<div dir="ltr">El aspecto de privacidad de ECS esta atado al perfix length utilizado. En general es un /24, lo cual ya evita un id uno a uno.<div>Una estrategia interesante: <a href="https://medium.com/nextdns/how-we-made-dns-both-fast-and-private-with-ecs-4970d70401e5">https://medium.com/nextdns/how-we-made-dns-both-fast-and-private-with-ecs-4970d70401e5</a></div><div><br></div><div>Saludos</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 9, 2020 at 6:11 AM Arturo Servin <<a href="mailto:arturo.servin@gmail.com">arturo.servin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 9, 2020 at 9:45 AM Bill Woodcock <<a href="mailto:woody@pch.net" target="_blank">woody@pch.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br><br><blockquote type="cite">On Sep 9, 2020, at 10:25 AM, Arturo Servin <<a href="mailto:arturo.servin@gmail.com" target="_blank">arturo.servin@gmail.com</a>> wrote:<br>Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver debe usar (rfc7871 si no me equivoco) la extension de subredes.</blockquote><div><br></div>O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP doméstico. </div></blockquote><div><br></div><div>Si, es lo mejor.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Quad9 hace esto para no tener que filtrar los datos de los usuarios en forma de Extended Client Subnet (ECS). Aquí hay algo que escribí explicándolo en otro contexto:<br><br><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px">"Extended Client Subnet (ECS) es otro mecanismo del que se puede abusar para socavar la privacidad de los usuarios. Como se ha señalado anteriormente, los resolvedores recursivos, por intención y diseño, protegen la identidad de las personas que realizan consultas del DNS rompiendo la relación de uno a uno entre las consultas originadas por el usuario y las visibles en el servidor de nombres autorizado, y eliminando la dirección IP del usuario de la consulta que ve el servidor de nombres autorizado. ECS subvierte directa e intencionadamente esta barrera añadiendo la dirección IP del usuario o encerrando la subred de nuevo en la consulta ascendente como un campo de datos adicional para que lo recoja el operador del servidor de nombres autorizado. Dado que esta información adicional es monetizable, hay cada vez más pruebas de que las redes de distribución de contenido más rapaces han comenzado a penalizar esporádicamente a los usuarios cuyos resolutores recursivos no traicionan sus identidades. Al hacer que esos resolutores recursivos parezcan poco fiables de manera artificial, conducen a los usuarios hacia resolutores recursivos que pasan su PII en lugar de protegerla. Esta forma de castigo para los usuarios que viola la neutralidad de la red es una de las herramientas disponibles para cualquier operador de un dominio de primer nivel."</blockquote><div><br></div>Al igual que el DoH, el ECS vino bajo el disfraz de "ayuda" pero en realidad es una herramienta diseñada para filtrar información personal a las empresas que la monetizan, y para castigar a los usuarios que deciden no filtrar su información.<br></div></blockquote><div><br></div><div>Si te soy sincero los argumentos sin muchas referencias suena un poco a teoría conspiradora. Pero puedo entender que haya algunas compañías con poca ética, pero para otras es una herramienta que sirve para mejorar la calidad de servicios a los usuarios sin sacrificar privacidad o abusar de la información y usarla para otros fines.</div><div><br></div><div>Saludos</div><div>as</div><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><br> -Bill<br></div><br></div>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>