»

Apple in Cloudflare predlagata Oblivious DNS

Slo-Tech - Četudi dandanes deskamo po spletnih straneh, do katerih so povezane šifrirane (HTTPS), prometni podatki še vedno curljajo v internet. Ob obisku posamezne spletne strani namreč brskalnik zahteva naslov IP, ki pripada iskani domeni. Ta podatek strežniki DNS vrnejo v nešifrirani obliki, zato ga lahko prestreže kdorkoli. Problem pa ni le prisluškovanje, temveč tudi možnost vrivanja lažnih informacij z namenom zlonamerne preusmeritve. Apple in Cloudflare sta predlagala tehniko, ki to težavo odpravi.

Da so poizvedbe odprte in vidne vsem, je že dlje časa prepoznano kot zasebnostni problem. Razvile so se že alternative, denimo DNS over HTTPS (DoH) in DNS over TLS (DoT), ki zagotavljata zasebnost s šifriranjem poizvedb. A to ne odpravlja problema, da ponudnik strežnika DNS še vedno vidi, kdo išče kaj. To je po navadi ponudnik dostopa do interneta, lahko pa tudi namenski ponudnik storitve, denimo Google (8.8.8.8) ali Cloudflare (1.1.1.1). Nova tehnologija, ki sta jo Apple in Cloudflare...

27 komentarjev

Firefox dobiva privzeto vključen "DNS over HTTPS"

Slo-Tech - Mozilla v Firefoxu sicer že dlje časa podpira šifrirane poizvedbe na domenskih strežnikih (DNS over HTTPS oziroma DoH), a je bilo treba to funkcijo ročno vključiti. Odslej bo to privzeta nastavitev, a za začetek le za uporabnike v Severni Ameriki. DoH je pomemben gradnik internetne infrastrukture, ki podpira anonimnost in varnost. Medtem ko je dandanes komunikacija s spletnimi stranmi večidel šifrirana (HTTPS), so poizvedbe pri domenskih strežnikih nevarovane. HoT odpravlja to vrzel.

Firefox bo prvi večji brskalnik, ki bo novi standard podpiral privzeto. Za uporabo bomo morali izbrati ponudnika storitev domenskega strežnika, ki sta v Firefoxu trenutno Cloudflare in NextDNS, lahko pa vnesemo tudi svojega, če ga imamo. Kot pojasnjujejo v Mozilli, so jih k uvedbi te storitve prednostno v Ameriki vzpodbudile prakse tamkajšnjih ponudnikov interneta, ki nadzorujejo spletni promet uporabnikov, kar izkoriščajo pri prodaji oglasov. DoH seveda tega ne bo v celoti odpravil, bo pa znatno...

69 komentarjev

Turčija hoče svoj svetovni splet (ttt)

Recep Tayyip Erdogan

Haaretz - Kot smo že poročali, je turški premier Recep Tayyip Erdogan pred lokalnimi volitvami konec marca zaukazal blokado Twitterja, YouTuba in še nekaterih drugih tujih spletnih strani, ker so se tam začeli pojavljati (upravičeni ali ne) napadi nanj osebno. Taktika se je zgleda izplačala, saj je njegova stranka doživela prepričljivo zmago (s ~43% glasovi vseh volivcev), ustavno sodišče pa je o odpravi blokade odločilo šele v začetku aprila - skratka, po volitvah.

Vlada te blokade sicer še ni odpravila, ker so našli še nekatere druge očitke zoper Twitter, konkretno glede (ne)plačevanja davkov. Obenem pa bi radi šli še veliko dlje od blokade posamičnih strani: turški minister za promet, pomorstvo in komunikacije Lüfti Elvan je tako ta vikend omenil kar...

75 komentarjev

DNSSEC je tu

DNS root nameservers

vir: Heise
Heise - Ta teden se je z dvotedensko zamudo, ki je nastala zaradi dodatnih testiranj ICANN-a in VeriSigna, zgodil prehod z DURZ (angl. deliberately unvalidatable root zone) na DNSSEC (angl. domain name system security extensions), poroča Root DNSSEC. Odslej vseh 13 vrhovnih domenskih strežnikov (v resnici gre pri nekaterih za gruče z anycastom in ne individualne strežnike), ki skrbijo za prevajanje znakovnih domen v IP-naslove, uporablja DNSSEC-ključ, ki omogoča podpisovanje odgovora. To pomeni, da bodo razni napadi z zastrupljanjem predpomnilnika, MITM-napadi in podobni ne bodo več možni, saj bo moč dobiti verodostojen podatek od domenskega strežnika.

Starejši DNS-razreševalniki (angl. DNS resolver), ki podpirajo le majhne podatkovne paketke (manjše od 512 kB) in zaradi zvišanja njihove velikost v DNSSEC-u novega...

0 komentarjev

Švedske domene nedostopne zaradi napake z DNS

Slashdot - Včeraj ponoči se je Švedom pri rednem vzdrževanju domenskih strežnikov za svojo domeno .se primerila huda nevšečnost, zaradi katere so bile vse njihove domene nedosegljive. Izpad se je zgodil ob 21.45 po lokalnem času in je trajal do 22.43. Nedostopnost je trajala še nekaj časa, dokler niso vsi glavni ponudniki interneta počistili cachea svojih DNS-strežnikov in osvežili zapisov. Vse naj bi se vrnilo v normalne tirnice najkasneje do danes.

Kaj točno se je zgodilo? Ob rednem vzdrževanju domene .se je njihov skrbnik naložil napačno skripto, ki ni vključevala zaključitvene pike (terminating "."). Ta je nujno potrebna, da DNS razume, da je .se vrhovna domena in ne kakšna poddomena. Ker se poizvedbe DNS shranjujejo lokalno na različnih strežnikih, da se zmanjša obremenitev avtoritativnih, bi lahko napaka teoretično ostala še 24 ur po vzpostavitvi pravilnega stanja. Obstaja slab milijon švedskih domen in prav vse so bile prizadete.

4 komentarji

Izraelsko-arabska vojna se bije tudi na medmrežju

Ars Technica - Novi časi in nove tehnologije prinašajo tudi nove možnosti vojskovanja na novih bojiščih, tako da pravzaprav ni presenetljivo, da se trenutni konflikt med Izraelom in Palestinci bije tudi na spletu. Tuji mediji tako poročajo, da so hekerji izraelske vojske večkrat vdrli v TV-postajo Al-Aqsa, ki jo vodi Hamas, in širili proizraelsko propagando. Napadi so se vrstili prejšnji teden in cel vikend, ko so vdor izkoristili za predvajanje kratkih filmčkov, kjer npr. Hamasove voditelje postrelijo in javnost opomnijo, da se čas izteka. Na nekem drugem posnetku se pojavi zvoneči telefon, na katerega se nihče ne javi, z besedilom: Hamasovi voditelji so se skrili in vas pustili na bojni črti.

Poleg teh paravojaških taktik so se lotili tudi nekaj uradnejših, med drugim so odprli kanal na YouTube, kjer prikazujejo posnetke akcij in druge materiale, ki - po njihovih besedah - pričajo o humanosti akcije in vojaških uspehih izraelske vojne.

Hamas jim seveda ni ostal dolžan. Na propagandni program...

116 komentarjev

Mnenje: 100 milijonov tolarjev?

Finance - 100 milijonov tolarjev je po ugotovitvah časnika Finance že skorajda astronomska vsota denarja, ki jo je ARNES zaslužil s prodajo domen (po 4.000 SIT za domeno) in (po poročanju Financ) porabil za vzpostavitev delujočih strežnikov DNS. No, denarja je ARNES od registrarjev prejel še malenkost več, tako da so strežniki DNS verjetno res odlični. Prav tako ARNES rad postreže s podatkom, da njihovi strežniki DNS odgovarjajo na več kot milijon poizvedb na uro.

Če se novinar ni temeljito zmotil, potem je bil strežnik DNS največji strošek postavitve registra domen .si, ki ga vodi ARNES. No, ker domenski strežnik BIND (ki ga verjetno uporablja tudi ARNES: dig version.bind txt chaos @srebrnjak.arnes.si) zmore odgovoriti na več kot 300 poizvedb na sekundo že na običajnem PC računalniku (zadostoval bi razred procesorja pentium III), lahko domnevamo, da je register stal bistveno manj kot 100, verjetno pa tudi manj kot 10 milijonov tolarjev (vključno s tajnico, telefaksom, telefonom,...

41 komentarjev