Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[quote=morfik]i mogą ci dowolnie te zapytania DNS przerabiać, wstrzykiwać reklamy i inne gówna. Np. mój ISP wstrzykiwał komunikaty o nie zapłaceniu rachunku, wtedy po otwieraniu przeglądarki wymuszone było przeczytanie komunikatu o uregulowaniu płatności. Albo Aero2 wymusza przekierowanie domeny by wpisać kod Captcha... Naprawdę, to nie stanowi wyzwania w dzisiejszych czasach, by ci DNS przekierować i to jeszcze bez twojej wiedzy[/quote]
No to chyba Areo2 musiałoby stawiać Exit Nody i liczyć na to że mój klient
któregoś z nich wylosuje żeby mi wyświetlić to Captcha :D Powodzenia
Offline
Poddaję się. Nie chcę skończyć jak ten tutaj: xD
[img]https://neveryetmelted.com/wp-content/uploads/2014/02/Croc.gif[/img]
Ostatnio edytowany przez morfik (2019-01-14 00:40:56)
Offline
@All
Wstrzykiwanie reklam to prehistoria, teraz przeglądarki ostrzegają przed nieszyfrowanym połączeniem, a SSL oznacza weryfikację certyfikatu.
DNS spoofing to też prehistoria od bardzo dawna, w u mnie już w Ubuntu-8.10 Netfilter odrzucał spoofowane pakiety DNS z takim ładnym komunikatem w logu "[url=https://en.wikipedia.org/wiki/Martian_packet]martian source[/url]".
Mój ówczesny ISP chciał przekierować wszystkie zapytania DNS na swój serwer DNS,
i wszystkie Windowsy dały się oszukiwać, ale niestety Linux nie.
W rezultacie DNSY u mnie chodziły przez tunel teredo po Ipv6 przez ładnych kilka latek.
W tej chwili zaczyna się era DNS przez TLS, czyli też przy okazji DNSa jest problem z weryfikacją certu TLS.
Krótko pisząc, to już nie te czasy, kiedy różne wałki na poziomie routera dostawcy były możliwe, a właściciele stron i serwerów nie mieli na ten temat nic do gadania.
Dodajmy jeszcze nagłówki x-frame-options, x-xss-protection czy content-security-policy,
i mamy komplet.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2019-01-14 03:39:48)
Offline
Ktoś chyba nigdy nie używał appki YT na andku. xD Choć tam adresy adserwerów są zaszyte bezpośrednio w appce i tych reklam się nie da wyciąć. Ale już w każdej innej appce bez problemu można sobie przekierować adresy adserwerów na loalny serwerek właśnie przy pomocy podmiany faktycznego docelowego adresu IP na lokalny adres 127.0.0.1 -- tak działa np. Adaway. I podobnie cała masa innych rozwiązań, które mają na celu wykroić te reklamy z andka.
@Jacekalex co ci tam odrzucał? Ja na routerze u siebie mam wymuszone przekierowanie portu 53 na adres routera, gdzie sobie buszuje dnsmasq + dnscrypt. Żaden pakiet posłany u mnie w sieci do routera na port 53 nie opuści go niezaszyfrowany, jedyne co to cię VPN albo inny mechanizm szyfrowania DNS ratuje. Ale gołym tekstem zapytania o DNS to u mnie nie przejdą nie ważne co se tam wpiszesz na kompie. xD Choć ja i tak na laptopie i w telefonach mam lokalne szyfrowanie zapytań -- bo nie ufam swojemu routerowi -- ale czasem ktoś przychodzi to lepiej żeby miał to zaszyfrowane niż by nie miał. xD I żadnych pakietów z marsa nikt w sieci nie notuje i pewnie wszyscy są przekonani, że zapytania lecą na 8.8.8.8, podczas gdy faktycznie to lecą na mój router, gdzie mogę podejrzeć gdzie wchodzą i im wyciąć pornusy w razie czego. xD
To o czym ja pisałem wcześniej dotyczyło zwykłego wrednego phishingu, gdzie przez podmianę rekordu DNS (lub i serwera DNS) lądujesz sobie na trefnej stronie, która może być łudząco podobna do strony twojego banku. Tu linux cię w niczym nie ochroni. Były już eksperymenty socjotechniczne na niebezpieczniku i jakoś ludzie ciągle się łapią na tego typu zagrywki phishingowe i to nawet nie trzeba zbytnio ludziom podmieniać dns, wystarczy nieco inną czcionką napisać adres (inny znak UTF) i też będziesz przekonany, że odwiedziłeś adres swojego banku i cie linux też w żaden sposób nie obroni, gdy dokonasz jakiejś płatności za pośrednictwem takiej stronki. xD
Zmieniły się czasy, to fakt, ale kluczem w tym całym syfie jest niezabezpieczony od lat DNS, a że płatności w necie są coraz popularniejsze, to w końcu ktoś coś postanowił z tym zrobić, coś co ja od chyba już 10 lat prawie wykorzystuje na co dzień, choć się ludzie na mnie dziwnie patrzą. Tak czy inaczej gógl implementuje szyfrowany DNS podobnie jak cloudflare już ma od jakiegoś czasu. I wyszło na moje. xD
Offline
@Morfik
https://www.techrepublic.com/article/how-to-use-dns-over-tls-on-ubuntu-linux/
Offline
Coś o bezpieczeństwie linux'a:
Many scp clients fail to verify if the objects returned by the scp server match those it asked for. This issue dates back to [b]1983[/b]
...
The outcome is that a hostile (or compromised) server can overwrite arbitrary files on the client side. There do not yet appear to be patches available to address these problems.
-- https://lwn.net/Articles/776745/[/quote]
To jest starsze ode mnie. xDOstatnio edytowany przez morfik (2019-01-16 23:54:04)
Offline
[b]loms[/b], nie sluchaj ich, uzyj TORa:
[b]https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/[/b]
Offline
Panowie, morfik & Jack ... a jak puscić DNS over HTTPS, czyli DoH zamiast DoT przez AdGuard DNS? Czy jest to sensowne rozwiązanie?
Offline
Nie wiem jak przez AdGuard ale dnscrypt-proxy wspiera DNS over HTTPS:
Features
DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
-- https://github.com/jedisct1/dnscrypt-proxy[/quote]
Offline
Coś tam niby wdrożyli:
AdGuard DNS recently added DoH support, which brings our service to the forefront of privacy protection. Sadly, this protocol is still relatively new and there are simply not so many ways to employ it on your device.[/quote]
https://adguard.com/en/blog/adguard-dns-announcement/
Pytanie w zasadzie takie, czy takie rozwiązanie jest sensowne i bezpieczne?
Burble, Burble, Burble ... hahaaaaaaa :D
Forum Linux Mint Polska http://forum.linuxmint.pl/
Offline
Poleciłbyś ogólnie DoH czy nie?
DNS-y AdGuarda fajnie wycinają reklamy. Już nie widzę tych dziwnych reklam, gdzie np. ktoś zakrapla sobie sok z cytryny do ucha :D
Offline
No DoH, to upodabnianie zapytań DNS do ruchu HTTPS -- z tego co czytałem, to nie da rady odróżnić ich, w przeciwieństwie do DoT, co może mieć znaczenie przy cenzurze, bo DoT można by wyciąć, podobnie jak i ruch VPN, który również jest dość charakterystyczny i też można go zablokować bez uszczerbku dla HTTPS, o czym ludzie nie wiedzą i ciągle gadają, że jak coś to będą używać VPN do obejścia cenzury. xD
Ja używałem z początku protokołu dnscrypt ale, że on nigdy się nie stał standardem i w końcu doczekał się oficjalnych wydań w postaci DoT i DoH, to z tych dwóch wolę DoH i jego używam na co dzień za sprawą dnscrypt-proxy.
Ale inną sprawą jest ten Adguard, bo oni do końca chyba nie są OK. xD Część appek/protokołów mają otwartych inne mają zamknięte (np. appka dla andka jest zamknięta). Do wysyłania linku do appki chcą numer telefonu, no tego typu oznaki nie świadczą najlepiej o tej organizacji i ja bym ich unikał. xD
Offline
O to chodziło, domyślam się, że DoH jest bezpieczniejsze, ale mnie mają za heretyka :D
Offline
Przykładowo ja bardziej potrafię zapiąć sobie Debiana bo wiem lepiej o co biega w tym systemie niż w OpenBSD, którego po prostu nie znam i przykładowo na serwer (na desktop zresztą też) właśnie wybiorę Debiana bo ten system znam najlepiej także jest jak najbardziej jak pisze [b]Jacekalex[/b]
[quote=Jacekalex]System jest tylko tak bezpieczny, jak jego administrator kumaty.[/quote]
Offline
Time (s) | Query |
---|---|
0.00008 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00072 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.20.203' WHERE u.id=1 |
0.00072 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.20.203', 1733951927) |
0.00042 | SELECT * FROM punbb_online WHERE logged<1733951627 |
0.00048 | SELECT topic_id FROM punbb_posts WHERE id=322637 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=30801 ORDER BY posted |
0.00053 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30801 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00255 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30801 ORDER BY p.id LIMIT 25,25 |
0.00313 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30801 |
Total query time: 0.0088 s |