Portada
Hace 4 años | Por ccguy a eff.org
Publicado hace 4 años por ccguy a eff.org
El DNS cifrado podría ayudar a cerrar la mayor brecha de privacidad en Internet. ¿Por qué algunos están en contra? [ENG]

El DNS cifrado podría ayudar a cerrar la mayor brecha de privacidad en Internet. ¿Por qué algunos están en contra? [ENG]

 eff.org

Gracias al éxito de proyectos como Let's Encrypt y los recientes cambios de UX en los navegadores, la mayoría de las cargas de página están ahora encriptadas con TLS. Pero DNS, el sistema que busca la dirección IP a partir del nombre del sitio permanece desprotegido sin cifrado. Debido a esto, cualquier persona que se encuentre en el camino desde su red hasta su resolver de DNS (donde los nombres de dominio se convierten en direcciones IP) puede recopilar información sobre los sitios que visita.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2k 51

Comentarios

ccguy
autor
editado

#3 Lo tienes tan fácil como buscar

https://www.meneame.net/search?q=anteriormente en meneame&w=comments&p=&s=&h=&o=&u=

Y ver qué ha pasado con casi todas las noticias que tienen ese texto en los comentarios.

Por cierto para ser admin lo de "sólo para racismo, insultos, spam..." del botón rojo te lo pasas por donde quieres, ¿no?

V 15
K 132
zoezoe
editado

#4

> Y ver qué ha pasado con casi todas las noticias que tienen ese texto en los comentarios.

No tengo que ver nada...la carga de la prueba de que la mayoría no eran duplicadas, refritos, cansinas, copypateados, etc., etc., la tienes que documentar tú que eres quien está acusando

[edited] Y mejor lo dejamos que el envío no merece este OT

V 10
K 4
insulabarataria

#5 en esto también apoyo a #4 . si un usuario entra en los comentarios y ve eso, puede votar duplicada sin pinchar en el enlace y ver que no es duplivada

V 9
K 94
D

#5 ¿Dónde dices que habla de "mayoría"?

V 4
K 54
neo1999

#5 Di que sí, todo envío es duplicado hasta que se demuestre lo contrario

V 0
K 10
buscoinfo

#5 No tengo que ver nada...la carga de la prueba de que la mayoría no eran duplicadas, refritos, cansinas, copypateados, etc., etc., la tienes que documentar tú que eres quien está acusando

Perdona, pero aquí la que vino acusando de que la noticia es duplicada eres tú, así que te corresponde a ti demostrarlo. Y no, no vale que enlaces noticias donde aparece Let's Encrypt, porque eso no demuestra nada. ¿Tiramos todas las noticias donde aparezca Pablo Iglesias, por ejemplo, en base a una búsqueda con su nombre?

V 1
K 20
zoezoe

#4

> Por cierto para ser admin lo de "sólo para racismo, insultos, spam..." del botón rojo te lo pasas por donde quieres, ¿no?

No sé a qué te refieres, pero soy multitarea...puedo ser un usuario como lo seas tú u otro cualquiera (también me llevo mis strikes) y a la vez señalar copypasteados, spam u otra que envía el personal proveniente de webs también de

V 1
K 12
s

#4 Si el botón rojo fuera solo para "racismo, insultos, spam..." no debería ser tan fácil de usar como el botón verde. Debería haber un límite para votar negativo, o que consumiera karma, así quizás se votaría negativo lo realmente negativo. Pero tal y como esta ahora es como si te preguntan si estás a favor o en contra del comentario.

V 2
K 26
j

El problema aquí es que Firefox haya decidido enviar todas las consultas DNS a Cloudflare, una empresa que ya por si está obteniendo demasiado control sobre la WWW y Internet en general, y que ahora básicamente Mozilla les regalará gratis la lista de todos los dominios que visitan los usuarios de Firefox.

Me da igual que mi ISP se entere de los dominios que resuelvo por que, con la tecnología actual, se van a enterar igual (e.g. IPs); pero paso de que además se entere Cloudflare.

V 3
K 26
sillycon

#16 La solución va a ser un croufanding y poner DNSs DoH gestionados por la comunidad.

V 0
K 7
Panko

#17 Haberlos haylos, dnscrypt-proxy es tu amigo

V 1
K 15
sillycon

#20 Pero esto es un proxy que al final se conecta a DNSs upstream con lo cual estamos en lo mismo.

V 0
K 7
Panko
editado

#21 eso se conecta a los dns que tu escojas, y los que yo tengo seleccionados son DoH y de aquí a allí va cifrado, y no, no son de cloudfare... DoH, dnssec, sin logs... vamos, lo mismo que has dicho tu de la comunidad.

V 1
K 15
sillycon
editado

#23 Pero el asunto no es solo los actores intermedios que te pueden esnifar tus búsquedas o balancearte el tráfico según servicio, es también el DNS final que se lleva sus buenas estadísticas de lo que tu haces, sea DoH o no. De qué crees que viven Google 8.8.8.8 y Cloudflare 1.1.1.1

V 0
K 7
Panko

#26 ¿Entonces el que tu propones no necesitará un DNS final que hará lo mismo que estás diciendo? ¿O son imaginaciones mías y me he perdido algo por el camino? Por que lo que yo uso no tiene nada que ver con google o cloudfare... y justamente está mantenido por alguna comunidad, que curioso.

V 0
K 6
sillycon
editado

#27 Pues eso es lo que proponía desde el principio. Dime qué DNS final comuniatario y confiable usas, por favor.

V 0
K 7
Panko
editado

#28 ¿Confiable por mi o confiable por tí? Porque muy convencido no te veo. Dando por sentado desde un principio que usaba google o cloudfare sin saberlo siquiera. No me pareces de fiar como para contártelo.

V 0
K 6
p

#17 y la comunidad quien es?

V 0
K 7
j

#22 Thatcher, eres tú?

V 0
K 10
sillycon

#22 Los vecinos de Carmen Maura
Con que no esté gestionado por una empresa con estatal o con ánimo de lucro, me vale.

V 0
K 7
rogerius

#16 Mi isp sabe quién soy. Sabe mi nombre y dirección y más cosas. Prefiero que cloudflare sepa qué sitios visita mi navegador a que mi isp lo sepa.

V 1
K 22
D

#29 tu isp y cloudflare quedan los miércoles para cenar...

V 2
K 24
j
editado

#29 ¿Pero cómo vas a impedir que tu ISP lo sepa? Si te conectas directamente a las IPs de los servidores, tu ISP ya lo sabe. Por eso he dicho que la opción de Cloudflare es que además lo sepa Cloudflare.

Y si te conectas a través de VPN, supongo que las consultas DNS también van a través de la ISP, con lo que tu ISP "original" no las veía (sí las veía el ISP al otro lado del VPN). Con este cambio, incluso aunque tengas VPN, además también las ve Cloudflare.

Y el ISP local como mínimo no tiene por qué responder a cierta cartita de la NSA...

V 0
K 6
rogerius
editado

#38 Entiendo que con Cloudflare hay una conexión encriptada. Lo único que sabe mi ISP es que conecto con Cloudflare.

V 0
K 12
j

#42 Tu ISP sabe a que IPs te conectas. No hace falta más que hacer dns inverso para saber que visitas. Ergo tu ISP lo va a saber igualmente, amenos que hagas VPN.

V 0
K 6
rogerius

#43 Las ips no son necesariamente dominios. Y, sí, vpn es lo aconsejable.

V 0
K 12
j

#45 Pocos dominios hay que no tengan una IP propia, por no decir que ninguno de los grandes. Y en caso de VPN, como ya he dicho, esta misfeature causaría que tus peticiones DNS acabasen en cloudflare. En cualquiera de los casos, no vamos bien.

V 0
K 6
rogerius
editado

#47 Lo que quiero decir es que puede haber varios dominios tras una sola ip.

V 0
K 12
j

#50 Y yo por IP propia me refiero a exclusiva, disculpa.

V 0
K 6
D

Tanto DoH como DoT estan soportados por los DNS de los principales ISPs. Ambas ofrecen una buena seguridad y privacidad.

La lastima es que los principales SO no los implementan nativamente.

V 2
K 18
D

#12 Lo que estaría bien es que por defecto se incluyera un caché DNS con el SO. Y si pudiera venir precargado con una serie de webs "habituales".

V 0
K 9
D

#40 Eso ya existe, pero no tiene nada precargado y el tiempo de expiración es relativamente bajo. Básicamente porque nada ni nadie puede garantizarte que el registro en el DNS no cambie.

V 0
K 6
D

#41 ¿bind9? Pregunto.

V 0
K 9
D

#46 Claro, a ver, bind9 te permite asignar nombres a máquinas de tu red, crear zonas etc... Pero es tu red y controlas las IPs.

Pero cuando quieres resolver un registro de un nombre que no controlas, por ejemplo meneame.net, pues la cosa es más compleja. Básicamente porque el que ahora tenga la dirección X.X.X.X no quiere decir que dentro de 2 ms, 5 min o 2 años eso cambie.

Cuando haces una consulta DNS entre otras cosas obtienes dos datos importantes el valor del registro que puede ser una IP, otro dominio, o incluso un texto; y ademas el TTL que es una pseudogarantía acerca del tiempo que puedes considerar valido ese valor.

Una vez pasado el tiempo, toca preguntar de nuevo. Aunque bueno, luego cada DNS tiene sus propias políticas de caché y las puedes evitar pidiendo solo respuestas autoritativas, aunque ese es otro tema.

V 1
K 15
Nova6K0

Es un poco relativo esto. Así en principio Cloudflare podría desenmascarar a usuarios/as de la red TOR si le diese la gana y no lo hizo, ni parece que vaya a hacerlo. Ahora bien el que todas las comunicaciones pasen por Cloudflare no es bueno, por diversos motivos, primero por pasar en sí y segundo por los famosos captcha que son bastante peñazo. De hecho recuerdo cuando usé, por probar las DNS famosas de IBM y ya que te aparezca una página de advertencia, indica que están interceptado las consultas DNS, eso como que no da mucha confianza.

No me olvido de los que creen que violar la privacidad, mejora en algo la seguridad, pero bueno... No voy a poner la famosa cita de Benjamin Franklin, pero vamos, eso.

Salu2

V 0
K 10
n0user

A mí lo que me gustaría es poder montarme mi propio servidor DNS público, y cuando digo público me refiero a poner usando simplemente usando la IP del DNS, tal como se hace con cualquier DNS de ISP o CloudFlare, Google, etc...

El problema es que si lo montas así, sin VPN para autenticación, la compañía de hosting donde tengas el DNS montado (mediante VPS) te corta el grifo. Al menos yo no he encontrado ninguna que permita este uso. ¿Sabéis alguna?

Aunque a este paso, la verdad, estoy por abrir mi Pihole local hacia internet, aprovechando la coyuntura de que mi proveedor me obliga a tener una IP fija (no compartida) aunque yo no quiera.

V 0
K 8
katinka_aäå

Vale pero yo seguiré apuntando a 8.8.4.4. Esta vez con un 50% más de https.

V 0
K 7
soytumismo

Raspberry con OpenVPN, otra con Pi-Hole, que hará forward solo a DNS Open mediante DNSSEC y se lo pones dificil a quien quiera espiar.

V 0
K 6
Candidatas
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
9
meneos
tecnología La Mega Drive llega a España
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
8
meneos
tecnología Publicado el código fuente de DOS 4.0 (ENG)
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
7
meneos
tecnología ¿Internet está muerto?: la teoría conspirativa que podría volverse realidad en apenas unos años
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
7
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
25
meneos
tecnología musicForProgramming ();
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
5
meneos
tecnología Minoristas se quejan de Intel: "Los Core 14 son un desastre"
D

y como veis los tuneles DNS de Cloudfare?
supongo uqe como dicen mas arriba, se les esta dando un poder qeu ahora puede que no utilicen para fines nefastos, pero las administraciones cambian y nada nos asegura que siempre continue asi.

V 0
K 6
fernandorguez

DoH va a ser un enorme problema de seguridad. Muchos amigos de lo ajeno ya estan utilizando DNS tunneling para data exfiltration y muchas otras "maldades"(DNS esta detras del 90% de los ataques en Internet) con lo que si encima lo encapsulamos en HTTPs no va a haber sistema de seguridad que detecte/bloquee este trafico...

V 1
K 5
Panko

#18 Mira, justo lo que piensan todos los gobiernos del uso de comunaciones cifradas, que curioso.

V 1
K 16
D
editado

#18 El mundo esta lleno de criminales, todos llevan ropa para esconder la droga y armas que mueven... prohibamos la ropa, es un problema de seguridad.

V 2
K 27
zoezoe
editado

Anteriormente en menéame

-> https://www.meneame.net/search?q= let's encrypt

#0 Gracias por utilizar el palabro "cifrado" en lugar de "encriptado".

V 30
K -145
ccguy
autor

#1 ¿cómo que anteriormente en menéame? ¿donde hablan esos artículos sobre DNS sobre HTTPS? Let's Encrypt está relacionado porque se usa para generar certificados pero no tiene que ver con DNS.

Con comentarios como ese caen noticias por duplicadas sin serlo.

Aparte de que este es un análisis de la EFF explicando los motivos que alegan algunos grupos (ISP y gobiernos sobre todo) para poner pegas a esta tecnología.

V 23
K 155
zoezoe
editado

#2

> Con comentarios como ese caen noticias por duplicadas sin serlo.

Pruebas, no palabras ...

...por otra parte, si hay eff, hay positivo por mi parte sin tan siquiera documentarme un poco más sobre el tema.

V 11
K -47
insulabarataria

#1 #2 tiene razón. DNS sobre https tiene poco que ver con lets encrypt...
No se si habrá otra, pero desde luego con esa búsqueda puedes encontrar cosas que no tienen nada que ver con el artículo

V 8
K 89
D

#2 Quieren seguir aprovechandose de lo fácil que es manipularlo. En mi post más reciente comento una herramienta que hemos creado para detectar si el ISP cambia el TTL del DNS para extraer información extra. Si teneís tiempo os recomiendo mirarlo.

PD: Soy nuevo y no se si está permitido este tipo de publicidad. En caso de que no avisadme y borro el comment.

V 0
K 7
skgsergio
editado

#1 Gracias por utilizar el palabro "cifrado" en lugar de "encriptado".

No se si lo dices con ironía, lo siento mi medidor está roto, pero la forma correcta es cifrado. Encriptado, aunque ya reconocido por la fundeu, es como decir curasan, setiembre, ...

Por otro lado Let's Encrypt, como proveedor gratuito de certificados para SSL/TLS que es, poco o nada tiene que ver con DNS over TLS o HTTPS (mas allá de que estos usan un certificado y pudiese ser de Let's Encrypt).

V 2
K 27
D
editado

Eso, que nos expliquen los chupimeneantes de bien por qué están en contra del anonimato en internet...

editado:
#1 coño que casualidad, la madre superiora de este tugurio echando mierda sobre un articulo sobre anonimato.

V 4
K 37
D

#13 Esto realmente no te anonimiza, sino que evita que un tercero pueda saber que páginas visitas, que servicios utilizas...

V 2
K 19
D
editado

#14 O identificar usuarios de foros, digo yo.

V 0
K 7