<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
</head>
<body>
<div><div class="markdown">
<p dir="auto">Hola,</p>

<p dir="auto">Mi reacción inicial a esto (reconociendo que no hice aún una lectura profunda del tema) es “estamos agregando partes móviles que en el fondo son innecesarias, para resolver un potencial problema de imagen de ciertos actores”.</p>

<p dir="auto">DoT y DoH son protocolos perfectamente buenos. Funcionan, cumplen con su fin (cifrar las consultas). El problema, sobre todo con DoH, es como ciertos actores, en particular Mozilla, lo manejaron. El problema no es con los protocolos, sino con el manejo, me atrevo a decir político, que se hizo de ellos.</p>

<p dir="auto">Cosas que Mozilla nunca debió haber hecho con DoH (siempre en mi opinión, obviamente discutible):</p>

<ul>
<li><p dir="auto">habilitarlo por defecto enviando todo el tráfico a un punto único. No importa que tan bien intencionado fue, no se bien en que estaban pensando.</p></li>
<li><p dir="auto">ser bastante sordos a cuando se les reclamó por este punto.</p></li>
<li><p dir="auto">by-pasear la configuración de resolvers del sistema operativo. Este punto para mí es clave, y representa francamente una traición a la relación de confianza usuario-proveedor. Es el usuario quien tiene que tener claro como controlar esta relación de confianza y no es aceptable que esté enterrada bajo una pantalla que tiene como título “Advanced Settings, you might void your warranty”</p></li>
</ul>

<p dir="auto">Entonces, en vez de agregar <strong>un proxy que divide en dos el rol del recursivo</strong> (oh Margot, como me alegro de no trabajar mas en operaciones) lo que deberíamos hacer es lavar la imagen de DoT y DoH y usarlos como fueron pensados. Si tienen debilidades, bueno, fantástico, veamos como resolverlas.</p>

<p dir="auto">Salute,</p>

<p dir="auto">Carlos</p>

<p dir="auto">On 9 Dec 2020, at 9:40, Fernando Gont wrote:</p>

</div>
<div class="plaintext"><blockquote><p dir="auto">Hola, Marcelo,<br>
<br>
Tanto tiempo! (Un gusto leerte!). Entre lineas....<br>
<br>
On 9/12/20 08:05, marcelo bagnulo braun wrote:</p>
<blockquote><p dir="auto">Pensando sobre esto, una posibilidad seria generar consultas aleatorias para esconder las que son reales. El probelma claro es que incrementas la carga del sistema artificialmente, pero la privacidad tiene un coste, por lo que puede ser razonable.</p>
</blockquote><p dir="auto">Sin lugar adudas. Y también rotar el recursivo al cual envias el query. Entonces no solo escondes los queries dentro de otros randomizados, sino que aparte cada recursivo que utilizas recibe solo un "subset" de los queries que haces.<br>
<br>
De cualquier modo, yo soy de la idea que cosas tales como los sistemas con los cuales te terminas comunicando, los patrones de trafico, etc. (ni hablar lo del SNI de TLS, que entiendo que estaba en vias de ser solucionado), terminan revelando tanto o mas informacion que, si te interesa la privacidad, termina siendo tanto necesario como mas conveniente utilizar una VPN pagada con Bitcoin, y/o usarle la conexion a una tercera parte (cafeteria, vecino, etc.) y/o conectar no-oficialmente un Raspberry Pi a alguna red a la que tengas acceso, que estás cuestiones sobre privacidad DNS.<br>
<br>
Mi ejercicio mental con estas cuestiones es: "es esta tecnología algo que yo usaria y de la cual podria depender en lugares como 'X', si estar haciendo 'Y' pudiera costarme la vida o la libertad?"<br>
<br>
Esa "ejercicio" creo que ayuda a separar entre meros protocolos que sirven como para jugar un poco con estas cuestiones, y tecnologías que abordan el tema seriamente, y de las cuales se puede depender.<br>
<br>
Abrazo,<br>
-- <br>
Fernando Gont<br>
e-mail: fernando@gont.com.ar || fgont@si6networks.com<br>
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
<br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
LACNOG@lacnic.net<br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></p>
</blockquote></div>
<div class="markdown">
</div>
</div>
</body>
</html>