Mozilla es uno de los grandes villanos de internet junto a Donald Trump y el artículo 13, según los ISP británicos Mozilla lleva más de un año trabajando en el protocolo DNS-Over-HTTPS, una alternativa que permite cifrar la gestión de los DNS en internet, haciendo más complicado que terceros puedan acceder a información sobre los mismos. A ...
Por cierto, no bebas mucho que no es sano. Del dicho sexo, drogas y rock and rollo se debería limitar sólo a sexo y rock. Pasatelo bien con los cubatas y de marcha
No lo tengo yo muy claro. Por un lado, los que configuren esto, con la idea de proteger su privacidad, van a correr para entregarle a "alguien" sus búsquedas DNS. Porque sí, va cifrado hasta el servidor de Doh, pero el propio servidor tiene que deshacer la cifra y hacer la petición al sistema DNS convencional. Y ese servidor que termina tu https, ¿quién lo lleva? Por otro lado, romper el sistema DNS y sustituirlo por un sistema igual o más controlado no sé yo las ventajas que tendrá en el futuro. Si mañana el que lleva el servidor Doh dice que no molan las páginas porno, o de derechas, o de izquierdas, ¿habrá alternativas?
Ya digo que a mi no me convence. Ahora lanzas un DNS request en UDP y tienen tu IP, con Doh tienen tu IP, el user-agent, y probablemente hasta el calzoncillo que lleves ese día.
Además lo de la seguridad no es ninguna tontería. En entornos corporativos se cazan muchos ataques interceptando DNS requests de dominios chungos, por ejemplo malware que intenta conectar con su C&C, Los malos ahora lo tendrán un poco más fácil, no tendrán más que cifrar la petición en https para saltarse eso, y confundirse con el tráfico "normal"
Por otro lado, no sé si me gusta esta tendencia. Antes, el browser era una aplicación más que obtenía servicios de red del stack TCP/IP del SO de la máquina, con múltiples aplicaciones para cada necesidad. Cada vez más, da la sensación de que el browser tiene ambición de sustituir al SO y que lo utilicemos para todo.
#10 la petición De DNS solo sabe que ese servidor quiere saber esa configuración, al igual que el millón de peticiones adicionales que impide saber el origen de la petición, ten en cuenta que es una cache, por lo que solo sabrán 1 petición por dominio, nada más.
#11 No entiendo lo que quieres argumentar. Los servidores DNS recursivos, que son los que usamos habitualmente, tienen una cache, por supuesto. Pero no tiene nada que ver con lo que yo estaba diciendo. La cache sirve para poder servir más rápidamente la petición, si lo tiene, y si no lo tiene tendrá que recurrir a pedirselo a otro DNS server, y así, eso es la recursividad en DNS, mecanismo estándar.
La petición Doh se hace contra un servidor, como ahora, sólo que el transporte va cifrado y además no es UDP sólo sino que es https. En ese proceso, la petición https contiene cabeceras adicionales a las de la petición DNS.
Lo que yo decía es que esas cabeceras adicionales de https (léete la RFC8484) pueden ser utilizadas para obtener una correlación mayor sobre los datos del cliente que hace la petición, por ejemplo, es concebible utilizar cookies, user-agent, user-locale, etc, todos los mecanismos de profiling que tiene https, mientras que una petición DNS "convencional" no tiene esa posibilidad. Y ese servidor es, por ejemplo, de Google, o de vete tu a saber quién. Dejas de utilizar el servidor DNS estándar de Google pero usas el servidor Doh, que es el mismo, y ya de paso le das más información sobre tí. No sé, sigo sin verle la ventaja.
Y estoy hablando específicamente de Doh, hay otros esquemas que podrían ser más beneficiosos desde el punto de vista de la seguridad y privacidad, como DNS over TLS, o DNSCrypt
La diferencia es que usando Doh el tráfico DNS queda enmascarado por el resto del tráfico de navegación, ya que usa el mismo puerto convencionalmente atribuido a https. Por tanto para interceptar las peticiones tendrías que descifrar, y volver a cifrar, cosa que por cierto se hace habitualmente por medio de proxies en muchos entornos corporativos.
#10 Que es browser? Por usar lenguaje innecesario y que dificulta la comprensión te votaría negativo si estuviera muy borde. Como estoy borde, solo hago la amenaza. Estoy cansado de fiesta y alguien lo tiene que pagar y te ha tocado 😃
#12 navegador. Iexplorer, Chrome, Firefox...
Como es hoy y no estyo mu borde... Pzfffffffff (pedorreta y acabando el cubata)
Pa uno que explica y lo chuscas! Mamaaaaooo
#10 "Cada vez más, da la sensación de que el browser tiene ambición de sustituir al SO y que lo utilicemos para todo." Google ya lo intento con el Chrome Os, no les salió bien el intento.
Comentarios
El villano para los ISP no es necesariamente un villano para nosotros. De hecho, en este caso, es todo lo contrario.
#2 Asi es.
Por eso me gusto que ganaran las maquinas en terminator o matrix.
O varios otros villanos.
Para mi, es el mejor navegador.
Ojalá los villanos fuesen como Mozilla... y no como los ISP británicos.
#0
Pasos para activarlo en Firefox (sirve también en Android):
about:config --> network.security.esni.enabled --> true
network.trr.mode --> 2
luego cambia tus DNS a 1.1.1.1 y 1.0.0.1 y comprueba que todo va bien en
https://www.cloudflare.com/ssl/encrypted-sni/
#7 Acabas de convertirte en otro villano para las ISP.
Pues otro motivo para seguirlo usando.
Como autor... que se jodan. Porque el 99,99% es por el tema de la piratería, aunque a veces pongan de excusa la protección de los niños.
Salu2
#8 Amen.
A estas alturas, un ciudadano debe saber como acceder a informacion confiable y GRATIS.
¡Larga vida a Mozilla!
#13 Era un poco coña. Coña borde 😃
Por cierto, no bebas mucho que no es sano. Del dicho sexo, drogas y rock and rollo se debería limitar sólo a sexo y rock. Pasatelo bien con los cubatas y de marcha
El buen sensacionalismo barato... promocionado además por una institución de espionaje masivo en Europa
Hace unos años habría dicho "no puede ser cierto", parecen espías de John English
No lo tengo yo muy claro. Por un lado, los que configuren esto, con la idea de proteger su privacidad, van a correr para entregarle a "alguien" sus búsquedas DNS. Porque sí, va cifrado hasta el servidor de Doh, pero el propio servidor tiene que deshacer la cifra y hacer la petición al sistema DNS convencional. Y ese servidor que termina tu https, ¿quién lo lleva? Por otro lado, romper el sistema DNS y sustituirlo por un sistema igual o más controlado no sé yo las ventajas que tendrá en el futuro. Si mañana el que lleva el servidor Doh dice que no molan las páginas porno, o de derechas, o de izquierdas, ¿habrá alternativas?
Ya digo que a mi no me convence. Ahora lanzas un DNS request en UDP y tienen tu IP, con Doh tienen tu IP, el user-agent, y probablemente hasta el calzoncillo que lleves ese día.
Además lo de la seguridad no es ninguna tontería. En entornos corporativos se cazan muchos ataques interceptando DNS requests de dominios chungos, por ejemplo malware que intenta conectar con su C&C, Los malos ahora lo tendrán un poco más fácil, no tendrán más que cifrar la petición en https para saltarse eso, y confundirse con el tráfico "normal"
Por otro lado, no sé si me gusta esta tendencia. Antes, el browser era una aplicación más que obtenía servicios de red del stack TCP/IP del SO de la máquina, con múltiples aplicaciones para cada necesidad. Cada vez más, da la sensación de que el browser tiene ambición de sustituir al SO y que lo utilicemos para todo.
#10 la petición De DNS solo sabe que ese servidor quiere saber esa configuración, al igual que el millón de peticiones adicionales que impide saber el origen de la petición, ten en cuenta que es una cache, por lo que solo sabrán 1 petición por dominio, nada más.
#11 No entiendo lo que quieres argumentar. Los servidores DNS recursivos, que son los que usamos habitualmente, tienen una cache, por supuesto. Pero no tiene nada que ver con lo que yo estaba diciendo. La cache sirve para poder servir más rápidamente la petición, si lo tiene, y si no lo tiene tendrá que recurrir a pedirselo a otro DNS server, y así, eso es la recursividad en DNS, mecanismo estándar.
La petición Doh se hace contra un servidor, como ahora, sólo que el transporte va cifrado y además no es UDP sólo sino que es https. En ese proceso, la petición https contiene cabeceras adicionales a las de la petición DNS.
Lo que yo decía es que esas cabeceras adicionales de https (léete la RFC8484) pueden ser utilizadas para obtener una correlación mayor sobre los datos del cliente que hace la petición, por ejemplo, es concebible utilizar cookies, user-agent, user-locale, etc, todos los mecanismos de profiling que tiene https, mientras que una petición DNS "convencional" no tiene esa posibilidad. Y ese servidor es, por ejemplo, de Google, o de vete tu a saber quién. Dejas de utilizar el servidor DNS estándar de Google pero usas el servidor Doh, que es el mismo, y ya de paso le das más información sobre tí. No sé, sigo sin verle la ventaja.
Y estoy hablando específicamente de Doh, hay otros esquemas que podrían ser más beneficiosos desde el punto de vista de la seguridad y privacidad, como DNS over TLS, o DNSCrypt
La diferencia es que usando Doh el tráfico DNS queda enmascarado por el resto del tráfico de navegación, ya que usa el mismo puerto convencionalmente atribuido a https. Por tanto para interceptar las peticiones tendrías que descifrar, y volver a cifrar, cosa que por cierto se hace habitualmente por medio de proxies en muchos entornos corporativos.
#10 Que es browser? Por usar lenguaje innecesario y que dificulta la comprensión te votaría negativo si estuviera muy borde. Como estoy borde, solo hago la amenaza. Estoy cansado de fiesta y alguien lo tiene que pagar
y te ha tocado 😃
#12 navegador. Iexplorer, Chrome, Firefox...
Como es hoy y no estyo mu borde... Pzfffffffff (pedorreta y acabando el cubata)
Pa uno que explica y lo chuscas! Mamaaaaooo
#12 Es el malo de Mario, con una falta de ortografía.
#10 "Cada vez más, da la sensación de que el browser tiene ambición de sustituir al SO y que lo utilicemos para todo." Google ya lo intento con el Chrome Os, no les salió bien el intento.