DoH e DoT

Loll3r

Ciao ragazzi! Volevo sapere quali sono i vantaggi/svantaggi di usare il DoT oppure il DoH / entrambi, vedo molti pareri su internet anche discordanti tra loro, quindi volevo saperlo da qualcuno che ne mastica. Grazie in anticipo!

edofullo

Loll3r vantaggi

Il tuo ISP non può vedere le tue query DNS
Sfuggi all'oscuramento dei siti web da parte delle autorità
Ti assicuri che alle query risponda sempre la persona che dovrebbe risponderti
Sfuggi a molti parental control

Loll3r svantaggi

Tempo di risposta maggiore (spesso impercepibile)
Hai spostato il problema, ora non ti fidi più del tuo ISP ma ti devi fidare di chi ti eroga il servizio DNS (Cloudflare, Google, ...)

mark129

https://forum.fibra.click/d/8439-differenza-doh-e-dot/7

Loll3r

mark129 Oof, che svista ahaha

Loll3r

edofullo Mmh ma questo per entrambi oppure solo DoT o solo DoH?

edofullo

Loll3r Entrambi, l'unica differenza in termini pratici è che DoH è più difficile (direi quasi impossibile, ma verrò smentito) da bloccare.

DoT può essere bloccato facilmente da ISP o amministratori di rete.

Loll3r

edofullo Ho capito, grazie per la delucidazione!

LucaTheHacker

edofullo DoT può essere bloccato facilmente da ISP o amministratori di rete.

Basta chiudere la 853, in teoria.

edofullo direi quasi impossibile

A meno che tu viva in paesi dove l'https è vietato, sì, dovrebbe esserlo.
Qualche nome sulla lista ci sarebbe già, ma l'italia fortunatamente non è tra essi.
"When cryptography is outlawed, bayl bhgynjf jvyy unir cevinpl"

[cancellato]

edofullo DoH è più difficile (direi quasi impossibile, ma verrò smentito) da bloccare.

Devi pur sempre connetterti ad un IP - si può cominciare a bloccare quello (a meno che non eroghi altri servizi essenziali).

edofullo

[cancellato] Devi pur sempre connetterti ad un IP - si può cominciare a bloccare quello (a meno che non eroghi altri servizi essenziali).

Si, ma non è che ce n'è uno di server DoH, buona fortuna a bloccarli tutti.

[cancellato]

edofullo Hint: esistono le liste di categorizzazione per gli apparati enterprise... aggiornate svariate volte all'ora. 😉

edofullo

[cancellato] Va bene, infatti ho scritto "ma verrò smentito" per qualcosa.

Con abbastanza soldi si può fare tutto, mettiamola così: "nel 99.99% dei casi gli amministratori di rete non si mettono a bloccare gli IP di tutti i server DoH che esistono rischiando pure di bloccare qualcosa che non dovevano"

Non era il punto della discussione.

[cancellato]

edofullo Dipende da dove lavori. In situazioni ove la sicurezza è paramount, tutti i dipendenti sono sotto HTTPS Inspection da parte del datore di lavoro (meglio, dei firewall di navigazione, non è che c'è il sistemista calvo e torvo a guardare bit per bit...). E in quel caso le query DNSoverHTTPS risplendono come gemme al sole. 😉

E prima che si dica "eh ma la crittografia, il man-in-the-middle"... lo accetti quando firmi il contratto di lavoro, se non ti sta bene ti dicono "quella è la porta, arrivederci e grazie.". 😉

LucaTheHacker

[cancellato] SRP: HELO

edofullo

[cancellato] Massì certo, ma a meno che non vivi in un paese in cui il governo impone che tutti i PC abbiano la CA del governo nell'elenco di quelle trusted sul tuo dispositivo quello non funziona.

Non funziona in aereoporto, in hotel, in università, da starbucks, eccetera.
DoT te lo possono bloccare molto velocemente per indurti a usare DNS "normale", intercettare le query e vendere i tuoi dati.

Nulla è infallibile.

[cancellato]

LucaTheHacker Guarda che chi fa questi strumenti le RFC le conosce... e tipicamente tutto quello che non gli aggrada lo scarta a prescindere. I giochetti durano poco.

edofullo Certo, il succo del discorso è che son tutti metodi per cercare di migliorare l'aspetto privacy (anche se come dicevi giustamente sposti il problema da un punto all'altro), e se la rete non può vedere le query, può comunque vedere il traffico, gli IP cui ti colleghi e nella maggior parte dei casi anche il nome host pur con connessioni cifrate (nell'handshake TLS è in chiaro per far funzionare lo SNI).
Per essere più tranquillo dovresti usare una VPN, ma again è un spostare il problema... se è una tua VPN, il traffico ti esce da qualche parte, se è una commerciale peggio che peggio, anche quelle dichiarate no-log si è scoperto che in realtà di dati ne tiravano fuori eccome.

LucaTheHacker

[cancellato] Guarda che chi fa questi strumenti le RFC le conosce... e tipicamente tutto quello che non gli aggrada lo scarta a prescindere. I giochetti durano poco.

Meglio avere un servizio non funzionante piuttosto che i tuoi dati in giro, non pensi?

(forse dovrei riformulare)

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile