edición general
342 meneos
4499 clics

LaLiga recibe la peor noticia. Cloudflare ha reactivado ECH a lo grande y eso hace las webs imbloqueables

La vuelta de ECH es una muy mala noticia para las operadoras, administración y entidades de gestión de derechos, ya que hace inviable cualquier tipo de injerencia en el tráfico generado por los usuarios. A las operadoras les complica la gestión de los recursos de su red y al resto de entidades les deja sin posibilidad de hacer efectivas las órdenes de bloqueo, que en su mayoría están respaldadas por órganos judiciales.

| etiquetas: laliga , fútbol , cloudflare , bloqueo web , ech , gestión de derechos
Comentarios destacados:                
#11 DNS sobre HTTPS en FFox:

cleanbrowsing.org/help/docs/configure-dns-over-https-doh-firefox/

Lista de URL que podéis escoger a copiar y pegar en el recuadro del proveedor, donde pone
custom:

dnsprivacy.org/public_resolvers/#dns-over-https-doh
DNS sobre HTTPS en FFox:

cleanbrowsing.org/help/docs/configure-dns-over-https-doh-firefox/

Lista de URL que podéis escoger a copiar y pegar en el recuadro del proveedor, donde pone
custom:

dnsprivacy.org/public_resolvers/#dns-over-https-doh
#11 Me guardo tu comentario en favoritos. Thanks.
#11 estaría bien poder poner varios y que se fuesen alternando las consultas aleatoriamente, para mayor privacidad.
#16 Si lo que quieres es privacidad te montas un DNS recursivo local que sólo consulte de manera cifrada.
#11 Otro a favoritos
#11 ¿Y cómo te aseguras de filtrar mierda en tu propia red local? Yo ahora mismo en mi red local no permito DoH, al menos los más conocidos los tengo capados, el DNS está con AdGuard y trato de bloquear anuncios, malware, sitios de apuestas...

No me gusta que el navegador decida por su cuenta usar un servidor DNS que no es el del sistema operativo, por mucho que digan que es para 'evitar censura' o 'mejorar privacidad' yo lo veo más como una forma de adueñarse de la info de los sitios que visitas.

Esto de ahora me suena a lo mismo, pero del lado del servidor web.
#53 Tu AdGuard se conecta a los DNS raíces?
#54 No sé qué relevancia tiene cómo resuelva desde Adguard los DNS.

Le tengo puestos varios en la configuración, tanto 'DNS a pelo' como DoH. No busco 'privacidad' o 'saltarme bloqueos', precisamente lo que pretendo es que dentro de mi red local pueda bloquear tráfico no deseado.
#64 Me refiero a que para hosts ya tengo github.com/stevenblack/hosts y alguna mierda propia que encuentre usando scrapers hacia URL's maliciosas pillando más porquería extra.
#70 Para el filtrado tiro del mismo repo que indicas y también tengo alguno más añadido.

El problema es que todos estos cambios para 'privacidad' hace que no puedas aplicar reglas en tu red porque los navegadores por defecto no usan la configuración del sistema.

Desde hace tiempo estoy pensando si se podría combinar el DNS y el cortafuegos, de forma que el cortafuegos no permita ningún tráfico de red a IPs que no haya resuelto el DNS local.
#71 Unbound como DNS local puede usar DoH y demás junto con reglas de filtrado.
#72 Creo que no me he explicado bien.

Adguard puede usar DoH y tener también reglas de filtrado. Ese no es el problema.

El problema es que dentro de mi red local se conecte un ordenador con Windows+Chrome, por DHCP le diga que el servidor DNS es el Adguard y Chrome pase olímpicamente de ello y tire por DoH contra los servidores de Google. Con eso da igual si en mi red local tengo Adguard, Unbound o lo que sea, se salta el filtrado.

Hasta ahora lo he 'resuelto', capando en el firewall las conexiones a los servidores DoH más conocidos y el que quiera resolver DNSs que lo haga con el Adguard de mi red. Eso es un parche y no evita el problema, pero lo mitiga en la gran mayoría de los casos, pero se queda corto.
#73 Ah, vale, pensaba que tú controlabas los dispositivos.
#74 A ver, es la red de mi casa... yo controlo los dispositivos... hasta cierto punto. Cuando viene gente con sus móviles, o los portátiles o si tienes varios ordenadores... Al final es un coñazo ir uno por uno configurando 'bien' las cosas.

Lo que veo es que cada vez Chrome o los 'proveedores cloud' con la excusa de la 'privacidad' lo que hacen es asegurarse que son ellos los que obtienen los datos y los que controlan a qué se accede y a qué no.
#53 Lo mismo puedes montar algún tipo de proxy y que se conecten a el los clientes de tu red local.
Parece que en Mac la solución es tener un proxy local. blog.smittytone.net/2022/05/07/how-to-do-dns-over-https-on-macos/
#11 Para Android no vale, sí para PC,creo
#79 Le echaré un vistazo, gracias.
#11 ¿Por qué usar el de DNSprivacy y no el de CloudFlare?
Que mal :troll: :troll: :troll:
#1 estoy desolado
#5 Lloremos juntos :troll:
#34 Con el buscador de menéame es como si lo hubieran escondido en una caja fuerte con siete llaves en el fondo del mar...
#37 Lo que viene siendo tener catarro y rascarse los cojones
LaLiga la tendría que empurar la AEPD.
Siempre dije que lo de no haber encriptado el SNI cuando se diseñó el HTTPS fue un despiste POR MIS COJONES ¬¬
#15 puede que si, puede que no. En los servidores hay que instalar certificados y en los DNS de los dominios web hay que incluir la información con la parte pública del certificado.

Antes ni tanta gente "se podía permitir"certificados, ni muchos DNS te dejaban incluir campos txt y otros.

Hasta hace 2 días muchos no permitían ni registro CAA y algunos se lian con registros ipv6, y costaba mucho poner de acuerdo a los que diseñaban las distintas implementaciones de servidores DNS
#23 Y ya con el correo con DKIM y demás es un descojone. Es casi imposible tener un servidor propio.
#26 El mayor problema no es DKIM. Si no tienes una IP con sus DNS inverso y directo, ya te puedes olvidar.
#42 Configurar un demonio DHCP y DNS es el menor de tus problemas.
#26 configurar DKIM es sencillo. La única complicación es si tienes una IP fija, que estás obligado a usar un relay. Pero claro... Si tienes un relay ya no envías los mensajes desde tu servidor, sino que tienen que pasar por un servidor ajeno. Yo tengo un servidor de correo sobre una IP variable y puedo recibir y enviar correo sin problema, aunque claro... Para la salida no me ha quedado otra que usar un relay.
#23 Eso es verdad, pero si ibas a entrar a un HTTPS ya por cojones tenias el certificado (o directamente ni carga la web), por lo tanto... ¿que te costaba meter el SNI?. No sé, no sé...

Y respecto a lo de encriptar las DNS, es algo que me parece bastante más complejo y se está haciendo.
#27 pero ni navegadores, ni servidores web eran compatibles. Acuérdate antes de SNI que necesitabas una IP distinta para cada web con certificado SSL, porque no se sabia a qué web iba la petición y entonces el servidor web usaba la primera web que tenías configurada con https, con lo cual daba error de certificado, si la que querías era otra.
#32 Si, llevas razón. Pero aún así... me cuesta creer que con la cantidad de mano negra que hay detrás de todo en este mundo, no hubiese ahí también un poquito para no hacerlo bien desde el principio. Y lo de los problemas técnicos eran muy convenientes... :troll:
#36 fijate lo que ha costado que se empiece a usar ipv6 xD xD y aún falta...
En este España va más lento, pero se está incorporando, pero en América Latina aún están más lejos, y eso que se podrían ahorrar dinero en ips.

Han tenido otros problemas, y han tenido que rectificar, como con CORS y derivados. Cada poco tiempo desactivan directivas que parecía que funcionaban. Y que unos navegadores implementaban y otros no.

A veces sacan "estándares" no tan pensados.

Pero tampoco voy a poner la mano en el fuego por qué no fuese intencional y no un simple descuido o técnicamente no asumible en ese momento
#60 Google (y Cloudflare también) ganan 2 cosas:
- Que Internet sea más rápido y seguro y por lo tanto que sus servicios también lo sean (rápido porque su servicio de DNS es muy bueno, y seguro porque evitan intromisiones de operadores, gobiernos, ...)
- Datos. Mediante los DNS pueden sacar estadísticas de las webs más visitadas y de cómo funciona el tráfico de Internet. Luego pueden usar esos datos para su propio beneficio, por ejemplo para saber qué contenido indexar más a menudo.
Yo uso DoH directamente en mi pi-hole para cifrar las dns. Con eso cualquier dispositivo que se conecte a mi red ya lo usa por defecto sin configurar nada. Instrucciones de cómo hacerlo aquí

www.flopy.es/dns-sobre-https-doh/

Y sí... Estas medidas del estado y los dueños del fútbol al final harán que la gente cifre todo. No creo que sean tan tontos como para no darse cuenta.
Tebas va a tener que prescindir de comprarse su yate anual?

Dios que tragedia. Eso sí que no.
A ver cuándo estandarizan eso en nginx (y debían).
Aunque creo que configurarlo no es trivial
No hace mucho salió por aquí un listado de las páginas que había bloqueado Vomistar.
No quiero decir nada.
#7 ostia que majos que hacen una recopilación para no ir buscando.
#30 Da igual, no busques ese meneo y luego las páginas. Es delito y arderás en el infierno.
Solo era cuestión de tiempo. Si no cloudflare, otra solución hubiese salido por el simple hecho de que es posible hacerlo y si hay demanda, hay negocio. De ahí, lo de poner puertas al campo... harian bien la liga y la judicatura en invertir el dinero que ganan en asesores que sepan del tema y seguir sus consejos en lugar de pensar que el dinero todo lo puede y por huevos y cartera, pueden forzar la realidad a sus necesidades como si de un régimen totalitario fuesen. Mientras no lo hagan, seguirán cagándola.
Parece que el campo no deja que se le pongan puertas ...
#60 No, no ralentiza las peticiones, de hecho se puede iniciar una petición sin preguntar antes al DNS porque Windows/Linux ya la tenia cacheada. El DNS es solo un servicio que te proporciona tu operador, pero no estas obligado a usarlo.

La verdad es que no tengo ni idea de que ganan Google y Cloudflare montando DNS públicos, pero debe ser rentable porque llevan años con ese servicio y no lo han cerrado como otros servicios.
#68 Hay que actualizar acestream a la versión 3.1.80 o superior y se elimina el bloqueo. Me lo ha dicho el primo del tío del portero de la abuela :-x
#77 #68 version 3.2.80 te dijo tu primo me parece , lo entendistes mal
#81 Seguro, yo no lo uso, veo todos los partidos pagando religiosamente, como todos aquí :troll: :troll:
#77 OH AMIGO MIO, te debo una cerveza :hug: :hug:

Por cierto si a alguien más le pasase hay que mirar bien porque dentro de cada versión hay variantes y algunas no van.

Por cierto, el media center es la ostia, usaba el acestream normal y esto es MUCHO más cómodo

:pagafantas: :hug:
#68 Ni idea, por lo que leo Acestream es un protocolo P2P basado en bittorrent así que no creo que esto no afecte al no usar SSL, pero a lo mejor hay alguna parte web que si podría beneficiarse, pero no lo conozco en profundidad para dar una respuesta valida.
Soy lego en el tema, así que lanzo la pregunta, ya que veo expertos aquí. ¿En FFox Android se puede hacer? Y si alguien es tan amable, cómo se haría? Por favor, manual para dummies. Gracias de entrepierna
#35 Pues eso, por que lo necesita Firefox para poder usar ECH. Y no quiero usar de terceros, quiero usar mi adguard + unbound.
#51 al final he conseguido que funcione con duckdns, ahora tengo que probar... Que tengo el puerto 443 ocupado...
Yo quiero usar mi propio servidor DoH pero para conseguir un maldito certificado válido me está costando dios y ayuda...
#13 Let's Encrypt y acme no te lo hacen solo?
#14 Si, estoy con eso. Pero necesitas algún tipo de autenticación del DNS o del HTTP. Entonces con duckdns no lo he conseguido con DNS TXT.
Voy a intentar hacerlo con otro servidor de dynamic dns.
Para mis servicios que dan a internet si tengo configurado acme con traefik y no tengo que hacer nada para que se renueve. Pero para esto lo quería sacar a un router y meter el certificado en el adguard local que estoy montando.
#14 si no tiene servidor web tendrá que hacer una validación DNS. Antes ni era sencillo, ahora con algunos plugins (si tienes ciertos proveedores que tiene api compatible) es más sencillo
#13 entiendo que ese servidor estará alojado en otro país, no?
#17 No, en mi casa. ¿Por?
#19 y de qué te sirve entonces tener un servidor DoH en tu casa? Para hacer las consultas DNS no visibles desde otras máquinas de tu red? Pero si sigues haciendo las consultas desde esa máquina a tu proveedor de conexión o a otros DNS no cifrados, no te ayuda gran cosa. A no ser que sea por el simple placer de trastear
#22 Para poder usar ECH con Firefox necesitas DoH. Es imprescindible. Y Adguard voy a hacer que use mi propio DNS recursivo (unbound).
Ahora mismo todo esto lo tengo configurado sin HTTPs en un PC y estoy intentando pasar parte de esta infra a mi router.
#29 si, pero para que vas a usar DoH si solo estás cifrando el tráfico DNS en tu red local? A no ser que tu servidor DNS local resuelva las consultas cifradas contra otro servidor DNS externo del que se nutra.

Y para eso ya configuras el navegador con los servidores DNS DoH estándar o bien con otros que sepas que se puedan usar.


Por cierto, nadie había de DoT, directamente en el sistema operativo? Tanto en Linux como en Windows es fácil configurarlos (en Windows un pelín más fácil). Eso sí, recordar poner un fallback, porque a veces te da sustos y no funcionan
#35 Eso es fácil con unwind, aunque como mi netbook tiene la batería acabada, no puedo ponerlo en hora salvo usando NTP sin cifrar (y he usado Chronyd por si acaso donde guarda un 'timestamp' en disco).
#44 yo tambien tengo un portátil con los baterías agotada y me da algo de miedo liarme a desmontarlo para cambiarla. En ese portátil es bastante complicado y la batería no es estándar (al menos como viene presentada)
#19 ¿Donde vives, chochis?


/poe
#13 Puedes "hacerte" proveedor de certificados, con su riesgo, todo hay que decirlo, con dnscrypt-proxy + mkcert. No es para un servidor, pero si lo puedes usar localmente en todas tus conexiones y configurarlo en cualquier navegador que uses.
Seria maravillo se si pudiera contratar todos los partidos de un equipo de futbol por 10-15 euros al mes, estos delincuentes no se han dado cuenta que aqui a la gente le interesa su equipo y ninguno mas.
De mientras... telegram
No se que quiere decir nada de lo que he leído… pero mi ISO sigue bloqueando la señal de los canales de futbol por iptv
#4 Dale 24 o 48h
#9 24h creo que es lo que tardó Cloudflare en desactivarlo la última vez que lo activó.
#4 Intento de explicación para los que no son expertos:

Lo que conocemos por web segura ( HTTPS, SSL, TLS, etc.) garantiza que la comunicación entre tu ordenador y el servidor con la pagina web solo sea visible por vosotros, los demás solo van a ver datos sin sentido... o casi, porque el primer mensaje si se envía claro, que es "Hola quiero conectar con www.futbolgratis.com". ECH es una extensión para hacer que incluso ese mensaje sea cifrado y solo visible por ti y la web destino.…   » ver todo el comentario
#52 Lo que llamamos web segura (HTTPS, SSL, TLS) asegura que la comunicación entre tu ordenador y una web sea privada, aunque el primer mensaje sigue siendo visible, como "Quiero conectar a www.futbolgratis.com". ECH cifra incluso ese mensaje. Para bloquear webs, LaLiga usa tres métodos: DNS, IP y contenido. Sin embargo, con ECH, ni siquiera pueden ver el "hola" inicial, limitando sus opciones de bloqueo y dejándolos sin métodos efectivos para controlar el acceso a ciertas páginas.
#52 te lo paso por Chatgpt fiera.
#52 oye, pues se entiende de maravilla!

Gracias!
#52 Una duda, ¿tu operador no ralentizará tus peticiones si no usas las DNS derivadas automáticamente?

Otra ¿además de tráfico, qué gana Google o Cloudfare por usar sus DNS?
#52 Pregunta, para eludir el bloqueo actual cada 10-12 min de acestream, esto influye o es solo en el acceso web a los enlace y todo "sigue igual" en este sentido?

Bloqueo por ISP con lo que tienes que reiniciar Acestream lo que es un poco pereza de hacer cada 10 min para ver deporte...
Pues tendrán que bloquear todo cloudflare por nuestra seguridad....
#25 Pues un porcentaje alto de internet se viene abajo, así que se pueden preparar para demandas los de la LaLiga.
Esto lo soluciona Tebas demandando a Cloudflare y pidiendo su cierre.

A este paso va a pedir el cierre de todo Internet menos la infraestructura necesaria para poder ver futbol de pago.
No se podía saber que al regalar La Liga a países como China las operadoras iban a ver negocio... xD

Que le den al Tebas, tremendo bufón.
Meh, tambien es cuestión de tiempo que simplemente pasen a pedirle a cloudflare que haga el bloqueo.
tebas comeme los huevos

menéame