#36 "Las operadoras pueden bloquear por dominio, que es más sutil, igual de ineficiente y por lo menos no jodes a tanta gente. "
Ahí radica el problema
Las operadoras podían bloquear por dominio de dos formas:
a) si hacías las consultas DNS a los servidores que ponen las operadoras, para ciertos dominios podían no dar la repuesta o dar una respuesta que te llevase a una web que mostrase algo así como "dominio bloqueado"
Pero tu puedes consultar otros servidores DNS
Entonces algunas operadoras empezaron a secuestrar las consultas DNS. Cuando veían que una petición iba al puerto 53, en lugar de llevarla a la IP del DNS al que querían ir, la llevaban a su propio DNS y ya resolvían esa consulta como querían.
Interceptar las consultas DNS es rápido, fácil, barato, no requiere mucha complejidad ni máquinas potentes.
Por un lado les dijeron que eso no se podía hacer
Y por otro lado, paralelamente, se había desarrollado el sistema de DNS seguro, porque la interceptación de las consultas DNS, con ataques Man In de Middle puede llevar a fraudes. Bueno, son cosas separadas, pero se aplican.
En algunos casos el sistema podía ver el contenido de las consultas y tratar de implementar un bloqueo
También se desarrollaron sistema de cifrados de las consultas DNS, DNS Over TLS y DNS Over HTTPS (DoT y DoH) . Estas consultas van cifradas y ya si que no se puede ver el contenido de las mismas.
Cloudflare, aparte de servidores DNS normales, también tienen DNS cifrado.
Pero había otro problema. En los paquetes de datos cifrados HTTPS, el campo donde se indicaba el dominio (antes de TLS1.3) iba en claro ... Es más costoso que interceptar las consultas DNS, pero se puede hacer y se hace.
Entonces se desarrollaron algunos nuevos estándares como SNI y ESNI que ya cifran esa cabecera. Es más difícil de implementar porque el propietario de un demonio tiene que obtener un certificado compatible con esni, configurarlo en su servidor web (que debe ser compatible) , publicar en un registro DNS la clave pública, etc.
De este modo , usando DoT o DoH un usuario puede realizar una consulta DNS segura, y después su navegador conectará con el servidor web utilizando TLSv1.3 y podrá comenzar la negociación del cifrado directamente, sin tener que enviar en claro el dominio al que quiere acceder .
Hasta ahora, que yo sepa y que haya visto desde la última vez que lo miré, este sistema de ESNI no lo tiene implementado ningún servidor web, ni siquiera nginx en su última versión .... excepto ... TACHAN!! la versión de nginx modificada por CloudFlare !!
Es decir, que cloudflare es capaz de proporcionar una comunicación casi totalmente privada (casi porque el servidor DNS al que se haga la consulta puede recopilar qué dominios pides. También se pueden saber ips, etc)
Con todo esto que he puesto y que no iba a poner, pero me he enrollado, se hace muy difícil para telefónica y otros hacer bloqueos efectivos .
#36#38 Ayer se lo explicaba a alguien de mi edificio y le decía:
Es como si el vecino del 7ºD trapichea y nos prohiben a todos entrar al edificio, porque si nadie entra, nadie puede ir a comprar droga.
#21#36#17#10 es de analfabetismo digital de libro lo que han hecho. Tras X miles de IPs de Clodflare están X millones de IPs de webs de empresas, grandes y pequeñas. En mi trabajo se han visto afgectadas montones de webs que usan el cdn de Cloudflare para aliviar la carga de los servidores de alojamiento. Son inmobiliarias, tiendas de ropa, autónomos... Si quieres bloquear la fuente, vale, pero no bloquees al intermediario joer, menuda catetada tecnológica.
#36 Pues sinceramente, para mi el ejemplo de los cuchillos es sumamente absurdos, y si hablamos de armas de fuego igual no te parece tan bueno, mira EE. UU. los malos son los que usan mal las armas. Y en todo caso, en la realidad, lo que se usan son navajas precisamente porque son más apropiadas, lo mismo que se podría decir de Cloudflare.
Además, tu no puedes ir con cualquier cuchillo por la calle sin más, ni a cualquier sitio. En todo caso, ya te he avisado que estoy siendo abogado del diablo, si al final tu empresa se convierte en puerto seguro de esos sitios alegales, pues igual tiene sentido que te responsabilicen a ti. Y es tu responsabilidad que eso no perjudique a tus propios usuarios.
#15 Cuando en un estadio de fútbol la grada llama "mono" a un jugador africano lo hacen porque les parece un chico guapete. ¡Si es un piropo! Ahora, si tú crees que lo hacen como un insulto, quizás el jodidamente racista eres tu.
Es tan forzado y ridículo tu argumento que me has alegrado la mañana de aburrido trabajo. Gracias.
#71 a MAR no le ha importado, pero entiende que si le importe a quien vaya en el asiento del copiloto, que es el que más índice de siniestralidad tiene.
#35 Lo que Milei cerró fueron medios públicos, y "cerrarlos" significa que dejó de financiarlos, porque eran medios públicos financiados por el gobierno. No se cerraron medios privados.
#43 ¿pusieron denuncia los del negocio de abajo?
Si pusieron denuncia ¿ha salido ya el juicio? Si ha salido el juicio ¿qué se dijo? y si no ha salido, el regularizar la obra puede ser independiente del juicio. Si están a la espera, ya saldrá cuando se dicte sentencia la indemnización que tendrá que pagar.
Cuando puse el enlace de #10 estaba buscando información de obras que se habían hecho de forma irregular y después se habían regularizado. Y me salían a patadas. Pero esta me llamó la atención, porque se indicaba que tenía muchas irregularidades (aparte del papeleo) y por la forma de pagarlo.
Pero desde luego no se da un trato de favor al permitirle regularizar una obra, porque es algo habitual.
#14 los seguros no son hermanitas de la caridad. Están para ganar y si el problema venia de atrás y hay constancia de que no dijo nada pues el seguro se va a aprovechar de ello. Es una putada pero así esta montado el sistema.
#99 la única solución que veo cuando a uno le marean mucho es pedir que te devuelvan el dinero.
Y en caso de que se pongan tontos y no te dejes convencer de seguir esperando les dices que vas a abrir una disputa en tu banco si en x días no te dicen nada.
En caso no de no saber nada abres la disputa en el banco y en un pocos días sabrás el resultado de la misma.
No recuerdo cuánto tiempo es pero todas las disputas deben ser respondidas por los vendedores en pocos días para que el banco tome la decisión de aceptarla o no.
Ahí radica el problema
Las operadoras podían bloquear por dominio de dos formas:
a) si hacías las consultas DNS a los servidores que ponen las operadoras, para ciertos dominios podían no dar la repuesta o dar una respuesta que te llevase a una web que mostrase algo así como "dominio bloqueado"
Pero tu puedes consultar otros servidores DNS
Entonces algunas operadoras empezaron a secuestrar las consultas DNS. Cuando veían que una petición iba al puerto 53, en lugar de llevarla a la IP del DNS al que querían ir, la llevaban a su propio DNS y ya resolvían esa consulta como querían.
Interceptar las consultas DNS es rápido, fácil, barato, no requiere mucha complejidad ni máquinas potentes.
Por un lado les dijeron que eso no se podía hacer
Y por otro lado, paralelamente, se había desarrollado el sistema de DNS seguro, porque la interceptación de las consultas DNS, con ataques Man In de Middle puede llevar a fraudes. Bueno, son cosas separadas, pero se aplican.
En algunos casos el sistema podía ver el contenido de las consultas y tratar de implementar un bloqueo
También se desarrollaron sistema de cifrados de las consultas DNS, DNS Over TLS y DNS Over HTTPS (DoT y DoH) . Estas consultas van cifradas y ya si que no se puede ver el contenido de las mismas.
Cloudflare, aparte de servidores DNS normales, también tienen DNS cifrado.
Pero había otro problema. En los paquetes de datos cifrados HTTPS, el campo donde se indicaba el dominio (antes de TLS1.3) iba en claro ... Es más costoso que interceptar las consultas DNS, pero se puede hacer y se hace.
Entonces se desarrollaron algunos nuevos estándares como SNI y ESNI que ya cifran esa cabecera. Es más difícil de implementar porque el propietario de un demonio tiene que obtener un certificado compatible con esni, configurarlo en su servidor web (que debe ser compatible) , publicar en un registro DNS la clave pública, etc.
De este modo , usando DoT o DoH un usuario puede realizar una consulta DNS segura, y después su navegador conectará con el servidor web utilizando TLSv1.3 y podrá comenzar la negociación del cifrado directamente, sin tener que enviar en claro el dominio al que quiere acceder .
Hasta ahora, que yo sepa y que haya visto desde la última vez que lo miré, este sistema de ESNI no lo tiene implementado ningún servidor web, ni siquiera nginx en su última versión .... excepto ... TACHAN!! la versión de nginx modificada por CloudFlare !!
Es decir, que cloudflare es capaz de proporcionar una comunicación casi totalmente privada (casi porque el servidor DNS al que se haga la consulta puede recopilar qué dominios pides. También se pueden saber ips, etc)
Con todo esto que he puesto y que no iba a poner, pero me he enrollado, se hace muy difícil para telefónica y otros hacer bloqueos efectivos .