יומיות 05.01.2021: מה DNS over HTTPS ואיך משתמשים בו?
בהמשך לפוסט הקודם: החלטתי שאני רוצה משרד, והחלטתי שאני רוצה אותו בעיר העתיקה בוורשה.
רק אין משרדים בעיר העתיקה של וורשה, והיא גם לא יוקרתית כמו שהייתם חושבים. זה חלק עיר שנהרס במלחמה ויושבו בו פשוטי העם.
מצאתי דירת חדר, במחיר ממש זול של זמן קורונה. שכרתי אותה לחודש, ואני משתמש בה בתור משרד.
הבניין בו הוא נמצאת (ראו תמונה) פשוט מושלם. יפייפיה מבחוץ, ישן ועם ריח מבפנים – אבל בקטע טוב.
הדירה בקומת הקרקע, והאנשים בחוץ ממש "נוגעים" לי בחלון. שזה בסדר, זאת התפאורה שאני רוצה לחודש ינואר הקרוב.
1. אחד המושגים החמים ברשת בשנה האחרונה הוא DNS over HTTPS. כמו פרת משה רבנו, מדובר במשהו שיש לו שם מאד ארוך והוא הרי קטן.
כשאתם אומרים למכשיר שלכם לגשת לבלוג של ניימן, המכשיר משתמש בשירות בשם DNS כדי לברר איפה בדיוק נמצא האתר ניימן.
למשפט התמים הזה יש משמעות חזקה. ברגע ששאלתם "איפה האתר ניימן?", מפעיל שירות ה-DNS בעצם יודע בעצם שאתם גולשים לניימן. נדמה לי שאפילו הגולשים חסרי הבושה הגדולים ביותר לא ירצו שאף אחד בעולם ידע את היסטוריה הגלישה שלהם.
מסורתית מי שהפעילו את שירותי ה-DNS הן ספקיות האינטרנט. לא קצת מטריד שגופים כמו בזק בינלאומי ידעו את הרגלי הגלישה של חצי מדינה? לכן יש אנשים שהחליפו, ידנית, לשירותי DNS קצת יותר פרטיים, כמו זה של גוגל, או של Cloudflare (הידועים במדיניות הפרטיות חזקה שלהם).
לכאורה זה פותר את הבעיה. הרי עכשיו אני מקבל את המידע מהשירות האמין של CLoudflare ולא מאיזה ספק ישראלי חטטן. למעשה, זה רק *מסתיר* את הבעיה, ולא פותר אותה.
למה מסתיר? בגלל שההודעה ל-Cloudflare נשלחת בצורת טקסט לא מוצפן. בעצם, כל אחד שיש לו גישה לאינטרנט שלי, יכול לקרוא אותה ולדעת לאיפה אני גולש. למי יש גישה מלאה לאינטרנט שלי? נכון, ניחשתם, לאותו ספק אינטרנט ישראלי חטטן.
DNS over HTTPS הוא הפתרון לכך. במקום להעביר את השאלה ל-Cloudflare בצורה גלויה לכל, משתמשים בפרוטוקול HTTPS כדי לתקשר איתם בצורה מוצפנת. כך רק Cloudflare יודעים לאיפה אני גולש.
זה כמעט מושלם, אבל עדיין יש פה בעיה קטנה. האם אתם באמת בוטחים ב-Cloudflare? האם אתם באמת בוטחים במישהו בעולם שידע את כל היסטורית השימוש שלכם ברשת?!
הפתרון שהוצע לזה בדצמבר נקרא Oblivious DNS-over-HTTPS.
הוא אומר שאתם לא תתקשרו עם Cloudflare ישירות, אלא תעבירו את ההודעות דרך צד ג'. ככה צד ג' ידע שאתם מבקשים משהו מ-Cloudflare, אבל לא ידע מה (כי המידע מוצפן רק ל-Cloudflare), בעוד ש-Cloudflare תדע שמישהו ביקש מידע מסוים, אבל לא תדע מי (כי היא קיבלה את ההודעה מאותו צד ג', לא ממכם).
למעשה, אתם יכולים להינות מ-DNS over HTTPS כבר היום, רק צריך להפעיל אותו ידנית.
הנה הוראות איך להפעיל אותו בפיירפוקס. הנה הוראות לכרום. גלישה נעימה ופרטית!
2. משא ומתן בין שועל לעכבר, מאת איילה פישהיימר.
3. סיכומי שנת משחקי המחשב של גיימפאד, קצרים, קולעים, מעניינים ועושים לי רק טוב.
4. סיכום שנת המוזיקה של ארז מאנטנות השמיימה הוא, כרגיל, סיכום שנת המוזיקה הטוב ביותר שאני מכיר בעברית. יש לו גם פוסט שמסכם סיכומי מוזיקה של אחרים.
5. בסריטה מעלים, כמו כל שנה, את סיכום הסיכומים, שמכיל מליון טקסטים נהדרים לקרוא.
6. קצת מבאס אותי שכל הסיכומים שאני מכיר הם "ישנים" ורצים כבר משהו כמו עשור. מה, אין אנשים צעירים עם מסורות סיכום חדשות? ואם יש, אז איפה הם? טיקטוק? אינסטגרם? גלו לניימן הקשיש איפה מוצאים מסורות חדשות שנרקמות.
7. Scientific American ערכו רשימה של 10 טכנולוגיות מ-2020 שיכולות לשנות את העולם. זה מתבסס על שיחות שהיו להם עם גלריית מומחים בפורום הכלכלה העולמי האחרון.
כדרכן של כאלה רשימות הן מבטיחות את השמיים, עם שלל דברים שיכולים לעצור התחממות גלובלית, לייצר אנרגיה לא מתכלה ולהפוך קש לזהב (סתם). אבל חלק מהפריטים מעניינים: חיישנים קוואנטיים שיתנו למכוניות לראות "מעבר לפינה", מטוסים חשמליים ו-Spatial Computing.
8. שירות לקוראים\ות!
למתעניינים: שירות העברת קבצים מוצפן מקצה לקצה, עד 5ג״ב, מאפשר סיסמה ללינק, מודיע לכם כשהוא נפתח, הקבצים נשמרים לשבוע או 10 הורדות. אה, וחינמי. יש שם גם השוואה לשירותים מקבילים.https://t.co/IgzWQDK8lS
— Ran Locar 🔥🌉 ران لوكار (@ranlocar) January 5, 2021
9. הסטודיו לאנימציה הפריזאי Autour de Minuit מפיק כמה מהסרטים המצוירים היותר מוזרים, מצחיקים, מקסימים שיש.
מאז הקורונה הם העלו את רובם לערוץ היוטיוב שלהם, ויש שם יצירות כמו זו:
הפתרון לבעיית הdns ברמה הפרטית היא להריץ שרת dns. אפשר בבית, אפילו על רסברי פי. זה יחסית לא מסובך, אפילו לטכנופובים, קל וחומר שלך זה לא אתגר.
זאת אחלה הצעה. אף פעם לא בדקתי איך מתקינים את זה בכלל.
אני מריץ בבית pi-hole עם unbound.
יש לזה תיעוד לא רע כאן: https://docs.pi-hole.net/guides/unbound/
הבעיה עם DNS היא (כמו שניימן כתב בפוסט למעשה) שהבקשות לא מוצפנות והממשלה (וספקי האינטרנט) יכולים לעקוב אחריהן בקלות גם אם אתה לא משתמש בשרתי הDNS של הספק. כך מה שאתה עושה הוא להשתמש בספק DNS אחר אבל הבקשה עדיין קריאה על ידי הISP שלך. לכן למרות שהוא לא 100% הפיתרון של cloudflare הוא מספיק טוב לרוב האנשים כי הבקשה מוצפנת ולכן מקטינה את כמות הארגונים שיש להם גישה למידע על הגלישה שלך (בגדול רק מי שיש לו גישה לשרתים של cloudflair)
מכיוון שהשרת ברשת הביתית שלי, אף אחד לא רואה את הבקשות שלי החוצה, לפחות לא אלו שחוזרות מהcache של השרת שלי, כרגע אני על מעל 80% מהבקשות שחוזרות מהcache.
אני קצת חופר, אבל להשלמת התמונה: אני משתמש בDNS over https בשרת הunbound שלי. יש לזה תמיכה החל מאוקטובר 2020 מגרסה 1.12.
תחפור תחפור, זה מבורך.
כל מה שעובר ברשת שאינו מוצפן קריא על ידי הISP שלך ובנוסף כל שרת אחר שדרכו המידע עובר. רק מאוקטובר אתה באמת נהנה מפרטיות מוגברת, עד אז זה רק היה טיפונת יותר קשה לISP לאסוף את המידע אבל הם בהחלט בעלי יכולת לעשות זאת.
העובדה שהרשת עברה לHTTPS והרעיון של DNS על HTTPS הם בגדול תגובת נגד למעקב של הNSA אחר מידע "meta" כמו האתרים שביקרת והדפים בהם צפית.
העובדה שבקשות חוזרות מהקש בהחלט עוזרת אבל היא לא באמת מסתירה שביקרת באתר מסוים מאחר שבשלב כלשהו היתה צריכה להיות בקשה ראשונה.
(צריך לזכור שבאופן פרקטי האויבים הגדולים ביותר לפרטיות שלך ברשת הם גוגל ופייסבוק ואף אחת מהטכנולוגיות האלו לא מגינה מפניהם)
אני מסכים. הבעיות הגדולות שנותרו לי לפתור הן:
1. חלופה סבירה לוואטסאפ שזו כנראה האפליקציה היחידה שאני לא מוצא לה חלופה בגלל אפקט הרשת. כלומר או שאני שם, או שנשללת ממני היכולת לתקשר עם חלק מהסביבה שלי. (ולא, טלגרם או סיגנל הן לא אופציה). הדבר הקרוב ביותר שהגעתי אליו זה talk של nextcloud שיושב על השרת שלי, אבל אנשים מסביבי לא משתמשים ולא מתקינים.
2. אנדרואיד/אפל. הבחירה במובייל בין טריפה לבין נבילה היא מכה בשבילי. הבחירה היא בגדול בין גן סגור עם דיקטטור משוגע (נאור?) לבין חברת פרסום פולשנית. לא להיט. אילו יכולתי להשתמש והדגש הוא על שימושיות בטלפון מבוסס לינוקס עם תכנה וחומרה פתוחים הייתי שמח יותר. כל זה כנראה מתאים לפוסט אחר וארוך הרבה יותר.
(נגעתי בזה מעט כאן:https://www.matanyamos.es/posts/2020-12-27/self-hosting/)
אני פשוט מקבל את זה וחוסם צד שלישי באתרים עד כמה שאפשר ומשתדל להתרחק משימוש בווטסאפ, אבל זה הרבה יותר קשה כי יש דברים קריטיים שקורים רק שם 🙁 (ועד בית לדוגמא)
ההוראות ל-DNS בכרום כבר לא עובדות בגירסא העדכנית. אאל"ט זה כבר חלק אינטגרלי –
Settings>Security>use secure DNS
רן בר זיק כתב על זה בהארץ
בהצלחה עם המשרד, רעיון טוב וגם אפשר לרוץ/לרכוב אליו/ממנו
אה, לא ידעתי. אין לי כרום : )
לרוץ או לרכב בחורף למשרד זאת פריוויליגיה של ישראליים. אבל אני הולך, זה גם בריא 🙂