Lupa.cz  »  Tak to zablokujeme v DNS. Nebo ne?  »  Názory  »  Vlákno

Vlákno názorů k článku Tak to zablokujeme v DNS. Nebo ne? od kralant - > Druhá varianta je velmi nákladná a stejně...

  • Článek je starý, nové názory již nelze přidávat.

  • 23. 12. 2016 10:23

    kralant

    > Druhá varianta je velmi nákladná a stejně neřeší v dnešní době běžně používané šifrování protokolem https.

    deep-packet-inspection se da celkem dobre pouzit i pro https spojeni. Uvodni faze hand-shake jsou clear-text. Takze je napr. videt kam se pripojuje uzivatel (jaky Host requestoval) a jaky certifikat server posila. Takze zrovna pro tento ucel je to jeden z nejrobustnejsich postupu detekce.

    Ale porad je validni vsechno ostatni, co v clanku uvadite - VPN, proxy, zodpovednost ISP apod...

  • 23. 12. 2016 10:45

    Filip Jirsák

    V HTTPS se neposílá nešifrovaně hlavička Host, ale je do SSL přidán atribut s názvem domény požadovaného certifikátu (aby server mohl z více dostupných certifikátů vybrat ten správný, který bude chtít klient ověřit). Běžný klient posílá oba dva údaje shodné, ale principiálně se shodovat nemusí – a není to tak dávno, co ještě běžně používané prohlížeče SNI nepodporovaly. Takže by nebyl zas až takový problém vyrobit klienta, který by SNI neposílal (třeba jen pro zvolené servery). Navíc v SNI se opět posílá jenom jméno serveru, takže s jeho využitím dokážete zablokovat celou doménu (jako s DNS), ale ne už jen konkrétní webovou adresu.

  • 23. 12. 2016 11:09

    kralant

    Jojo, to ja vim. Ale ideologicky, u bezneho BFU, to bude ekvivalent Hostu. Pokud provozovatel sluzby vyrobi vlastni variantu browseru nebo udela plugin, ktery bude menit chovani, tak je zase jina diskuse. Ktera je asi na urovni toho, ze muze mit vlastni DNS, nebo tem lidem rekne IP nebo jim proste da VPN...

    Jsem se snazil rict, ze zavrnout deep-packet-inspection, protoze neni videt, kam se pripojuju neni validni.

  • 23. 12. 2016 13:12

    Filip Jirsák

    Že by hráči hromadně začali používat VPN nebo Tor se mi nezdá pravděpodobné. Ale při blokování na úrovni SNI by stačil jeden upravený prohlížeč pro všechny hry, na straně serveru by stačilo jenom to, aby server nebyl nastavený moc přísně. Uživatel by vůbec nepotřeboval klienta pro konkrétní hru.

    Ale deep-packet-inspection je co do znalosti cíle mezi blokováním IP adres a blokováním DNS (znám cílovou IP adresu a můžu znát i DNS název), takže to je možný způsob blokace, to souhlasím.

Dále u nás najdete

Odpovědnost za rozhodnutí zůstává na lidech AI navzdory

Důchody 2026: Jak vypočítat, o kolik vám vzroste penze?

Kolik bude stát snížení záloh OSVČ? Každý tvrdí něco jiného

Máte záložní plán, pokud byste chtěli odjet z ČR?

Pětina lidí leží v nemocnicích zbytečně, ale není je kam přemístit

Množství údajů dle nařízení vlády k JMHZ mnohé překvapí

Proč přichází éra suverénních datových center?

Je mi dobře, prášek si nevezmu. Lidé si nerozumně mění léčbu

Nasedl jsem to samořiditelného taxi bez volantu

Příběh fyzioterapeuta, který léčí závratě a jezdí k lidem domů

Zahraniční cestovní náhrady v roce 2026. 0smnást nových sazeb

Zenbook Duo: elegán se dvěma displeji a několika kompromisy

Huawei se ne a ne odporoučet z Česka a Evropy

HP chce propouštět a šetřit, argumentuje AI

Vzniká nová aplikace PID Lítačka, co se mění?

OpenAI zaznamenala velký únik dat některých uživatelů

Za bolestivou menstruaci někdy může endometrióza

Nevymknou se vládní investice do IT kontrole?

AI reklama Rohlíku to schytala na sítích. Prý je bezpohlavní

Průvodce novým vyhledáváním v éře AI. Co musíte vědět o GEO

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).