> Z pohledu filosofického je to podstatně složitější.
> Přirovnal bych to k debatě, jestli patří alkohol
> za volant nebo ne. Každopádně si dáváme
> velmi záležet na tom, abychom filtrovali
> jen to, co je filtrace hodné.
Souhlas, že je to složitější filozofická otázka.
Nevím, jakým způsobem přesně používáte zmíněné přirovnání, ale dle mne "alkohol za volantem" je chybný směr. Přirovnání Internetu k chůzi nebo provozu po fyzických komunikacích mám rád, používám sám častěji, ale v tomto kontextu by mnohem lépe odpovídalo např. něco jako dávání zákazů vjezdu na různé silnice a uličky (které mohou vést k obchodům, firmám, etc.). Takovéto nebo podobné přirovnání by mi přišlo mnohem korektnější, než Vámi zmíněný alkohol.
Chápu, že jste našli místo na trhu, které je technologickou výzvou a slibuje vybudovat skvělou firmu a vydělat mnoho peněz. Ale já zde vidím do budoucna velká nebezpečí v tom, jak je vv současnosti omezována svoboda slova.
Např. v EU se teď jednalo o rozšíření teroristických a podobných závažných trestných činů o obyč. hate speech. Což slibuje do budoucna velmi nepříjemné důsledky pro nás všechny.
A skupiny, kteří to běžně prosazují, se ani neštítí pokusů, aby se část takových snah děla pokoutně. (viz např. když se před pár lety projednávala smlouva ACTA - a nebo i viz některé pokusy u nás, kdy třeba v parlamentu nebo jinde s něco bez velké publicity pokusí prosadit)
Takže, jakmile jsou kdekoli blacklisty či procesy, které nejsou úplně pod veřejnou kontrolou, tak je logické, že to vzbuzuje oprávněné pochybnosti.
Nikoliv, DNSSEC jsou také privátní/veřejné klíče, podpisy, validace a ověřování. Hlavní smysl je, aby nešlo nic z autoritativních nameserverů cestou změnit, to je přesně co se pokoušíte dělat přesměrováním na blokační stránku, to prostě pod DNSSEC nefunguje. Můžete pouze odpověď zamlčet, znehodnotit, ale žádná změna není validní.
DNSSEC musí mít doména zapnuté (v českém prostředí je ale penetrace obrovská) a také klient (uživatelům počítač) musí DNSSEC validovat, to se postupně zlepšuje i pro domácí uživatele.
Pane Vítku, přesně pro tyhle účely máme ve Whalebone velmi striktní politiku práce s daty zakotvenou v dohodě o zpracování dat podepsané se všemi zákazníky. Data nám neumožňuje přeprodávat. Druhé opatření je technické - tzv. deduplikace, kdy zaznamenáváme jen první dotaz na danou doménu na dané IP za 24 hodin.
S tím DoH je to trochu jinak. I Mozilla, která v tomto rozvířila vody, nakonec přistoupila na stejná pravidla hry jako ostatní prohlížeče. Ten mýt ale v komunitě stále žije. Máme na to rozpracovaný článek, který to vysvětlí a popíše aktuální stav.
Velmi zjednodušeně řečeno je to takto: Prohlížeč respektuje nastavení poskytovatele, ale preferuje DoH a pokud poskytovatel DoH má, jede se přes něj. Pokud ne a řekne, že se má jet i přes to přes jeho DNS, jede se přes jeho DNS bez ohledu na DoH.
Rád pak na vyžádání selektivně zašlu. Budeme o tom určitě standardně mluvit i na našem dalším webinář --> https://www.whalebone.io/cs/isp/webinar-isp/
Jeví se to jednoduše. V reálu je to takto:
- "Blacklist", kde se za den vymění zhruba 125.000 domén a je tam kolem 4.000.000 malware domén s kategorizací, informacemi o infekci, možnosti pokročilého managementu. Máme velmi přesnou detekci, na které porážíme konkurenty.
- Stojí nad ním strojové účení, statistika, historická analýza, algoritmy. Výsledek je, že doménám je přiřazeno skóre, kterým se pak řídí citlivost.
- Kolem DNS je vystevěn celý ekosystém služeb nastavitelných buď přes cloudovou administraci nebo integrovatelný přes API, webhook, syslog,...
- Na rozdíl od typických konkurentů (teď mluvím za ISP a korporáty) jako FlashStart, WebTitan, Cisco Umbrella, SafeDNS, NextDNS, DNSFilter,... to máme postavené na plnohodnotném lokálním DNS, o jehož rozvoj se pro zákazníky staráme.
- A jde i o support, který poskytujeme.
Mrkněte třeba na záznam představovacího webináře: https://youtu.be/42HldADT8Z0 nebo klidně dejte vědět a ukážu vám to zevnitř.
petr.soukenik@whalebone.io
Dobrý den, otázka zasahování do internetu / síťové neutrality je to, co sami velmi intenzivně řešíme. Z pohledu jejího výkladu je bezpečnostní filtrace v pořádku. Máme na to i právní analýzy. Problém nastává, pokud bychom provedli nějakou falešně pozitivní blokaci. Na to máme řadu pojistek. Včetně možnosti povolit v síti obejití blokace na rozhodnutí zákazníka. Z pohledu filosofického je to podstatně složitější. Přirovnal bych to k debatě, jestli patří alkohol za volant nebo ne. Každopádně si dáváme velmi záležet na tom, abychom filtrovali jen to, co je filtrace hodné. Služba je skutečně na vyžádání - u malých a středních ISP ze strany ISP (s možností opt-out daného zákazníka), u větších poskytovatelů = telekomů na vyžádání včetně platby, v korporátních sítích striktně pro všechny. Pokud byste měl zájem o právní analýzu nebo třeba další debatu, klidně se ozvěte --> petr.soukenik@whalebone.io.
Dobrý den, ano, myslíme. Odpovědi jsou totiž na lokální resolveru nakešovány a tím pádem se to chová jak standardní DNS dotaz, který je odbaven z keše. Dokonce máme s Whalebone v řadě sítí lepší výsledky než např. čistý Bind. Rád s vámi případně proberu podrobněji: https://whalebone.pipedrive.com/scheduler/QbeRpbTx/whalebone-isp-11-call
Nejdříve DNS dotaz zpracuje Whalebone resolver, který vyhodnotí samotnou doménu a nastavení daného zákazníka pro jeho zařízení (každá SIM karta může mít úplně odlišné nastavení) a podle výsledku buď pošle standardní odpověď nebo zákazníka přesměruje na blokační stránku.
DNSSEC podporujeme odjakživa a nehodláme na tom nic měnit.
Může mi někdo více znalý problematiky než jsem já vysvětlit, jak se zapnutým DNSSEC může dojít na nějakou stránku? Nějaká speciální odpověď od DNS serveru, která se nemusí "podepisovat"?
Ještě je důležité dodat, že resolvery našich zákazníků mají k dispozici dostatek výkonu a nasazení DNS-over-HTTPS nebude představovat žádný zásadní problém.
A tohle jsem taky nepochopil.
Když si nainstaluji Firefox, který má v sobě přednastavené servery Cloudflare (v Chrome jsou předpokládám přednastavené Googlovské servery) tak jak to Whalebone zabezpečí?