Forum Debian Users Gang

Poddaję się. Nie chcę skończyć jak ten tutaj: xD

Ostatnio edytowany przez morfik (2019-01-14 00:40:56)

Ktoś chyba nigdy nie używał appki YT na andku. xD Choć tam adresy adserwerów są zaszyte bezpośrednio w appce i tych reklam się nie da wyciąć. Ale już w każdej innej appce bez problemu można sobie przekierować adresy adserwerów na loalny serwerek właśnie przy pomocy podmiany faktycznego docelowego adresu IP na lokalny adres 127.0.0.1 -- tak działa np. Adaway. I podobnie cała masa innych rozwiązań, które mają na celu wykroić te reklamy z andka.

@Jacekalex co ci tam odrzucał? Ja na routerze u siebie mam wymuszone przekierowanie portu 53 na adres routera, gdzie sobie buszuje dnsmasq + dnscrypt. Żaden pakiet posłany u mnie w sieci do routera na port 53 nie opuści go niezaszyfrowany, jedyne co to cię VPN albo inny mechanizm szyfrowania DNS ratuje. Ale gołym tekstem zapytania o DNS to u mnie nie przejdą nie ważne co se tam wpiszesz na kompie. xD Choć ja i tak na laptopie i w telefonach mam lokalne szyfrowanie zapytań -- bo nie ufam swojemu routerowi -- ale czasem ktoś przychodzi to lepiej żeby miał to zaszyfrowane niż by nie miał. xD I żadnych pakietów z marsa nikt w sieci nie notuje i pewnie wszyscy są przekonani, że zapytania lecą na 8.8.8.8, podczas gdy faktycznie to lecą na mój router, gdzie mogę podejrzeć gdzie wchodzą i im wyciąć pornusy w razie czego. xD

To o czym ja pisałem wcześniej dotyczyło zwykłego wrednego phishingu, gdzie przez podmianę rekordu DNS (lub i serwera DNS) lądujesz sobie na trefnej stronie, która może być łudząco podobna do strony twojego banku. Tu linux cię w niczym nie ochroni. Były już eksperymenty socjotechniczne na niebezpieczniku i jakoś ludzie ciągle się łapią na tego typu zagrywki phishingowe i to nawet nie trzeba zbytnio ludziom podmieniać dns, wystarczy nieco inną czcionką napisać adres (inny znak UTF) i też będziesz przekonany, że odwiedziłeś adres swojego banku i cie linux też w żaden sposób nie obroni, gdy dokonasz jakiejś płatności za pośrednictwem takiej stronki. xD

Zmieniły się czasy, to fakt, ale kluczem w tym całym syfie jest niezabezpieczony od lat DNS, a że płatności w necie są coraz popularniejsze, to w końcu ktoś coś postanowił z tym zrobić, coś co ja od chyba już 10 lat prawie wykorzystuje na co dzień, choć się ludzie na mnie dziwnie patrzą. Tak czy inaczej gógl implementuje szyfrowany DNS podobnie jak cloudflare już ma od jakiegoś czasu. I wyszło na moje. xD

If you're overly paranoid about computer security...

Tak samo pisali jak mówiłem, że http musi odejść! xD

loms, nie sluchaj ich, uzyj TORa:

https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/

Nie wiem jak przez AdGuard ale dnscrypt-proxy wspiera DNS over HTTPS:

Features
    DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
-- https://github.com/jedisct1/dnscrypt-proxy

W jakim sensie bezpieczne i sensowne? xD

No DoH, to upodabnianie zapytań DNS do ruchu HTTPS -- z tego co czytałem, to nie da rady odróżnić ich, w przeciwieństwie do DoT, co może mieć znaczenie przy cenzurze, bo DoT można by wyciąć, podobnie jak i ruch VPN, który również jest dość charakterystyczny i też można go zablokować bez uszczerbku dla HTTPS, o czym ludzie nie wiedzą i ciągle gadają, że jak coś to będą używać VPN do obejścia cenzury. xD

Ja używałem z początku protokołu dnscrypt ale, że on nigdy się nie stał standardem i w końcu doczekał się oficjalnych wydań w postaci DoT i DoH, to z tych dwóch wolę DoH i jego używam na co dzień za sprawą dnscrypt-proxy.

Ale inną sprawą jest ten Adguard, bo oni do końca chyba nie są OK. xD Część appek/protokołów mają otwartych inne mają zamknięte (np. appka dla andka jest zamknięta). Do wysyłania linku do appki chcą numer telefonu, no tego typu oznaki nie świadczą najlepiej o tej organizacji i ja bym ich unikał. xD

Przykładowo ja bardziej potrafię zapiąć sobie Debiana bo wiem lepiej o co biega w tym systemie niż w OpenBSD, którego po prostu nie znam i przykładowo na serwer (na desktop zresztą też) właśnie wybiorę Debiana bo ten system znam najlepiej także jest jak najbardziej jak pisze Jacekalex

Jacekalex napisał(-a):

System jest tylko tak bezpieczny, jak jego administrator kumaty.

Książek nie czytam zbytnio ale są rfc:

https://tools.ietf.org/html/rfc7858
https://tools.ietf.org/html/rfc8484
https://tools.ietf.org/html/rfc8094