schon.) Aber die Angriffsfläche ist in einer modernen Sprache schon wesentlich größer als C. Jede Abstraktion kann lecken, und moderne Entwicklung baut auf einem ziemlichen Stapel Abstraktion auf. In C ist es sehr leicht, Mist zu bauen, aber er ist auch leichter zu finden. Ich stimme Fefe also nicht zu, *allein* schon wegen buffer overflows, aber ich verstehe seine Perspektive.

  7. Re: Fefes Antwort

    Autor: jffmichi 05.07.19 - 15:35

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > Ich sage hier ledliglich, dass Fefes Regeln für die
    > Softwareentwicklung aus dem dritten Semester Informatik im Kontext
    > realitätsfremder Quatsch sind.

    Sie behaupte also allen Ernstes es sei Quatsch das mehr Komplexität zu mehr Bugs führt?

    Und liebe golem.de Redaktion, den Kritikpunkt der Komplexität als Fehlerquelle in einem Atemzug mit erschwerter Filterung als Unsicherheitsquelle des Internets als "teils sehr fragwürdige Kritik" zu nennen hinterlässt keinen sehr professionellen Eindruck...

    Viele Grüße

  8. Re: Fefes Antwort

    Autor: /mecki78 05.07.19 - 15:40

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt
    > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu
    > blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und damit
    > Blödsinn zu verbreiten.

    Nun, ich bin kein Fan von Fefe und ich bin bei sozial-gesellschaftlichen Themen auch selten seiner Meinung, aber in diesen Punkt gebe ich ihm absolut recht, sowohl von privaten als auch vom professionellen Standpunkt aus.

    Eine Transportverschlüsselung für DNS ist nutzlos, wenn die eigentlichen Daten nicht geschützt sind und jederzeit durch Hacker, Regierungen oder Geheimdienste manipuliert werden können. Eine Absicherung der Daten bringt aber nur DNSSec mit sich. Wenn aber die Daten flächendeckend mit DNSSec abgesichert sind, dann wird keine Transportverschlüsselung mehr benötigt, denn an den Daten war ja nie etwas Geheimes, das sind öffentliche Daten in einer öffentlichen Datenbank und mit DNSSec ist sichergestellt, dass diese nicht unbemerkt unterwegs manipuliert werden können.

    Und für DNSSec ist kein Wechsel des Transportprotokolls und auch kein Wechsel des DNS Protokolls notwendig, da es ein optionales Features ist, das voll rückwärts kompatibel ist, sprich, der Client bekommt die Daten und die Absicherung, aber ihm ist frei gestellt, ob er die Absicherung nutzt. Alte Clients würden sie einfach ignorieren und neue automatisch verwenden, der Wechsel kann also fließend geschehen, alle heutigen DNS Features blieben uneingeschränkt erhalten und bestehende Komponenten können nach und nach ausgetauscht und solange auch erst mal einfach weiter betrieben werden.

    Weder DoH noch DoT kann DNSSec ersetzen, d.h. DNSSec wird so oder so kommen, aber wenn es erst einmal da ist, dann bringt DoH/DoT kaum mehr einen nennenswerten Vorteil, eher im Gegenteil.

    /Mecki



    2 mal bearbeitet, zuletzt am 05.07.19 15:45 durch /mecki78.

  9. Re: Fefes Antwort

    Autor: ikhaya 05.07.19 - 15:46

    Man sollte nicht einzelne Bauteile verdammen die erst zusammen ein stimmiges Gesamtbild ergeben.

    Man möchte sicher gehen dass die DNS Antworten nicht manipuliert wurden: DNSSEC.
    Sie sollen nicht mitlesbar sein: DoH/DoT
    Die Daten die hinterher mit dem nun geheim und vertrauenswürdig aufgelösten Server ausgetauscht werden sollen unter uns bleiben : TLS 1.3

    Damit man auch etwaige SNI Beobachter aussen vor lässt: ESNI.

    Die Teile sind alle für sich wichtig und können unabhängig von einander (zumindestens großteils) eingeführt werden und sollten es auch.

  10. Re: Fefes Antwort

    Autor: /mecki78 05.07.19 - 16:20

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Sie sollen nicht mitlesbar sein: DoH/DoT

    Wenn jemand deinen Internet Datenverkehr überwacht, dann sieht er doch mit welchen Servern du sprichst. Wozu muss er dann wissen, welche DNS Namen du auflöst? Auch wenn du sie per DoT oder DoH auflöst, weiß ich doch hinterher, was du da aufgelöst hast, denn woher sonst hast die IP Adressen des Servers mit dem du als nächstes eine Verbindung aufbaust? Wann bitte hast du den Fall, dass du einen Namen auflöst, um danach nicht mit der IP Adresse aus dem Ergebnis zu kommunizieren?

    Und im öffentlichen Internet taucht bei normalen DNS eine IP nicht auf, weil du den DNS Servers deines ISP fragst und wenn der die Antwort nicht kennt, dann geht er sie suchen, d.h. auf allen öffentliche DNS Servern taucht nur dem seine IP auf; aber der löst Namen für hunderte, tausendene oder Mio von Kunden auf, wie will man da die Anfrage bitte dir zuordnen? Das kann man nur, wenn man zwischen dir und diesem DNS Server sitzt, aber wenn man da sitzt, dann sieht man eh alles was du machst und dann, s.o., brauche ich diese Info gar nicht, weil ich auch so weiß wann du mit welchen Server kommuniziert hast im Netz.

    /Mecki



    1 mal bearbeitet, zuletzt am 05.07.19 16:21 durch /mecki78.

  11. Re: Fefes Antwort

    Autor: Quantium40 05.07.19 - 16:25

    demon driver schrieb:
    > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch jetzt
    > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm zu
    > blasen,

    Nach dem Spruch könnte man vermuten, du bist ein AfD-Mitglied, dass Virenscanner für die Atomindustrie entwickelt und nebenberuflich für die Einführung der Sklaverei kämpft. :)

  12. Re: Fefes Antwort

    Autor: Quantium40 05.07.19 - 16:27

    /mecki78 schrieb:
    > Wann bitte
    > hast du den Fall, dass du einen Namen auflöst, um danach nicht mit der IP
    > Adresse aus dem Ergebnis zu kommunizieren?

    Gewisse moderne Browser lösen ganz gerne schon mal Adressen auf, bevor jemand diese tatsächlich aufruft.

    siehe auch https://developer.mozilla.org/en-US/docs/Web/HTTP/Link_prefetching_FAQ

  13. Re: Fefes Antwort

    Autor: /mecki78 05.07.19 - 17:20

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Gewisse moderne Browser lösen ganz gerne schon mal Adressen auf, bevor
    > jemand diese tatsächlich aufruft.

    Was es aber umso unsinniger macht DNS Anfragen zu überwachen. Wenn ich wissen will ob oder wann ein Nutzer example.com besucht, dann überwache ich ob Anfragen an example.com gesendet werden, weil nur wenn das des Fall ist, hat der Nutzer auch example.com besucht. Was nützt mir die Info, ob irgend eine App des Nutzers auf seine System irgendwann aus welchen Gründen auch immer mal die IP Adresse von example.com abgefragt hat? Wie du hier selber zeigst, das kann ohne sein Wissen passiert sein und sagt daher absolut gar nichts aus und führt nur dazu, dass ich viel Zeit verschwende für die falschen Ziele, egal ob als Hacker oder als Geheimdienst.

    /Mecki

  14. Re: Fefes Antwort

    Autor: mambokurt 05.07.19 - 17:40

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > bionade24 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > demon driver schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > > FeepingCreature schrieb:
    > > >
    > ---------------------------------------------------------------------------
    >
    > > > > Zitat aus dem Blog:
    > > > >
    > > > > "Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man
    > in
    > > > > ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es
    > getan
    > > > > habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
    > > > [...]
    > > >
    > > > Fefe fängt also an, neben seinem sozialgesellschaftlichen Hetzquatsch
    > jetzt
    > > > auch noch realitätsfernen Unfug zum Thema Softwareentwicklung vom Turm
    > zu
    > > > blasen, mithin in seinem hauptberuflichen Metier pure Ideologie und
    > damit
    > > > Blödsinn zu verbreiten. Vielleicht sollte man einfach mal aufhören,
    > diese
    > > > Figur überhaupt in irgendeiner Weise ernstzunehmen und zu zitieren
    > (damit
    > > > meine ich Golem und Heise, nicht dich)?
    > >
    > > Im Vergleich zur DNS over TLS hat DoH halt in mehrere Richtungen
    > Overhead,
    >
    > Na und? Damit wird es nicht automatisch unsicher. Genau das behauptet Fefe
    > aber implizit.
    >

    Wird es nicht? 20.000 Codezeilen haben statistisch gesehen klar mehr Fehler als 200, und 200 lassen sich auch leichter testen.
    Andersrum: je mehr Protokolle und Technik da dahinter hängt um so mehr gehen Daten hin und her, werden umgewandelt, angefasst usw usf. Da ist die Anzahl der Angriffsvektoren schon inheränt viel Größer weil du viel mehr offene Punkte nach außen hast.

    Also wenn du mich fragst: das ist Infrastruktur, das muss einfach und verlässlich sein und nicht 12 Knöpfe und Goldüberzug haben. Guck dir doch bei OpenSsl an wie das ausgeht. Furchtbar.

  15. Re: Fefes Antwort

    Autor: throgh 05.07.19 - 17:44

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Nach dem Spruch könnte man vermuten, du bist ein AfD-Mitglied, dass
    > Virenscanner für die Atomindustrie entwickelt und nebenberuflich für die
    > Einführung der Sklaverei kämpft. :)

    Du meinst das "ernst" oder wolltest nur den Anschein davon - ergo Ironie - mitteilen? Was Herr Leitner dort postuliert ist als Forderung nicht falsch, aber in dem Kontext wird daraus wieder einmal die allseits bekannte, deterministisch wie auch falsche Erklärung.

    Die Forderung nach immer mehr Komplexität, dem sprichwörtlichen "Eine-Schaltfläche-Programm" kommt von vielen Seiten und ist mitnichten nun einem Protokoll und der zugehörigen Implementierung anzulasten. Denken wir das Ganze doch einmal weiter: Ui, weniger Komplexität? Gut, dann bitte auch Webapplikation mit weit weniger Einfallstoren. Am Liebsten dann wieder statische Webseiten und zugehörige, einfache Webserver-Implementierungen, vielleicht noch Verschlüsselung via HTTPS. Und dann bitte auch HTML5 als Standard zurück abwickeln, keine Webvideos und keine Streaming-Anwendungen mehr. Nebenbei bemerkt: Gerade die Videos blähen den Stromverbrauch auch auf.

    Merkst du was? Es ist nicht so hübsch deterministisch erklärbar, nur weil Herr Leitner "etwas" formuliert und Golem wie auch Heise spontan auf diesen Zug hüpfen. Das Gegenteil ist der Fall: Herr Leitner versucht und versuchte bereits in der Vergangenheit sich als der typisch Allwissende zu präsentieren: Seht her, ich habe den Computer verstanden. Ich kann euch nun auch direkt soziale Lösungsalternativen anbieten. Quatsch ist das und seine sich selbst als "elitär" erklärenden Leser*innen rezitieren Alles und übernehmen das unreflektiert. Weil Fefe das ja sagt, muss das wohl richtig sein!

    Herrje! Und er hat auch schon "mal einen DNS-Resolver" programmiert ... ist die wirklich kürzeste Form von "Ich bin der Held vom Erdbeerfeld!". Darf ich dann auch? Ich habe auch schon Dienstapplikationen mit möglichst einer klaren Aufgabe entwickelt. War zwar nicht ganz so einfach, aber darf ich jetzt auch "elitär" daher schreiben und mir ein Urteil erlauben ohne mehr Einsicht zu nehmen oder nehmen zu wollen? Und ich bin beileibe kein Freund von Mozilla respektive Firefox in seiner derzeitigen Form und nutze lieber Derivate. Dennoch sind diese schnellen Querschüsse von Fefe mehr als nur enervierend und neben störend auch mitunter vermitteln sie irgendwas zwischen "gar kein Hintergrund" und "Halbwissen". Einfach nur noch gruselig und Herr Leitner gibt sich leider ebenso wie Hadmut Danisch, wobei Letztgenannter sogar noch Einiges an obigem Verhalten drauflegt und geradezu Widerliches verfasst. Beide sind sie aber als Quellangaben ... nun ja, eher nicht bitte.

    GNU/Linux-libre: Eine Wahlfreiheit zu haben ist besser als sich der reinen Bequemlichkeit hinzugeben, auch wenn das nicht immer einfach ist!

    Hyperbola GNU/Linux | Alpine Linux | GuixSD | Trisquel 7

    Kein Freund von Schubladen, nimmt aber gern Hafermilch und Kekse, sofern er in eine Solche gestopft werden soll. Danke vorab dann!



    4 mal bearbeitet, zuletzt am 05.07.19 17:51 durch throgh.

  16. Re: Fefes Antwort

    Autor: Tuxgamer12 05.07.19 - 18:11

    bionade24 schrieb:
    --------------------------------------------------------------------------------
    > nur für das Argument, dass man 443 ja nicht blocken könne, was Blödsinn
    > ist, dann wird halt die IP der Resolver geblockt, die Verschleierung bringt
    > nix, denn keiner Ruft Cloudflare's Seite über 1.1.1.1 auf. Somit hat fefe
    > recht, DoH ist blödsinn und man sollte nur auf DoT setzen, so wie Google es
    > bereits in Android tut.

    PROXY!!!

    Natürlich verbindest du dich nicht direkt mit 1.1.1.1, wenn du Probleme hast mit Zensur. Sondern mit irgendeinen Server, der gerade Proxy für z.B. 1.1.1.1 spielt.
    Also was einzurichten wirklich eine Sache von 5 Minuten ist ;).

    Und jetzt kommt das schöne: Hinter einer IP können sich mehrere Webserver befinden. Und mit DoH auch ein DNS-Server befinden.

    Extremes Beispiel: Brauchst nur einen einzigen Server und Cloudflare dazu mieten und schnell passende Software drauf. Das könnte sogar ich machen.
    Und schon hättest du einen DNS-Server für die ganze Welt. Den - würde den jemand blocken wollen - Hundertausende Websiten gleich mit blocken müsste.

  17. Re: Fefes Antwort

    Autor: /mecki78 05.07.19 - 18:15

    throgh schrieb:
    --------------------------------------------------------------------------------
    > Die Forderung nach immer mehr Komplexität, dem sprichwörtlichen
    > "Eine-Schaltfläche-Programm" kommt von vielen Seiten und ist mitnichten nun
    > einem Protokoll und der zugehörigen Implementierung anzulasten. Denken wir
    > das Ganze doch einmal weiter: Ui, weniger Komplexität? Gut, dann bitte auch
    > Webapplikation mit weit weniger Einfallstoren. Am Liebsten dann wieder
    > statische Webseiten und zugehörige, einfache Webserver-Implementierungen,
    > vielleicht noch Verschlüsselung via HTTPS. Und dann bitte auch HTML5 als
    > Standard zurück abwickeln, keine Webvideos und keine Streaming-Anwendungen
    > mehr. Nebenbei bemerkt: Gerade die Videos blähen den Stromverbrauch auch
    > auf.

    Fefe hat also unrecht, weil du hier Äpfel mit Birnen vergleichst?

    Natürlich darf ein Standard so komplex sein wie nötig, aber es gibt keinen Grund warum er deutlich komplexer als nötig sein sollte. Es gibt keine Grund für den Einsatz von JSON und es gibt keinen Grund für den Einsatz von HTTP.

    Wenn du nur den Transportweg zwischen Server und Client absichern willst, und das halte ich ja grundsätzliche für Unfug, siehe hier:

    https://forum.golem.de/kommentare/internet/vereinigtes-koenigreich-provider-organisation-haelt-mozilla-fuer-internetschurken/fefes-antwort/127535,5415182,5415277,read.html#msg-5415277

    hier:

    https://forum.golem.de/kommentare/internet/vereinigtes-koenigreich-provider-organisation-haelt-mozilla-fuer-internetschurken/fefes-antwort/127535,5415182,5415300,read.html#msg-5415300

    und hier:

    https://forum.golem.de/kommentare/internet/vereinigtes-koenigreich-provider-organisation-haelt-mozilla-fuer-internetschurken/fefes-antwort/127535,5415182,5415349,read.html#msg-5415349

    warum sicherst du dann nicht einfach nur den Transportweg ab? Denn das ist doch genau das, was du eigentlich tun wolltest. Und wenn du nur das tust, dann landest du bei DoT und garantiert nicht be DoH. DoH kommt dabei raus, wenn dein einziges Werkzeug ein Hammer ist und du daher mit aller Gewalt aus jeden Problem einen Nagel machen musst.

    Und um einen DNS Server DoT beizubringen, musst du nicht einmal den DNS Server Code selber anfassen. Ich schreibe dir ein Ruby Script (und auch das wird nicht allzu groß), das jeden DNS Server zu einem DoT DNS Server machen, ohne dabei auch nur eine Zeile Code des DNS Servers anfassen zu müssen.

    Als Programmierer folgst du immer der Maxime: Die einfachste Lösung gewinnt, außer du kannst eine komplexere Lösung rechtfertigen. Und ich sehe keinerlei Rechtfertigung für DoH. Gerade im Netzwerkbereich hat sich immer die einfachste Lösung durchgesetzt. Ethernet war damals das einfachste Netzwerk seiner Art, alle Konkurrenzverfahren waren komplexer. IP war damals das einfachste Routing Protokoll seiner Art, alle anderen Protokolle waren komplexer. DNS hat sich gerade aufgrund seiner Einfachheit durchgesetzt und muss heute fast in einem Atemzug mit TCP, UDP und ICMP genannt werden.

    /Mecki

  18. Re: Fefes Antwort

    Autor: throgh 05.07.19 - 18:25

    Und ein grandioses Beispiel von "Ich habe den Text nicht gelesen!" lieferst du gerade, richtig? Ich habe Herrn Leitner auch Recht gegeben aber auf seine desaströse Vorgehensweise der Pauschalisierung vornehmlich hingewiesen. Denn genau dort wird konstruiert. Mir ist durchweg klar was du beschreibst. Dennoch kommt es auch immer auf den Kontext an. Warum werden andere Bestandteile nicht ebenso kritisiert? Wie wäre es beispielsweise mit systemd? Aber wenn Mozilla das macht, ist es böse? Er könnte sehr viele Abläufe und Vorgänge kritisieren, sich darauf fokussieren und statt passiv-aggressiv konstruktiv an der Auflösung solcher Fehlentscheidungen mitwirken. Ich finde das gesamte Konzept dieses Protokolls mitnichten korrekt. Und ich finde ebenso die Aussagen von Herrn Leitner deplaziert. Das ist nämlich selektive Konstruktion von Feindbildern und legitimiert zudem auch noch weitergehende Ignoranz seitens Mozilla. Mir wäre es lieber die Fehlentscheidungen - und das Protokoll ist eine Solche - würden sukzessive und mit Fokus bearbeitet werden.

    Was wird stattdessen nun mit dem Beitrag von Herrn Leitner erreicht? Denn dieser dürfte schon binnen weniger Stunden bei der nächsten "Neuigkeit" sein - oder wie auch immer er das nennt. Und Mozilla? Verändert sich da etwas zum Besseren dadurch jetzt? Wohl kaum.

    GNU/Linux-libre: Eine Wahlfreiheit zu haben ist besser als sich der reinen Bequemlichkeit hinzugeben, auch wenn das nicht immer einfach ist!

    Hyperbola GNU/Linux | Alpine Linux | GuixSD | Trisquel 7

    Kein Freund von Schubladen, nimmt aber gern Hafermilch und Kekse, sofern er in eine Solche gestopft werden soll. Danke vorab dann!



    2 mal bearbeitet, zuletzt am 05.07.19 18:40 durch throgh.

  19. Re: Fefes Antwort

    Autor: Anonymer Nutzer 05.07.19 - 19:58

    doch es gibt den einzigen grund der sich lohnt, es verkauft sich an all die deppen dort draußen wesentlich besser wenn man sagen kann man hat viel unternommen und noch mehr in aussicht stellt, als wenn man ehrlich ist und sagt es ist eh schon lange kaputt und noch einen daraufsetzen rettet auch nichts/macht es nur noch kaputter ...

  20. Re: Fefes Antwort

    Autor: RipClaw 05.07.19 - 20:30

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > ikhaya schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sie sollen nicht mitlesbar sein: DoH/DoT
    >
    > Wenn jemand deinen Internet Datenverkehr überwacht, dann sieht er doch mit
    > welchen Servern du sprichst. Wozu muss er dann wissen, welche DNS Namen du
    > auflöst?

    Wenn du mit einem Server der z.B. in der Azure oder Amazon Cloud steht eine Verbindung aufbauen willst dann ist der hinter einem Reverse Proxy, hinter dem auch tausende andere Seiten sind. Signal hat das z.B. ausgenutzt indem sie sich lt. SNI mit einer einem bekannten Onlineshop verbunden haben aber dann haben sie ihren eigenen Host aufgerufen. So hat man ein paar Firewalls in Ländern ausgetrickst die gerne den Internetverkehr überwachen.



    1 mal bearbeitet, zuletzt am 05.07.19 20:30 durch RipClaw.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. IT-Systemhaus Dresden GmbH, Dresden
  2. MVV Trading GmbH, Mannheim
  3. Hong Kong Economic and Trade Office, Berlin
  4. Hochschule Heilbronn, Heilbronn-Sontheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 149,99€ (Release noch nicht bekannt)
  2. 4,31€
  3. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

  1. UMTS: 3G-Abschaltung kein Thema für die Bundesregierung
    UMTS
    3G-Abschaltung kein Thema für die Bundesregierung

    Nutzer, die kein LTE in ihren Verträgen festgeschrieben haben, sollten wechseln, da 3G zunehmend abgeschaltet werde. Das erklärte das Bundesverkehrsministerium und sieht keinen Grund zum Eingreifen.

  2. P3 Group: Wo die Mobilfunkqualität in Deutschland am niedrigsten ist
    P3 Group
    Wo die Mobilfunkqualität in Deutschland am niedrigsten ist

    Die Qualität des Mobilfunks in Deutschland ist in den einzelnen Bundesländern sehr unterschiedlich. Dort, wo Funklöcher gerade ein wichtiges Thema sind, ist die Versorgung gar nicht so schlecht.

  3. Mecklenburg-Vorpommern: Funkmastenprogramm verzögert sich
    Mecklenburg-Vorpommern
    Funkmastenprogramm verzögert sich

    Wegen fehlender Zustimmung der EU ist das Geld für ein Mobilfunkprogramm in Mecklenburg-Vorpommern noch nicht verfügbar. Dabei hat das Bundesland laut einer P3-Messung große Probleme.


  1. 18:00

  2. 18:00

  3. 17:41

  4. 16:34

  5. 15:44

  6. 14:42

  7. 14:10

  8. 12:59