Differenza DoH e DoT

fede00 · 2020-06-30T21:14:43+00:00

Buonasera, ho cercato questa domanda un pò sul web ma non ho trovato risposte molto esaurienti. Che differenza c'è tra il DNS over HTTPS e il DNS over TLS?

[cancellato]

[cancellato] . Semplicemente è infattibile per latenze e perché non sfrutteresti le cache dei tuoi "vicini" avere un DNS ricorsivo in ogni macchina,

Ma chissenefrega della latenza della prima richiesta. Il problema è esattamente "hai chiesto ad un resolver cache-ricorsivo esterno di gestire la catena per te" - quello significa che metti tutto nelle mani di pochissime entità che vedono e controllano tutto. Che poi per evidenti questioni di prestazioni quella entità abbia più sistemi che rispondono non cambia nulla, è tutto è accentrato nelle mani di pochissimi, i soli che hanno le risorse per tenere in piedi questi sistemi. Per te magari non è un problema, per me sì.

edofullo

[cancellato] Ti ricordo la telemetria non disattivabile (ufficialmente) in Windows 10, tanto per dirne una.

Ci sarà un motivo per cui sono su Linux (Manjaro/KDE) da 2 anni ormai 😉
Però hai ragione

[cancellato] Ci stanno già lavorando per Windows10 a quanto ho letto... dovrebbe utilizzare i DNS impostati provando dapprima in DoH o DoT, e solo poi in plain.

Secondo me un opzione nel primo setup è la cosa giusta, tanto già ce ne sono 500 per settare windows la prima volta, una in più o una in meno non cambia molto.

Sicuramente comunque se facessero come dici tu sarebbe già un buon primo passo

[cancellato] È esattamente per questo motivo che ne vai ad inserire più di uno nelle config, perché o si distribuisce il carico in round robin, o comunque ne hai uno "di scorta" quando uno va down.

Ok, perchè allora non lo fanno con DoH? Se lo facessero con un buon numero di server cadrebbe l'argomentazione dell'internet centralizzato.

[cancellato]

edofullo Ok, perchè allora non lo fanno con DoH? Se lo facessero con un buon numero di server cadrebbe l'argomentazione dell'internet centralizzato.

Perché costa soldi tenere in piedi la baracca, e perché non è negli scopi del Do*, quantopiù rendere indecifrabili al provider le query stesse.
E alla fine come detto anche adesso vai ad utilizzare uno (o due) server DNS ricorsivi, quindi il concetto non cambia.

Centralizzazione comunque vuol dire un'altra cosa, ovvero se tutti i domini fossero definiti in un unico servizio, ma non è quello che accade con i DNS ricorsivi esterni, questi per voi sono solo una cache.
Stiamo (se vogliamo brevemente filosofare, non troppo altrimenti i mod ci cazziano) già vivendo un epoca di centralizzazione "dell'internet" per come lo conosciamo: sempre più traffico passa per CDN e big Cloud provider, andando a far morire quella pletora di piccoli provider e hosting service che hanno fatto la fortuna di internet nella fine degli anni '90-primi '00.

[cancellato]

[cancellato] quantopiù rendere indecifrabili al provider le query stesse.

Cosa cambia rispetto al fatto che Google o Cloudflare vedano tutto e di più? Ti fidi più di loro che del tuo provider? Mentre quest'ultimo è almeno soggetto alle leggi locali Google ti fa marameo dagli USA - in più entrambe sono soggette al CLOUD Act che permette alle agenzie investigative USA di farsi dare i dati in possesso delle società USA ovunque siano nel mondo.

Difatto se i server che rispondono alle query degli utenti diventano solo pochi che i dati originali siano in un qualche server DNS remoto non cambia nulla. Anzi, aspettati che prima o poi diranno "ma perché gestire i tuoi server DNS? Lascia fare a noi, metti tutto sui nostri server" - anzi, lo fanno già. Come con la posta elettronica.

Il fatto che stiamo vivendo in un'epoca di centralizzazione non significa che dobbiamo chiudere gli occhi e applaudire....

[cancellato]

[cancellato] Il fatto che stiamo vivendo in un'epoca di centralizzazione non significa che dobbiamo chiudere gli occhi e applaudire....

Ma io non sto dicendo questo, e non sto dicendo che tu non abbia ragione sia chiaro.
Sto solo dicendo che chiamare un resolver ricorsivo come 8.8.8.8 in UDP/53, in DoT o DoH, che differenza fa?

Se fai tu le tue query ricorsive di risoluzione non devi nascondere niente a nessuno, e quindi il Do{T,H} non ha senso (tanto tracciano le query out che sono giocoforza plain).

Come avrai capito, io non ho un'opinione così positiva del DoT/DoH, sia perché in ottica enterprise crea più problemi che altro, sia perché come dici tu accentra nelle mani di chi mette in piedi tale servizio tutti i dati di risoluzione, oltre ad appesantire oltremodo un protocollo nato e pensato proprio per essere efficiente e agile sul fronte di una ipotetica maggior privacy da parte degli operatori (ok, nascondi le query... ma il traffico che poi fai verso l'host da dove passa?).

PS: Google, Amazon, Cloudflare e altre aziende, operando sul territorio europeo sono soggette al GDPR.

edofullo

[cancellato] nato e pensato proprio per essere efficiente e agile sul fronte di una ipotetica maggior privacy da parte degli operatori (ok, nascondi le query... ma il traffico che poi fai verso l'host da dove passa?)

Le query DNS sono una delle ultime cose che viaggiano in chiaro su internet, e penso che vadano criptate esattamente come è criptato tutto il resto.

Cosa utilissima anche su reti di Starbucks, Burger King o della biblioteca dove vai a studiare e scrocchi il WiFi pubblico.

In ambito enterprise non so esattamente come funzioni ma son sicuro che se una cosa del genere venisse implemetata a livello di OS verranno di certo aggiunte le Group Policy / MDM per disattivarla.

Se una azienda non ha i computer in dominio allora vuol dire che ha talmente pochi PC per cui può disattivarla a mano.

Le uniche che rimarrebbero fregate sarebbero le aziende BYOD, ma secondo me è relativamente giusto così.

[cancellato]

Perché il diavolo è nei dettagli. Ovviamente se chiami gli stessi server dalle stesse applicazioni nello stesso modo cambia poco, e puoi perfino averne dei vantaggi - tranne che il protocollo HTTP fornisce molte più informazioni sul client invocante di quanto faccia quello DNS, anche quando si sposta fra reti diverse.

Ma al momento è alquanto facile usare il server DNS che vuoi. Da quelli sui router ai PiHole o altro. Ed è molto difficile assegnare le richieste DNS ad uno specifico client.

Ci sono poi i forward condizionali dove un server DNS invia direttamente le query a specifici server DNS, vedi ad esempio come funziona SIP per certi provider - ma quello si usa anche per altri scopi.

Con DoT e specialmente DoH diventa più difficile, mentre diventa più facile per le applicazioni bypassare qualsiasi restrizione l'utente possa mettere in pratica per bloccare richieste non voluta. Se da un lato può servire ad evitare censure, dall'alto permette di bypassare i filtri che bloccano ad esempio tutti i siti di advertising, e raccolta di dati dietro le spalle dell'utente o peggio. Certo, se sei esperto a sufficienza puoi fare qualcosa, ma si alza l'asticella e l'utente meno capace rimane molto più esposto.

Comunque diventa ancora più facile implementare qualsiasi censura a livello di pochissimi servizi DNS che bloccare milioni di server. Pensa come diventa più facile per il primo Pillon che passa....

[cancellato] PS: Google, Amazon, Cloudflare e altre aziende, operando sul territorio europeo sono soggette al GDPR.

Vedremo cosa succederà quando CLOUD Act e GDPR andranno in collisione. Visto che i capoccioni sono cittadini USA, a cosa credi daranno la precedenza?

[cancellato]

edofullo Le query DNS sono una delle ultime cose che viaggiano in chiaro su internet, e penso che vadano criptate esattamente come è criptato tutto il resto.

Opinabile... l'IP di destinazione è necessariamente in chiaro, e anche in caso di connessioni TLS i browser inseriscono gli header SNI in chiaro nell'handshake contenenti il nome host cui ci si vuol connettere (per far scegliere il certificato/profilo giusto in presenza di più siti diversi sullo stesso IP:443), hanno iniziato ad offuscarlo solo a partire dal TLSv1.3, e a memoria ci hanno trovato problemi in questo.

edofullo Cosa utilissima anche su reti di Starbucks, Burger King o della biblioteca dove vai a studiare e scrocchi il WiFi pubblico.

Se vuoi privacy devi passare per una VPN, poco da fare... E sposti il problema privacy al provider scelto per questa (a meno che non ne fai una selfhosted).

edofullo In ambito enterprise non so esattamente come funzioni ma son sicuro che se una cosa del genere venisse implemetata a livello di OS verranno di certo aggiunte le Group Policy / MDM per disattivarla.

Perfetto, ma le app "baHstarde" che applicano DoH in autonomia per risolvere destinazioni che sarebbero filtrate a livello resolver (es. virus/ransomware tanto per dirne due)? Quelli mica rispettano le group policy...

edofullo Le uniche che rimarrebbero fregate sarebbero le aziende BYOD, ma secondo me è relativamente giusto così.

Ma anche no, purtroppo.. e non è "giusto così"...

edofullo

[cancellato] l'IP di destinazione è necessariamente in chiaro

Con CDN, virtual servers e compagni bella dell'IP di destinazione non te ne fai molto, al massimo riesci a capire su che provider si appoggia il server.

[cancellato] in caso di connessioni TLS i browser inseriscono gli header SNI in chiaro nell'handshake contenenti il nome host cui ci si vuol connettere

Altra cosa da fixare, Cloudflare ci sta provando

[cancellato] Se vuoi privacy devi passare per una VPN, poco da fare... E sposti il problema privacy al provider scelto per questa (a meno che non ne fai una selfhosted).

Hai ragione ma vallo a dire ad Average Joe (anche se ormai le compagnie VPN stanno facendo una pubblicità enorme, chissa perchè...)
Una volta che le query DNS sono oscurate difficilmente con gli IP di destinazione riesci a fare un profilo abbastanza dettagliato da vendere a qualche agenzia di marketing mirato.

[cancellato] Perfetto, ma le app "baHstarde" che applicano DoH in autonomia per risolvere destinazioni che sarebbero filtrate a livello resolver (es. virus/ransomware tanto per dirne due)? Quelli mica rispettano le group policy...

Su questo ti do ragione, dovrebbe essere una impostazione a livello di OS e controllabile in modo centralizzato.
Le app potrebbero forzare DoH solo se non è stato esplicitamente escluso da una group policy.

Però qualcuno dovrà ben iniziare, ora che l'ha fatto Mozilla anche MikroTik, Apple, Microsoft ci stanno mettendo le mani.

Quando verrà più diffuso a livello di OS Mozilla potrebbe tornare a usare i classici resolver impostati nell'OS.

[cancellato] Ma anche no, purtroppo.. e non è "giusto così"...

Mi sono spiegato male qui, non intendevo che le aziende BYOD "si attaccano al tram", una soluzione si può trovare.
Firefox ogni volta che parte fa una richiesta al resolver normale per una query specifica, se non riceve risposta abilita DoH altrementi no.

Non so come funzioni questa richiesta nel senso che bisognerebbe trovare il modo di non considerare risposte che arrivano da DNS non locali.
Non so se mi son spiegato, potenzialmente TIM o altri inserendo questa entry nei loro DNS potrebbero bloccare DoH a tutti i clienti, questo non va bene.

D'altra parte però far usare i propri dispositivi per motivi di lavoro e tenerci informazioni riservate non mi sembra una bellissima idea sinceramente, DoH o non DoH.

Disclaimer: non ho mai lavorato nel settore (ma mi piacerebbe molto fare qualche lavoretto) quindi metto comunque le mani in alto e lascio la paola agli esperti

[cancellato]

edofullo Una volta che le query DNS sono oscurate difficilmente con gli IP di destinazione riesci a fare un profilo abbastanza dettagliato da vendere a qualche agenzia di marketing mirato.

Beh... dipende da che dati cercano le agenzie di analisi, onestamente non saprei che dati cercano.

edofullo dovrebbe essere una impostazione a livello di OS e controllabile in modo centralizzato.
Le app potrebbero forzare DoH solo se non è stato esplicitamente escluso da una group policy.

Sì ma non sposta il discorso di prima: se ho un filtro sui DNS aziendali per bloccare i domini di controllo dei virus, e questo in autonomia risolve mediante DoH, son al punto di partenza.

edofullo ora che l'ha fatto Mozilla anche MikroTik, Apple, Microsoft ci stanno mettendo le mani.

Perché son tutte aziende che stanno conquistando (o cercando di) il mercato americano dove a quanto pare i provider fanno incetta dei dati di navigazione per non ho capito quale scopo, oppure semplicemente è una delle tante paure messe in giro dalle news selvagge (vedasi appunto VPN commerciali)... Ed ecco che cambia la questione se stiamo parlando dell'utenza domestica o corporate... privacy vs accentramento, siam sempre lì, la coperta è corta, alla fine i dati li hanno in mano lo stesso i resolver, e anzi Cloudflare ha dimostrato di alterare alcune risposte nel passato (ok, qui entrerebbe in gioco il DNSSEC, ma quanti client lo verificano?).

edofullo Firefox ogni volta che parte fa una richiesta al resolver normale per una query specifica, se non riceve risposta abilita DoH altrementi no.

Non so come funzioni questa richiesta nel senso che bisognerebbe trovare il modo di non considerare risposte che arrivano da DNS non locali.

Canaray domain. Ma non puoi agevolmente distinguere i DNS "non locali", perché cosa intendi con non locali? Non è raro per le corporate avere i branch office che puntano a risorse dell'HQ... secondo la definizione "domestica" quello è un DNS del provider, ma per te è "buono". E restiamo sempre nell'uso "lecito" di DoH, non quello malevolo.

edofullo D'altra parte però far usare i propri dispositivi per motivi di lavoro e tenerci informazioni riservate non mi sembra una bellissima idea sinceramente, DoH o non DoH.

Lo fanno per risparmiare, come sempre... invece che dover scegliere le macchine per tutti (e hai quello che si lamenta perché voleva dell'altro) rimborsano al dipendente una quota per comprarsi quel che vuole.. non so se ci facciano un affare onestamente, però va tutto nel trend di riduzione del CAPEX operato in ambito enterprise da un po' di anni... ormai anche l'hardware "te lo regalano" a fronte di costi ricorrenti di licenza, senza le quali diventano dei bellissimi fermacarte. Però tirar fuori il cash di colpo fa brutto, e quindi...
Poi arriva l'anno che non hai soldi per rinnovare il budget e invece che avere la piattaforma senza aggiornamenti o supporto, si spegne completamente per mancanza di licenza => ti sei avvolto il cappio al collo da solo.

[cancellato] è alquanto facile usare il server DNS che vuoi. Da quelli sui router ai PiHole o altro. Ed è molto difficile assegnare le richieste DNS ad uno specifico client.

Ok, e il tuo PiHole di casa a chi fa forward? Per default, a google... Il router? Al resolver del provider.
Se vuoi sganciarti devi avere un resolver ricorsivo selfhosted, ma a quel punto ti tracciano per public IP.

[cancellato] Comunque diventa ancora più facile implementare qualsiasi censura a livello di pochissimi servizi DNS che bloccare milioni di server. Pensa come diventa più facile per il primo Pillon che passa....

Perfettamente d'accordo, ma farebbe lo stesso se impostassi 8.8.8.8 o 1.1.1.1 in plain eh, il DoT/DoH non cambia questa situazione.

[cancellato] Vedremo cosa succederà quando CLOUD Act e GDPR andranno in collisione. Visto che i capoccioni sono cittadini USA, a cosa credi daranno la precedenza?

Dipende chi fa denuncia. Il GDPR "vince" per giurisdizione sul territorio europeo, ma non impedisce di usare dati che l'utente fornisce volontariamente, e/o in forma anonimizzata (es. un advert id random ti identifica come soggetto ma non ha legami con la tua persona, quindi per il GDPR è OK).

edofullo

[cancellato] Sì ma non sposta il discorso di prima: se ho un filtro sui DNS aziendali per bloccare i domini di controllo dei virus, e questo in autonomia risolve mediante DoH, son al punto di partenza.

Non essendo del settore non riesco a capire esattamente a cosa ti riferisci.

Se ti riferisci ai virus che chiamano casa usando DoQuellochevuoi non è che cambi molto, basta che esista un server nel mondo che offra il servizio e il DoQuellochevuoi client se lo fanno loro e buonanotte.

[cancellato] (ok, qui entrerebbe in gioco il DNSSEC, ma quanti client lo verificano?).

Questo test passa sia sul mio Firefox fisso che usa PiHole che a sua volta usa DoH di cloudflare sia su Firefox mobile dove ho 1.1.1.1 come risolutore classico udp/53.

Encrypted SNI è ancora in beta penso, per il momento non l'ho attivato.

[cancellato] Non è raro per le corporate avere i branch office che puntano a risorse dell'HQ... secondo la definizione "domestica" quello è un DNS del provider, ma per te è "buono".

Eh si, non so come Firefox tratti questi casi, boh.

[cancellato] E restiamo sempre nell'uso "lecito" di DoH, non quello malevolo.

Quando si parla di uso lecito o uso malevolo non può non venirmi in mente quelli che vogliono delle backdoor alla crittografia end-to-end per "fermare i terroristi".

[cancellato]

[cancellato] Ok, e il tuo PiHole di casa a chi fa forward? Per default, a google...

La differenza è che tutto deve passare per il PiHole che può bloccare tutto quello che l'utente decide di bloccare, e tutto il traffico DNS appare arrivare dall'indirizzo del PiHole, non puoi sapere quanti e quali utenti ci sono dietro.

Se Mozilla o Chrome o l'app vattelapesca usano invece un server DoH di default, questi bypassano il tuo PiHole - devi andare a fare regole più puntuali per bloccarli. Lo stesso vale in ambiente aziendale, il Chrome installato di frodo potrebbe tentare di uscire via HTTPS a meno che non blocchi tutti i server DoH dalla rete interna.

[cancellato] Perfettamente d'accordo, ma farebbe lo stesso se impostassi 8.8.8.8 o 1.1.1.1 in plain eh, il DoT/DoH non cambia questa situazione.

Vero, ma DoH sarà un'ulteriore spinta verso la centralizzazione, perché i sistemi operativi e le applicazioni principali imporranno come default i loro server, e gestire un server HTTP è più complesso (certificati...) - e questo adesso non accade. Ad esempio come impostare il server DoH via DHCP?

[cancellato]

[cancellato] Continuo a sostenere che via IP ti tracciano lo stesso

In una richiesta DNS standard ci sono troppi pochi dati per tracciarti efficacemente (è un protocollo nato prima di Google), e fra NAT e IP che cambiano non è possibile identificare un utente che si sposta. Con HTTP sì, e non ti serve nemmeno l'IP. Il fingerprinting degli utenti non è una novità, lo fanno da un pezzo, tant'è che ci sono proposte per diminuire la quantità di dati che vengono inseriti in una richiesta HTTP - non ne faranno mai nulla finché considerano quei dati oro.

[cancellato] Gli utenti lasciano quello di default lo stesso, che tipicamente è il router che fa funzioni cache+forward a quello che il provider gli assegna via DHCP.

Però è molto più semplice cambiare i server DNS sul DHCP che dover utilizzare group policy o altre amenità per cambiare il provider DoH qua e là in ogni applicazione - sempreché sia modificabile.

[cancellato] n ogni caso per usare DoH ti serve comunque un DNS classico per risolvere l'IP del resolver

No, puoi averli embedded nel sistema operativo o applicazione. Ad esempio è quello che già fa MS per impedire di fare il sinkholing degli endpoint della telemetria da DNS o file host - che vengono bellamente ignorati. Del resto che DNS ti serve per risolvere 8.8.8.8 o 1.1.1.1? Nei certificati TLS puoi anche avere gli IP.

[cancellato] Dipende chi fa denuncia. Il GDPR "vince" per giurisdizione sul territorio europeo,

Sì, ma guarda la fatica che ha fatto Schrem per ottenere qualcosa. Certo, se si muove la Vestager magari qualcosa si ottiene. Poi comunque se negli USA fanno una richiesta tramite CLOUD Act non informano nemmeno lo Stato straniero dal quale arrivano i dati. L'unico che può fare opposizione è l'entità alla quale chiedono i dati. Certo, se e quando lo vieni a sapere puoi tentare di far causa al governo USA perché ha violato la GDPR. Auguri.

[cancellato] Ma alla fine se vogliono tracciarti fan prima con i cookie e gli ID pubblicitari sui dispositivi... son paranoie alla tinfoil hat oltre un certo punto...

Difatti devono a) evitare che blocchi gli endpoint che collezionano dati b) collezionare dati indipendetemente dall'endpoint di destinazione.

[cancellato]

edofullo Non essendo del settore non riesco a capire esattamente a cosa ti riferisci.

Se ti riferisci ai virus che chiamano casa usando DoQuellochevuoi non è che cambi molto, basta che esista un server nel mondo che offra il servizio e il DoQuellochevuoi client se lo fanno loro e buonanotte.

Esattamente. Se metti dei filtri è perché determinati host non vuoi che siano raggiungibili (vale per le corporate quanto per gli smanettoni con PiHole eh, il concetto è lo stesso); ecco che avere le query cifrate ti fa perdere completamente di efficacia i filtri perimetrali.

edofullo Questo test passa sia sul mio Firefox fisso che usa PiHole che a sua volta usa DoH di cloudflare sia su Firefox mobile dove ho 1.1.1.1 come risolutore classico udp/53.

Sì perché hai spuntato la verifica DNSSEC su PiHole, ma non mi ricordo se viene di default o meno. O anzi, se non hai toccato niente può essere l'upstream resolver che lo verifica, ma in questo caso non è detto che il resolver stesso non possa alterare le response. Di fatto è quel che fa PiHole, dandoti 0.0.0.0 al posto del vero record A... se andassi a verificare il DNSSEC in questo caso fallirebbe completamente.

edofullo Quando si parla di uso lecito o uso malevolo non può non venirmi in mente quelli che vogliono delle backdoor alla crittografia end-to-end per "fermare i terroristi".

Guarda il concetto è molto più semplice: chi vuole veramente controllare ti spara dentro l'SSL Inspection e buona notte ai sognatori 😃 (soprattutto in ambito aziendale... ci aveva provato il Kazakistan di recente).

matteocontrini

[cancellato] Kazakistan

[cancellato]

[cancellato] tutto il traffico DNS appare arrivare dall'indirizzo del PiHole, non puoi sapere quanti e quali utenti ci sono dietro.

Idem se non passi da PiHole, a meno di non attivare le EDNS0, le query arrivano al resolver dal tuo IP di NAT.

[cancellato] Ad esempio come impostare il server DoH via DHCP?

Non si può, almeno a quel che so.
C'è un primo draft a riguardo ma onestamente non ne conoscevo l'esistenza se non per questa ricerca specifica, mi sa che non se lo sono filati in tanti.
In ogni caso per usare DoH ti serve comunque un DNS classico per risolvere l'IP del resolver (e già questo dovrebbe far scattare qualche domanda sulle caPzate che son 'sti accrocchi).

[cancellato]

[cancellato] dem se non passi da PiHole, a meno di non attivare le EDNS0, le query arrivano al resolver dal tuo IP di NAT.

Non con DoH - perché nella richiesta HTTP ci sono molti più dati che permettono di fare fingerprinting del client fregandosene dell'IP. E tutto dipenderà da quanto il client DoH spedirà nel messaggio HTTP. DoT da questo punto di vista è meno pericoloso perché comunque è protocollo DNS e di dati utili al fingerprinting cene sono pochi, guarda cosa passa in un header HTTP e la cosa diventa molto diversa.

Devi far diventare il PiHole un server DoH in modo che al server esterno arrivino le richieste fatte dal solo PiHole, così da rendere il client "anonimo". Ovviamente tutte le volte che non passi per un forwarder "anonimizzante" lascerai traccia delle query che hai fatto.

[cancellato] Non si può.

Appunto. Vedi che rischia di diventar difficile avere il controllo sulla propria rete? Se devi cambiare i server su tutti gli OS e su tutte le maledette applicazioni gli utenti si scoraggeranno e lasceranno quelli di default...

[cancellato]

x_term No a quanto so lo vuol fare in America solo se il DNS locale non impedisce la risoluzione del "canary domain"... se invece ci sono dei filtri DNS impostati per bloccarlo non lo attiva e rimane nel DNS classico per garantirne il funzionamento.
Il problema vero ce l'hai con l'information disclosure per tutte le entità che usano DNS split horizon, in cui se si attiva il DoH/DoT hai tentativi di risoluzione di nomi solamente interni che possono essere tracciati dai resolver, oppure i client interni si vedono le risoluzioni "esterne" e non quelle interne se i domini esistono in entrambi i mondi.

[cancellato] Non con DoH - perché nella richiesta HTTP ci sono molti più dati che permettono di fare fingerprinting del client fregandosene dell'IP.

Mah non so sai, bisognerebbe sniffarne una per dirlo con certezza.

[cancellato] guarda cosa passa in un header HTTP e la cosa diventa molto diversa.

Passa quello che il client decide di metterci, al di là dell'obbligatorio Host.

[cancellato] Devi far diventare il PiHole un server DoH in modo che al server esterno arrivino le richieste fatte dal solo PiHole, così da rendere il client "anonimo".

Continuo a sostenere che via IP ti tracciano lo stesso, ed è ciò che traccerebbero anche con un DNS plain in caso di rete NATed (ovvero praticamente la totalità dell'Italia, IPv6 gran pochi).

[cancellato] Appunto. Vedi che rischia di diventar difficile avere il controllo sulla propria rete? Se devi cambiare i server su tutti gli OS e su tutte le maledette applicazioni gli utenti si scoraggeranno e lasceranno quelli di default...

Gli utenti lasciano quello di default lo stesso, che tipicamente è il router che fa funzioni cache+forward a quello che il provider gli assegna via DHCP.

x_term

Ma scusate, io avevo letto che Mozilla avrebbe acceso DoH a livello applicazione solo se il DNS impostato sul client fosse stato compatibile e va su Cloudflare SOLO se quello locale non è compatibile. Quindi se io ho un server DoH in casa (il router, PiHole, quelchelè) Mozilla fa il bravo e usa quello che voglio. No?

[cancellato]

La rana va bollita lentamente...

https://blog.mozilla.org/blog/2020/02/25/firefox-continues-push-to-bring-dns-over-https-by-default-for-us-users/

edofullo

[cancellato] Continuo a sostenere che via IP ti tracciano lo stesso, ed è ciò che traccerebbero anche con un DNS plain in caso di rete NATed (ovvero praticamente la totalità dell'Italia, IPv6 gran pochi).

E come fanno? Ad ogni riavvio del modem cambia l'IP esterno (e penso il Fritz butti giù la PPPoE tutte le notti a mezzanotte proprio per cambiare l'IP)

[cancellato]

edofullo L'ISP sa a chi assegna gli indirizzi... 😉
Senza contare tutti quelli con l'IP statico.

Ma alla fine se vogliono tracciarti fan prima con i cookie e gli ID pubblicitari sui dispositivi... son paranoie alla tinfoil hat oltre un certo punto...

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile