#26 A mediodía estaba con la patronal de la sanidad privada, también se ha comentado si tras la comida se reuniera para tratar sobre el pelotazo urbanístico del "Manhattan de Cullera", de ahí la llamada a su alcalde esa tarde...
#88 Es una decisión estratégica de primer orden que no la toma un becario.
Si es un error o una decisión de un mindundi a los cinco minutos habrían solucionado el problema.
#36 "Las operadoras pueden bloquear por dominio, que es más sutil, igual de ineficiente y por lo menos no jodes a tanta gente. "
Ahí radica el problema
Las operadoras podían bloquear por dominio de dos formas:
a) si hacías las consultas DNS a los servidores que ponen las operadoras, para ciertos dominios podían no dar la repuesta o dar una respuesta que te llevase a una web que mostrase algo así como "dominio bloqueado"
Pero tu puedes consultar otros servidores DNS
Entonces algunas operadoras empezaron a secuestrar las consultas DNS. Cuando veían que una petición iba al puerto 53, en lugar de llevarla a la IP del DNS al que querían ir, la llevaban a su propio DNS y ya resolvían esa consulta como querían.
Interceptar las consultas DNS es rápido, fácil, barato, no requiere mucha complejidad ni máquinas potentes.
Por un lado les dijeron que eso no se podía hacer
Y por otro lado, paralelamente, se había desarrollado el sistema de DNS seguro, porque la interceptación de las consultas DNS, con ataques Man In de Middle puede llevar a fraudes. Bueno, son cosas separadas, pero se aplican.
En algunos casos el sistema podía ver el contenido de las consultas y tratar de implementar un bloqueo
También se desarrollaron sistema de cifrados de las consultas DNS, DNS Over TLS y DNS Over HTTPS (DoT y DoH) . Estas consultas van cifradas y ya si que no se puede ver el contenido de las mismas.
Cloudflare, aparte de servidores DNS normales, también tienen DNS cifrado.
Pero había otro problema. En los paquetes de datos cifrados HTTPS, el campo donde se indicaba el dominio (antes de TLS1.3) iba en claro ... Es más costoso que interceptar las consultas DNS, pero se puede hacer y se hace.
Entonces se desarrollaron algunos nuevos estándares como SNI y ESNI que ya cifran esa cabecera. Es más difícil de implementar porque el propietario de un demonio tiene que obtener un certificado compatible con esni, configurarlo en su servidor web (que debe ser compatible) , publicar en un registro DNS la clave pública, etc.
De este modo , usando DoT o DoH un usuario puede realizar una consulta DNS segura, y después su navegador conectará con el servidor web utilizando TLSv1.3 y podrá comenzar la negociación del cifrado directamente, sin tener que enviar en claro el dominio al que quiere acceder .
Hasta ahora, que yo sepa y que haya visto desde la última vez que lo miré, este sistema de ESNI no lo tiene implementado ningún servidor web, ni siquiera nginx en su última versión .... excepto ... TACHAN!! la versión de nginx modificada por CloudFlare !!
Es decir, que cloudflare es capaz de proporcionar una comunicación casi totalmente privada (casi porque el servidor DNS al que se haga la consulta puede recopilar qué dominios pides. También se pueden saber ips, etc)
Con todo esto que he puesto y que no iba a poner, pero me he enrollado, se hace muy difícil para telefónica y otros hacer bloqueos efectivos .
#36#38 Ayer se lo explicaba a alguien de mi edificio y le decía:
Es como si el vecino del 7ºD trapichea y nos prohiben a todos entrar al edificio, porque si nadie entra, nadie puede ir a comprar droga.
#21#36#17#10 es de analfabetismo digital de libro lo que han hecho. Tras X miles de IPs de Clodflare están X millones de IPs de webs de empresas, grandes y pequeñas. En mi trabajo se han visto afgectadas montones de webs que usan el cdn de Cloudflare para aliviar la carga de los servidores de alojamiento. Son inmobiliarias, tiendas de ropa, autónomos... Si quieres bloquear la fuente, vale, pero no bloquees al intermediario joer, menuda catetada tecnológica.
#36 Pues sinceramente, para mi el ejemplo de los cuchillos es sumamente absurdos, y si hablamos de armas de fuego igual no te parece tan bueno, mira EE. UU. los malos son los que usan mal las armas. Y en todo caso, en la realidad, lo que se usan son navajas precisamente porque son más apropiadas, lo mismo que se podría decir de Cloudflare.
Además, tu no puedes ir con cualquier cuchillo por la calle sin más, ni a cualquier sitio. En todo caso, ya te he avisado que estoy siendo abogado del diablo, si al final tu empresa se convierte en puerto seguro de esos sitios alegales, pues igual tiene sentido que te responsabilicen a ti. Y es tu responsabilidad que eso no perjudique a tus propios usuarios.
#15 Cuando en un estadio de fútbol la grada llama "mono" a un jugador africano lo hacen porque les parece un chico guapete. ¡Si es un piropo! Ahora, si tú crees que lo hacen como un insulto, quizás el jodidamente racista eres tu.
Es tan forzado y ridículo tu argumento que me has alegrado la mañana de aburrido trabajo. Gracias.
#71 a MAR no le ha importado, pero entiende que si le importe a quien vaya en el asiento del copiloto, que es el que más índice de siniestralidad tiene.
#83 nuera, quería poner nuera.