<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><br><div dir="ltr"><br>On 18 Sep 2019, at 23:15, Tassos Chatzithomaoglou <<a href="mailto:achatz@forthnet.gr">achatz@forthnet.gr</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr">
  
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  
  
    <font face="Calibri">Προσωπικά είμαι εντελώς αντίθετος με τον τρόπο
      που υλοποιείται στο application level και όχι τόσο με τα
      πρωτόκολλα τα ίδια.<br>
      Θα περίμενα τουλάχιστον να υπάρχει κάτι σε επίπεδο λειτουργικού
      συστήματος για το ποιες εφαρμογές (μπορούν να) χρησιμοποιούν
      DoH/DoT και σε ποιους servers (με δυνατότητα αλλαγής).<br></font></div></blockquote><div><br></div><div>Από ο, τι φαίνεται προς τα εκεί μας πάει η Google.. Το DoH / DoT είναι ένα πολύ μικρό μέρος. Το βασικότερο είναι το QUIC. Το νέο TCP.. Παίζει πάνω από UDP, με υποχρεωτικό TLS, και είναι σκόπιμα userland. Τώρα αν ήθελε κανείς να κάνει optimizations στο TCP, και αλλαγές δεν γίνονται. Σε ένα μέλλον που κάθε εφαρμογή θα έχει το δικό της “TCP/IP” stack, θα είναι πολύ πιο εύκολο. Βέβαια από άποψη administration & debugging, εκεί να δεις.. :-) </div><div><br></div><div>Έτσι κι αλλιώς αναμένεται και το DNS over QUIC άλλωστε, οπότε έχει μέλλον η υπόθεση .. </div><br><blockquote type="cite"><div dir="ltr"><font face="Calibri">
      
      Επίσης δεν μπορώ να φανταστώ πόσες τρύπες ανοίγουν για
      hackers/phishers/botnets/etc. (βλ.</font> <font face="Calibri"><a href="https://www.proofpoint.com/us/threat-insight/post/psixbot-continues-evolve-updated-dns-infrastructure">https://www.proofpoint.com/us/threat-insight/post/psixbot-continues-evolve-updated-dns-infrastructure</a>)<br>
      Αν μη τι άλλο θα ξαναγίνει και το DPI/MITM της μόδας.<br></font></div></blockquote><div><br></div><div>Όσον αφορά το MITM, ευτυχώς τα νέα cryptographic standards είναι σχεδιασμένα για να το αποτρέπουν, και στην χειρότερη να το καταλαβαίνουν. Για το DPI τώρα, δυσκολεύουν τα πράγματα.. Η μόνη λύση εκεί είναι απλή.. Κάνε το οικονομικά ασύμφορο για τον “attacker”: απλά αύξησε την κίνηση σου, μέχρι να μην συμφαίρει για αυτόν το DPI :P Όποιος θέλει να κάνει DPI δεν θα μπορεί, και όποιος δεν θέλει, αλλά δεν θέλει να χαλάσει και την εικόνα του, θα αναγκαστεί λόγω κόστους ;-)</div><div><br></div><div>Αντώνης </div></body></html>