Nem sokat érnek ezek a beállítások...
Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
nyílt wifin konkrétan mi értelme van kulcsot támadni? ki van plakátolva a falra, mit akarsz rajta támadni?
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
A nyílt wifi hotspotok nagy része nem fogja engedni, hogy csak úgy titkosítva internetezgessél rajta keresztül. Szépen dekódolja, és logolja a forgalmadat. Teljesen mindegy, hogy milyen DNS szervert használsz, a https oldalakhoz csak a speciális/kivétel hozzáadása nyomógombbal férsz majd hozzá.
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
De az nem lenne törvénytelen?
Mert szerintem csak a rajtuk átmenő forgalomba nézhetnek bele.
nem értem a kérdést.
ami átmegy rajtuk, abba bele tudnak nézni.
ami nem megy át rajtuk, abba nem tudnak belenézni.
egyébként nagyjából semmibe nem nézhet bele az isp. de ilyenkor nem arról beszélünk, hogy mi törvényes, hanem arról, hogy mi lehetséges.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Pedig én azt hittem hogy ott ülnek emberek a monitorok előtt, és azt nézik hogy Lacika melyik pornó oldalt nézte meg 😁
Egyébként ez a leírás is inkább arról szól hogy a felhasználó legyen nagyobb biztonságban, mert a komolyabb dns szolgáltatók rendelkeznek olyan dolgokkal amik őket is védhetik, viszont a leírás címe sem teljesen jó, mert az internet adott esetben nem egy biztonságos hely, szóval attól hogy valaki másik dns-t használ, még nem lesz teljesen biztonságban.
A következő két feltételezés valóban szükséges még a biztonsághoz: az (1) es és (2) es pont összetartozik, egymás nélkül mit sem érnek; illetve a másik hogy a telefon előélete során bizonságos(abb) hálózathoz is kellett csatlakoznia.
"ami átmegy rajtuk, abba bele tudnak nézni"
Ezt a hülyeséget ne terjeszd mert nem igaz.
Ha bele tudnának nézni akkor azt bal felül észre lehetne venni.
Az viszont igaz hogy van akikben meg kell bízni. Pl a telefon gyártója, az android fejlesztője, a microsoft, stb
Ha ezekben sem bízol akkor ne netezzél. 
hol bal felül?
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
Ezt a hülyeséget még mindig terjeszted?
El tudnád mondani, hogy a viruskergetőknek mit kell megcsinálniuk ahhoz, hogy meg tudják csinálni a MITM-et, csak hogy érezzük, hogy miről van szó?
DRM is theft
ami átmegy rajtuk, abba bele tudnak nézni.
Nem.
Tényleg meglepő, hogy mennyire fogalmatlan vagy, ráadásul úgy, hogy ISP-nél dolgozol.
DRM is theft
Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.
Gondolom a DNS over HTTPS / TLS híre még nem ért el hozzád (direkt megnéztem, a "privát DNS" az ezt fedi az android beállításainál).
DRM is theft
Szerintem arra gondolt ami az ISP dns szerverén megy át, az tényleg elég érdekes lenne ha mondjuk a Clodfare dns szerver forgalmát tudná megnézni mondjuk a Telekom.
Szerintem arra gondolt ami az ISP dns szerverén megy át
Persze, de kb. minden forgalom titkosítva megy, amibe az ISP nem lát bele.
DRM is theft
Titkosítás nem csak a DOH ( 443-as port ) és DOT ( 853-as port ) esetén van?
Sima UDP 53 esetén tudomásom szerint nincs.
ami átmegy a kijárati routeremen, azt meg tudom nézni.
többek között azért is, mert törvény kötelez rá, hogy ha az illetékes "hatóság" meg akarja nézni, akkor nekem a szükséges technológiát biztosítanom kell.
Tehát ha te beírod dns szervernek a gépeden, hogy 1.1.1.1 vagy 8.8.8.8, akkor nekem ezt a két ip címet kell kifordítanom a "törvényi megfelelés" portra (nem röhög, durva fordításban így hívja a doksi), és akkor látom, hogy mit akarsz. Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.
A telekom (vagy én) a cloudflare forgalmát nem tudom megnézni. Az én előfizetőm cloudflare felé menő forgalmát viszont igen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba. Ezek után a víruskergető elfogja a https kérést, gyorsan hamisít egy ca-t, és nyit egy másik kapcsolatot a cél felé. A hamisított ca-t a böngésző elfogadja, mert az azt aláíró kulcsot elismeri megbízható kulcsként.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Mármint DNS-nél? De. Nagyjából emiatt van a "kb." 
Mert ezen kívül tényleg minden másnál alap a titkosítás, emailnél, webnél, miegyébnél (főleg, hogy a "miegyéb" java része szintén HTTPS-en keresztül megy).
[ Szerkesztve ]
DRM is theft
A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba.
Amihez root hozzáférés kell, ugye.
Egy random nyílt access pointnak vagy az ISP-nek mióta van root hozzáférése a gépemhez?...
DRM is theft
Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.
Kivéve, hogy nem, mert ugye TLS védi az egészet.
[ Szerkesztve ]
DRM is theft
mitől lenne hülyeség? elindítasz egy dns kérést, kapsz rá választ, amit vagy meghamisítottam, vagy nem. ezek után indítasz egy https kérést, ott is látom, hogy a korábban lekért domainedhez tartozó ip címre megy a kérés, tehát belenéztem a forgalmadba akkor is, ha esetleg a https-t nem törtem fel.
Ha valami kamu módszerrel eljuttatnék egy megbízható kulcsot a gépedre, akkor még azt se vennéd észre (oké, mondjuk azt, hogy átlagbéla userek 99%-a nem venné észre), hogy nem az a titkosítás él.
Márpedig amíg az userek gépét az isp konfigurálja, addig mocskos gyorsan oda lehet rakni nagyjából bármit.
Ezek itt lehetőségek, nem pedig a szokás.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
és hogy rezolválod a doh ip címét? rajtam keresztül?
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
beküldöm egy walled gardenbe.
másodpercek alatt fogja megadni a rendszergazda jogot.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
és hogy rezolválod a doh ip címét? rajtam keresztül?
Mondjuk DNS szerver címének domain nevet használni komoly "ezt így hogy? (és főleg: minek)" kérdéseket vet fel, de ha emberünk a te DNS szervereddel bootolja be a dolgot, akkor is kibukik az egész, mivel a TLS sikítani fog, hogy a túloldalnak nincs érvényes certificate-je.
[ Szerkesztve ]
DRM is theft
na mégegyszer: hogy rezolválod a DOH ip címét? a dns ip címét nem rezolválod, azt normálisan belerakják vagy a dhcp válaszba, vagy a pppoe válaszba.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
"Ha ezekben sem bízol akkor ne netezzél": én ezt teszem.
a mobil telefonomon gyakorlatilag semmi nincs, a tabletemen nagyjából semmi, ami fontos. ami netezés, az itthon a desktopom és a saját megbízható hálózatom.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Ott van: "emberünk a te DNS szervereddel bootolja be a dolgot"
DRM is theft
Egy nap a kezemben nyomkodtam a telefonomat, és láttam, hogy új SMS-em érkezett. A telefon kiírta a tartalmát a képre, így nézett ki: ascii karakterek, 5-10 betűnyi kriksz kraksz, majd így folytatódott: ELF.
Villant egyet a kép, mintha elindulna valami... majd mintha mi sem történt volna, működött tovább a teló. Még kb 3 másodpercig. Ugyanis olyan kurva gyorsan nem láttál még embert telefonból egy aksit kitépni, mint engem akkor 
Onnantól kezdve okos eszközről már én sem internetezem.
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
hát ja, azt az alapvető kérdést felejtette el Doky586 is, hogy a helyi kávézó ingyen wifijének az üzemeltetőjétől kell jobban félni, vagy a nagy adathörcsög cégektől, akik mindent, még a dns kéréseidet is maguknak akarják tudni.
vagyis hogy amikor például áttérsz doh-ra, az vajon cseberből vederbe? hint: igen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Nem így működik (androidon).
A DNS itt nem egy ip cím. Be sem lehet ip címet írni dns-nek. Csak https-en kommunikál, és ha nem egyezik a régebben meglevő aláírással akkor nem fogadja el, nem változtatja meg.
A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu), de azt nem hogy mit. A forgalomba nem látsz bele. Esetleg a forgalom mennyiségét látod hogy 1 óra alatt 3 GB forgalom ment át köztük, és ennyi...
El kell fogadni, hogy internetkapcsolatnál nincs privát, lekövethetetlen zóna. Kényes tartalmat, atombomba farigcsálást csak a szomszéd/ cég biztosította wifin, céges eszközön érdemes nézegetni. ![;]](http://cdn.rios.hu/dl/s/v1.gif)
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat. Szerencsére nincs rá elég kapacitás hogy minden ember minden apró stiklijét lekövessék. Vannak szavak, amik egy szűrőn megakadnak, és ha gyakran, ugyanannál az ip címen ismétlődik, utánanézhetnek az illetőnek.
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat.
Amíg az ember ki nem kapcsolja a 3rd party cookie-kat vagy még inkább installálja mondjuk a Ghosteryt vagy az uBlock Origint.
Ne csináljunk már úgy, mintha ezek valami misztikus, kikerülhetetlen dolgok lennének.
DRM is theft
A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu)
Még azt se, csak azt, hogy melyik IP-vel.
DRM is theft
Privát kulcs nélkül aligha nézel bele a https forgalomba, lévén nem tudod kicsomagolni. Vagy a kliens gépet kell megmókolnod (mint ahogyan leírtad a víruskeresős példával) vagy kommunikáció másik végét kell, mondjuk egy a bank oldalát. Az oké, hogy eltérítheted a forgalmat, meg tükrözhetsz portot és rögzítheted, meg maszkolhatsz, NATolhatsz stb... ellophatod a diót, de feltörni nem tudod.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
Ha egyszer sem tud a megkerülésem nélkül csatlakozni a doh szerverre, akkor van rá esély, hogy legyen kulcsom.
Másrészt ha simán kifilterezem a doh forgalmat, akkor előbb-utóbb visszavált dns-re.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Nem vált vissza. Ezt írja: [kép]
De különben is ez is ugyanolyan https forgalom mint bármelyik másik. Ugyanaz a célport is. Ha blokkolod nem működik a net. Elég feltűnő user szempontból..
[ Szerkesztve ]
a júzer vált vissza, nem a telefon.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Ha a user vált nem biztonságosra, akkor legyen annyi esze hogy nem bankol nyílt wifin.. 
Arra viszont nem jöttem rá hogy az android beállításaiban szereplő "privát DNS" az DoT (tls 853) vagy DoH (https 443) -at használ-e. Majd kikisérletezem ha jut rá időm. (ámbár ez valószínű android verzió és gyártófüggő is)
A böngészőbe épített biztos hogy DoH-ot használ, így nem szűrhető külön a böngészéstől. De nyilvánvalóan a böngésző beállításai csak a böngészőre vonatkoznak, minden más program az oprendszer beállításait használja.
Windows laptopot használóknak csak a böngészőbe épített biztonságos dns funkció marad, mert a windowsok még nem tartalmaznak ilyen funkciót.
[ Szerkesztve ]
Elvileg DOT, volt arról szó hogy Android 13-ba be kerül a DOH, de nem került bele, azt nem tudom hogy a 14-be be került-e már.
"Ha a user ... annyi esze": mindig ezek a fikciós regények...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Itt nyilván a rendszer "privát dns" funkciója az 'app'-okat is védi, ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-el. Főleg hogy ezek pl fizetéskor egyenleg-lekérdezéskor is futnak bejelentkeznek, nemcsak a hagyományos értelemben vett bankolásor.
Hagyományos webbankhoz meg ott a böngésző "Biztonságos DNS" funkciója. Amit ha ip alapján leblokkolsz akkor minden weboldal blokkolódik, azaz a józan ész szerint gyanúsnak kell lennie a dolognak és nem a biztonság kikapcsolásával kell reagálni. Nyilván az átlag boltokban (meki, tesco, auchan) nem blokkolják a https dns szolgáltatókat.
[ Szerkesztve ]
DNS beállítások Vannak a Windowsban. A titkosított adatátvitel is támogatott a DNS szerverhez.
SOHO környezetben A router beállítása a leghatékonyabb. Ha nem lehet, akkor a Raspberry Pi hole lehet a jó megoldás.
Legyen béke! Menjenek az orosz katonák haza, azonnal!
ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-e
Nem, a https az ellen is véd, illetve szinte biztosan certificate pinninget is használ, vagyis csak és kizárólag azt a certificate-et fogadja el, ami bele van drótozva.
DRM is theft
Azért valószínűleg egy banki app jól van megoldva, persze egy esetleges app hamisítás ellen már nehezebb a dolog.
Tudtommal csak a Windows server 2022 ben van titkosított dns elérés.
Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt..
win 11-ben már van alapból
Kösz, ezt nem tudtam. W10-et használok.
Ebben a modern DDOS-protection-os korban nem hiszem, hogy konkret certificate-pinning-et hasznal - legfeljebb a root certificate-et ellenorzi le, hogy ott van-e a listan...
Masreszt, ISP-re visszaterve. Az ISP-nel elhelyezett monitoring eszkoznek biztos van olyan wildcard cert-je, amit olyan root cert-el irtak ala, mi benne van a globalis CA listaban, pl. ez:
CN = Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
O = NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.
L = Budapest
C = HU
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
Kizárólag a TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 gyökértanúsítványban bízom. (nem)
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
"Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt.. "
Én sem, bár nekem nem jut eszemben ennyire groteszkben gondolkodni. Szükség nincs rá bár megvalósítható.
Legyen béke! Menjenek az orosz katonák haza, azonnal!
bejegyzés Biztonságos internetezés beállítása nyílt wifi hotspot(ok) használatához
