pozostaje PGP
“What ODoH is meant to do is separate the information about who is making the query and what the query is,” said Nick Sullivan, Cloudflare’s head of research.
In other words, ODoH ensures that only the proxy knows the identity of the internet user and that the DNS resolver only knows the website being requested.
Proxy wie kto ale nie wie gdzie, a DNS provider wie gdzie ale nie wie kto.
3 polubienia
Można prosić w języku zrozumiałym dla prawdziwego polaka-patrioty a nie w języku wrogiego nam KO-LGBT ? 
2 polubienia
Sąd kazał im zbudować backdoora, żeby można było czytać “nieszyfrowaną” komunikację
Jakiś czas temu pisałem, że takie rozwiązanie jest rozważane do wprowadzenia w całej EU i ma dotyczyć nie tylko maili, ale też komunikatorów internetowych.
Żyjemy w ciekawym świecie, nie ma co mówić 
“Dla wyższych celów” jest pięknym określeniem, a że cel uświęca środki to może najlepiej całe społeczeństwa do obozów zagonić, wtedy powinno się zrobić bezpiecznie.
1 polubienie
Ale jakie proxy? VPN tak działa, jest dla ciebie proxy. I daje anonimowość. Ale zupełnie nie widzę związku z DNS. Nawet jak już rozwiążesz nazwę DNS w “bezpieczny” sposób, to potem i tak leci zapytanie od ciebie do adresu IP i cała anonimowość poszła się paść.
Twoim proxy (pośrednikiem) jest dostawca. Internetu,VPNa - to nieistotne.
VPN nie daje anonimowości. Dostawca VPNa widzi Ciebie i Twoje zapytania DNS na swoim serwerze proxy.
Jeżeli ISP/VPN provider nie będzie widział Twoich zapytań DNS to jest to rozwiązanie o którym piszą.
5 polubień
No ok ale co to daje? Nie zobaczą zapytania do DNS, ale zobaczą zapytania z adresem IP. A zamiana IP spowrotem na DNS jest bez problemu. Więc gdzie ta anonimowość?
Chyba nie nadążam. Jeżeli zapytanie DNS jest encrypted E2E to jak zobaczą adres IP?
Jeżeli lecisz po TLS to masz połączenie szyfrowane od przeglądarki do end serwera i z powrotem. Jedyne co nie jest szyfrowane to samo zapytanie DNS. Więc na serwerze proxy widzisz zapytanie o www.abc.com, ale nie widzisz co się dzieje w samej sesji - nie widzisz URL, wymiany pakietów itd.
Jeżeli zaszyfrujesz DNS to Twój operator nie będzie widział czego szukasz bo nie będzie widział zapytania DNS; nie bardzo wiem gdzie zobaczy adres IP.
Za to operator DNS zobaczy zapytanie, ale nie zobaczy kto je zadał.
Tu jest to dużo lepiej wytłumaczone:
Proxy to dostawca - przesyła zapytanie DNS do operatora DNS, ten je deszyfruje, przerzuca przez DNS i odpowiedź szyfruje i przesyła do dostawcy a ten do requestera (mój polski cora lepszi).
Czyli dostawca (ISP) widzi to że Ty wysyłasz zapytanie, ale nie widzi co w nim jest, operator DNS widzi zapytanie, ale nie widzi od kogo przyszło. A w drodze powrotnej dostawca znowu nie widzi IP bo szyfrowanko
1 polubienie
Zakładasz że cały ruch jest po ssl?
Chyba nie rozumiem pytania
Chodzi o to że finalnie masz adres IP np Onetu który otrzymałeś w zaszyfrowany i bezpieczny sposób, nikt o tym nie wie. Po czym przeglądarka żąda strony z tego IP i dostawca twojego internetu to widzi. Co więc nam z tego całego bezpieczeństwa DNS, skoro dostawca zna twoje IP oraz docelowe IP Onetu? I wie gdzie byłeś?
Nadal nie rozumiem jak ISP będzie znał IP strony jeżeli połączenie jest szyfrowane i odpowiedź DNS jest szyfrowana. Dostawca (ISP) nie widzi IP już przy DOH, wtedy IP strony widzi tylko dostawca DNS.
Innymi słowy, dostawca Internetu zobaczy że jesteś połączony z zaszyfrowanym (thx @pgronkievitz) adresem IP. Samego IP nie zobaczy. Dopiero Twoja przeglądarka będzie znała IP zdeszyfrowane.
zaszyfrowanym* hash to operacja w jedną stronę, nieodwracalna
1 polubienie
Na swoje usprawiedliwienie mam tylko to: pisane o 8 rano, zaraz po przebudzeniu 
Poprawione
To może inaczej: wpisujesz w adres przeglądarki adres IP Onetu. Żaden DNS nie ma tu zastosowania. Dostawca widzi jak adres IP masz ty i na jak adres IP chcesz wejść. Mając adres IP Onetu robi zapytanie reverse DNS i dzięki temu wie że byłeś na Onecie.
No w tej sytuacji to nie zadziała. Ale ile razy wpisujesz IP onetu zamiast onet.pl?
Nie zadziała też pewnie po http (chociaż w sumie?)
Serwery DNS tak nie działają.
DoT, DoH i DNSCrypt zapewniają szyfrowanie DNS tak jak już @Tadek wspomniał.
Tutaj fajne wizualne porównanie różnych protokołów. DNSCrypt - FAQ - DNSCrypt vs DoH
Inna sytuacja, gdy używasz DNS dostawcy (albo jakiekolwiek innego w tym przypadku) bez szyfrowania, albo gdy posiadasz własny serwer DNS. Wtedy dostawca, może logować odwiedzane strony (domeny i IP które się z nimi wiążą).
Jeżeli chodzi o prywatność DNS w obecnym czasie jest to wybór pomiędzy zaufaniem do twojego ISP a zaufaniem do serwera DNS firm trzecich. Do dupy wybór, ale idzie znaleźć kogoś komu można ufać. Jak choćby serwery OpenNIC na przykład. https://www.opennic.org
1 polubienie
Ja chyba naprawdę czegoś nie rozumiem. Zapytanie do DNS to tylko drobna część całego ruchu sieciowego, który generuje osoba korzystająca z komputera. To pewnie promil wysyłanych requestow. Każdy request wychodzi z naszego komputera (nasze IP) i dochodzi do IP docelowego. Te adresy dostawca widzi zawsze i dzięki nim wie z jakich stron korzystamy. Zaszyfrowanie zapytań do DNS praktycznie niczego nie zmienia. Dostawca i tak wie gdzie uderzamy. HTTPS także nic tu nie zmienia - dostawca wciąż widzi adresy IP i dalszą część url, nie widzi jedynie treści requestow.
Mam naprawdę spore problemy ze zrozumieniem przekazu.
Jeżeli obrazki nie pomagają to zobacz wideo. Ładnie wszystko wytłumaczone i pokazane jak to wyglada pod lupą (wireshark). DNS Encryption explained - DNS over TLS (DoT) & DNS over HTTPS (DoH) - YouTube