-
DNS-Sperren nur ultima ratio?
Autor: listen242 08.11.19 - 19:43
Bisher nicht einmal das.
Die letzte, die damit um die Ecke kam, war Stopschild-Uschi.
Das Thema hatten wir doch damals schon durchgekaut, und da ging es immerhin um Kinderpronographie. Jedes mal, wenn ich meine, eine selten dumme Idee sei endlich zu den Akten gelegt, gräbt die irgendein Idiot aus, weil er meint, wenn er das vorschlägt, wärs auf einmal toll. -
Re: DNS-Sperren nur ultima ratio?
Autor: Vaako 08.11.19 - 19:59
Ist wie mit den bösen Killerspielen.
-
Re: DNS-Sperren nur ultima ratio?
Autor: miguele 08.11.19 - 20:05
Vaako schrieb:
--------------------------------------------------------------------------------
> Ist wie mit den bösen Killerspielen.
Die werden bald auch per DNS Sperre verboten. Dann haben wir das hinter uns. -
Re: DNS-Sperren nur ultima ratio?
Autor: User_x 08.11.19 - 21:44
Macht man sich dann als Eltern strafbar, wenn man Google als DNS Server im Router einträgt???
Und bestimmt ungewollter Nebeneffek: Mit Google Suchergebnissen steigen dann wieder KiPos und Malwaretising in den Suchergebnissen?! -
Re: DNS-Sperren nur ultima ratio?
Autor: Racer 09.11.19 - 15:08
1. Nein
2. Verstehe die Frag nicht wirklich, tendiere allerdings zum nein. -
Re: DNS-Sperren nur ultima ratio?
Autor: mgutt 09.11.19 - 22:25
In Zeiten von DNS over TLS sind DNS Sperren sowieso nicht mehr möglich. Außer Deutschland verteilt alle SSL Zertifikate als Man in the Middle wie es Kasachstan versucht hat.
-
Re: DNS-Sperren nur ultima ratio?
Autor: User_x 10.11.19 - 15:33
Zu 2. Schon Mal nach pornos uüberber Google Bildersuche gegoogelt - da kommt viel unnützes bzw. Auch verbotenes Material mit. Das will man eigentlich nicht haben wenn man sich direkt eine Tube aussucht...
via Smartphone. -
Re: DNS-Sperren nur ultima ratio?
Autor: buuii 11.11.19 - 13:39
<Meme> DNS Sperren sind doch nur bei KiPo was regt ihr euch so auf </Meme>
Wer hätte nur ahnen können das die Politiker solche "Zensurwerkzeuge" missbrauchen wenn sie erst mal da sind... -
Re: DNS-Sperren nur ultima ratio?
Autor: franzbauer 11.11.19 - 16:28
Wieso sollte das nicht gehen?
Du willst auf prnhb, rufst die Seite auf:
Du <---[verschlüsselte Anfrage]---> DNS
[DNS sucht IP zur Adresse]
DNS <---[verschlüsselte Antwort]---> Du
Da muss sich keiner einklinken um dir eine andere IP zu senden. Das macht der DNS von ganz alleine. -
Re: DNS-Sperren nur ultima ratio?
Autor: mgutt 11.11.19 - 17:06
franzbauer schrieb:
--------------------------------------------------------------------------------
> Wieso sollte das nicht gehen?
> Du willst auf prnhb, rufst die Seite auf:
>
> Du <------> DNS
>
> DNS <------> Du
>
> Da muss sich keiner einklinken um dir eine andere IP zu senden. Das macht
> der DNS von ganz alleine.
Weil bei DNS over TLS kein DNS sichtbar ist. Nimmt man den DNS von Google wäre das nicht wie früher die IP 8.8.8.8, sondern die Domain bzw um genau zu sein die URL https://dns.google/dns-query. Das Zertifikat ist bereits Teil des Browsers und damit kann niemand mitlesen. Genau das ist ja der Vorteil bei DNS over TLS, da keine IP im Klartext angesprochen wird, sondern eine verschlüsselte Domain. Der Staat hätte nun folgende Möglichkeiten, das zu verhindern:
1.) Er blockiert alle IPs, die zu dns.google führen (und natürlich auch alle anderen DNS over TLS Provider. Probleme: Das geht nur in China, da unser Internet nicht nach außen abgeschirmt ist. Außerdem kann jeder einen eigenen DNS over TLS Server aufsetzen.
2.) Er blockiert alle IPs der Pornoseite. Probleme: Auch das geht nur in China. Außerdem müsste man auch noch alle Proxy-Server IPs sperren und alle IPs von VPN-Servern.
3.) Er löst die Domain dns.google auf eine andere Domain auf. Probleme: Alle bekannten Browser kennen die IP bereits. Benötigen also keine DNS Anfrage dafür. Außerdem steht die IP vom staatlichen Server nicht im Zertifikat. Das Zertifikat wäre also ungültig und der Browser wirft eine Fehlermeldung aus.
4.) Der Staat verteilt die Zertifikate und betreibt einen Proxy, der wiederum alle verschlüsselten Verbindungen entschlüsselt und mit dem eigenen Zertifikat neu verschlüsselt. Genau das hat Kasachstan versucht. Die Browser-Hersteller haben daraufhin alle Zertifikate von Kasachstan für ungültig erklärt und die manuelle Installation per Blacklist unterbunden.
Fazit: Nur China bekommt das in den Griff, weil die einfach alles verbieten, was nicht nach deren Nase tanzt.



