Názory k článku Opera představila VPN, která vlastně není VPN. Takhle funguje

VPN byste také měli používat vždy, když jste připojeni na nějakou veřejnou Wi-Fi, protože nikdy nevíte, komu ta síť patří a jaké má úmysly.

Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)? Absolutně žádný. V obou případech je to síť, kterou nemá pod kontrolou a která je tedy a priori nedůvěryhodná, takže by pro jakýkoli citlivý provoz měl používat šifrování a autentizaci - což ale na druhou stranu neznamená hned nutně VPN.

Důvěřovat může nanejvýš tak lokálnímu ethernetu, který si sám natahal doma nebo v kanceláři (pokud tedy není paranoidní opravdu hodně), dělat rozdíl mezi "nějakou veřejnou Wi-Fi" a běžným domácím (nebo dokonce mobilním) připojením je z bezpečnostního hlediska hrubá chyba.

článek je plný nepřesností a polopravd, Michala ale respektuji a chápu, že se věnuje více webové bezpečnosti.

Úkolem VPN není tunelovat veškerý provoz, ale pouze získat přístup do nějaké sítě (ano, virtual private network je VPN) a je pouze na nastavení dané sítě a klienta, jak bude routovat provoz, jestli se do vpn bude posílat veškerý provoz nebo jen ten, pro danou síť.

Stejně jak na VPN klientovi a serveru záleží, jestli bude resolvovat DNS nebo se to nechá na nějakém public/private resolveru, google dns jsou i u openVPN velice běžné.

Zabránit leaknutí skutečné IP adresy z opery je podle mě nemožný úkol, webRTC je tak zběsilý (v FF a Chromu), že čte IP adresy z interfaců přítomných na stroji a zároveň si pingá svoje servery pro zjištění public ip, tuhle operaci provádí hned na začátku při spuštění. Problém to je jen pokud mám veřejnou ip adresu, jsem-li v nějaké svojí podsíti, nedokáže nic užitečného zjistit.

V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná. Ve výsledku, ale neposkytuje větší bezpečnost než šifrovaná proxy, pro něco to ale stačí. Pokud to s bezpečností myslím vážně, nesmí mi z počítače odejít žádný paket mimo vpn a to nelze snadno zabezpečit skoro u žádného systému, btw.

Hezké je, že to přišlo právě akorát v době schválení blokování sázkových webů. Takže sázkařům bude stačit nainstalovat Operu a zapnout v ní VPN.

Pokud někdo opravdu potřebuje být utajený, tak tomuhle se nedá věřit.
IMO kvalitní VPN a virtuální počítač je minimum.
Já mám v poslední době problém s VPN, protože při brouzdání na webu už vidím víc captch než stránek, většina serverů které používají VPN už je provařená. Na torrenty to stačí, ale v browseru je to opruz, takže možá právě tady bych radši použil Operu s vpn.
Nejsem terorista, jenom nevím proč by Franta od mého lokálního ISP měl vědět, jaké porno mám rád.

Špehovací DNS? To se povedlo. Ve volném čase si prostuduj, jak vůbec DNS funguje, není to zrovna relevantní zdroj informací na jakékoliv špehování.

Zrovna DNS serverům Googlu bych důvěřoval mnohem víc než kdejakému krámu na letišti nebo u garážového providera, který se nestará o bezpečnost nebo aktualizace a jeho infrastruktura může být klidně náchylná na DNS poisoning.

"Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)?"

Já tedy vidím obrovský rozdíl. V případě zabezpečené domácí WiFi mohou moji komunikaci dešifrovat jen lidé se znalostí klíče (a to jen v případě PSK autentizace).
Na veřejné WiFi to může udělat naprosto kdokoli.

Na veřejné WiFi je používat VPN, protože i ty zabezpečené protokoly na vás vykecají kam se připojujete (IP adresa, TLS/SNI...). A DNS dotazy jsou samozřejmě zcela nezabezpečené. Validace DNSSEC přímo na vašem počítači se nedělá (pokud nemáte nainstalovanou příslušnou aplikaci). Pro mail se v drtivé většině používá pouze oportunistické šifrování, které lze snadno vypnout a uživatel ani nic nemusí poznat.

No a pak tu máme protokoly, které měly už dávno skončit v propadlišti dějin - HTTP a FTP. A tady jsou sakra dobré důvody použít VPN, pokud jste na veřejné WiFi.
Nejde jen o to, že by někdo mohl odposlouchávat hesla, ale kdokoli může měnit obsah.
Pak se také může stát, že vám někdo do HTTP odpovědi přidá ne úplně neškodný kus kódu...

Neříkám, źe je úplně správné se spoléhat na bezpečnost domácí WiFi, ale určitě bych ji věřil víc než nějaké veřejné.

Co je to za blabol. Na "verejne" Wi-Fi je hned prvni problem s pridelenym DNS serverem. To jsem si overil nedavno, kdy v zahranici bylo pripojeni sice pres UPC, ovsem byl tam prednastaven spehovaci DNS server od Google.

"Duverovat Google" uz je samo o sobe komicke :-) Relevantni zdroj pristupu je to prave velmi dobry, protoze nestaci zablokovat jen obvykle spehovaci scripty.

Garazovy provider ano, proto neco takoveho nepouzivat. V CR je to snadne, UPC a pak dlouho nic ...

Já jsem osobně zastáncem VPN třetích stran už jen proto, že nemusíte nutně používat prohlížeč, který vám třeba úplně nevyhovuje. K výběru jsem použil tento portál se srovnáním VPN https://www.5nej.cz/srovnani-vpn/

Jarda

V čem je horší DNS forwarding oproti DNSNAT?

Co pořád máte s těmi Windows 10???

Heslo od mé WiFi nikomu dát nemůžu, protože se všechna zařízení autentizují certifikátem.

WiFi nemám zabezpečenou kvůli tomu, že používám nezabezpečené protokoly, ale proto, že i ty zabezpečené vykecají zbytečně moc věcí.
To, že ty informace uvidí můj ISP a každý na trase mi zase tak žíly netrhá. Horší je představa, že tyto informace každý vidí, pokud jsem připojený na nějaké veřejné WiFi.

A to samé platí i o HTTP. Provider (alespoň tedy v ČR) mi nebude falšovat HTTP komunikacil. Zato někde v kavárně na free WiFi je dost možné, že to někdo bude dělat (a to zcela anonymně).

Spíš na rozdíl od vás chápe, že

• Internet není je web
• VPN není nástroj umožňující HTTP(S) requesty odtunelovat k nějaké proxy, aby se tvářily, že jsou z ní; to je jen jeden naprosto podružný způsob využití
• bezpečnost síťové komunikace je mnohem širší a zajímavější problematika než pouhé pozérské šílení nad tím, kdo mne "šmíruje"

Ale začíná mi být jasné marnost mé snahy něco vysvětlovat lidem, kteří tyhle věci nechápou.

Tohle všechno pohlídat nejde. Celkem logicky. Copak jde do jiné místnosti přenést židli, na které sám sedím?

VPN se musí řešit buď virtuálním počítačem, anebo lépe HW routerem.

subsíť nemusí být jen na L2, L3 atd., ale klidně až na vysokoúrovňovém aplikačním protokolu (myslím tím ty http enspointy) máš ale pravdu, že k VPN jak se v oboru chápe to má stejně daleko jako k proxy, říkejme tomu spíše TCP tunnel.

Ano, chápu, zjednodušení bylo třeba, ale možná by to šlo napsat presněji.

pohlídat to lze, stačí si síť jen konfigueovat ručně a ne přes DHCP.

V kanceláři máš k diapozici router, na cestách to je ale problém. Elegantní řešení je si v ring0 spustit xen či vmware a samotný systém vietualizovat, dá se pak mít kompletně síť pod kontrolou.

Že by jedno routovací pravidlo a vypnutí výchozí brány ?

Zase to s důvěrou v Google nepřežeňte. Není to tak dávno, kdy byla slavná IP 8.8.8.8 unesena a DNS požadavky tak chodily půl hodiny na servery útočníka.

"V Opeře se skutečně jedná o VPN, zpřístupňuje část privátní sítě. která bez zapnutého režimu není dostupná."

Promiňte, ale to je trošku pokřivená logika.

"Klasická VPN totiž chrání všechna spojení, která jdou z vašeho počítače, včetně všech webových prohlížečů, outlooků a skajpů."

Všechna ne, jen ty co si nastavím.

Copak je prosím pěkně "substíť" na L2? A co je "subsíť" na "vysokoúrovňovém aplikačním protokolu"?
Subnet může být pouze a jedině na L3.

Také mi není jasné, co je ten "vysokoúrovňový aplikační protokol". Nemyslím si, že se aplikační protokoly dělí na nízkoúrovňové a vysokoúrovňové.

Domnívám se, že máte mylnou představu o tom, co je VPN. Podle toho, co říkáte bych přistupoval přes VPN i na https://mail.google.com/mail/u/0/#inbox protože po mě stránka vyžaduje přihlášení, abych se dostal do Inboxu. A také bych zřejmě šel přes VPN na www.google.com, protože ve skutečnosti můj požadavek nevyřídil server s IP 74.125.224.70 (což je load balancer), ale pouze ho předal aplikačnímu serveru v neveřejném subnetu (čímž jsem se dle vaší logiky dostal do normálně nepřístupného subnetu).
To zní dost uhozeně, nemyslíte?

Je logické, že je vidíte, protože jsou VPNky zneužívány pro různé nekalosti. Takže je logické, že se tomu provozovatelé brání a když vidí že máte VPN, tak Vás prostě šoupnou do kategorie potencionální zneužívač čehokoliv limitovaného na 1 IP adresu například.

Captchu kterou mám mysli provozuje Cloudflare, mají asi evidované adresy ze kterých chodí spam a podobně a servery které jim platí jsou "chráněné" captchou. Celkem mi to ale nepřijde jako dobré řešení, i normální člověk, který neprovozuje nic špatného potřebuje VPN. Asi to budou muset řešit provozovatelé VPN, jinak budou mít problémy získat zákazníky (zase se to bije s tím, že většina VPN z principu neloguje provoz).

Rozdíl je zcela fatální, pokud to někdo nevidí, měl by dělat třeba grafiku. Obrana ma nejake naklady a vzdy se nastavuje v korelaci s riziky, ale hlavne s pomerem potencialnich ztrat.
Proto sef, kdyz tendroval subdodavky na prestavbu jednoho velkeho letiste zasadne jednal s dodavateli v upravene mistnosti a elektronickou formou se nekomunikovalo vubec, počítač s tiskárnou pro finální tisk nebyl nijak připojen k síti a povoleny byly 2 USB dongly a to se myslim ani nevyuzivaly. A kdyz on, nebo nekdo z jeho podrizenych lidi resi zakazku za 180 000 EUR, tak si vsichni posilaji kalkulacni listy na mail na Seznamu a sdili cokoli jakkoli, protoze potencialni hruby zisk v tomto oboru na teto velikosti zakazky je treba 35 000 EUR za predpokladu ze by tu zakazku ziskal a musel odpracovat (to je dulezite, protoze ukradnout 35kEUR uz smysl dava) je tak maly, ze se nevyplati do toho vlozit energii a brzdit cely proces nejakou bezpecnosti. Navic pokud nekdo takto hloupe zautoci kvuli marginalni sume, tak se vetsinou driv nebo pozdeji prozradi jenom tim, ze tu zakaznku vyhraje "podivne" a uz je omarkovan. Takto utocit je debilita.
Pravdepodobnost utoku na domaci wifi a na wifi v kavarne kampusu bude tak jina, ze vubec nechapu o cem je rec. Cela bezpecnost je postavena na pravdepodonosti a vysi skod. V roce 1998 jsem dokonce delal ve firme jako dispecer a sledoval jsem rekneme "kriminalni aktivity" a zasahovalo se az nad urcitou hranici, pamauji si, ze policie se volala pri incidentu nad 0,5 mil (respektive od teto sumy na to PCR pridelovala lidi z kriminalky), do teto sumy se to resilo interne a obcas se to formalne nahlasovalo, asi kvuli pojistovne. Tolerovaly se kradeze do jednotek tisicu, protoze reseni bylo drazsi nez to nechat byt. Proste to nekdo dobre spocital.

Podsouváte mi názor, který jsem nikdy nevyjádřil, v závěru si protiřečíte, no a pokud chcete používat cizí termíny jako "a priori", tak se ujistěte, že pasují do kontextu.

Připojení skrze veřejnou WiFi a domácí síť znamená z hlediska bezpečnosti podstatný rozdíl. V případě domácí sítě má možnost šmírovat provoz relativně úzký okruh lidí, které víceméně není problém identifikovat. Na veřejné WiFi se za den vystřídají desítky a někde možná i stovky zcela anonymních a obtížně identifikovatelných lidí (pokud vůbec).

Samozřejmě, že využívám pouze zabezpečené protokoly (s výjimkou HTTP, k tomu se ještě vrátím) a to kdekoli.
Váš názor, že nezabezpečené protokoly lze používat v sítích, kterým zcela důvěřuji je směšně naivní. O opaku by vás přesvědčily ty spousty firem, kterým se podobné úvahy hrubě nevyplatily.

Bohužel i ony zabezpečené protokoly toho na vás dost vykecají (IP adresy, kam se připojujete, jaký využíváte protokol, DNS vykecá doménové jméno a když ho nevykecá DNS, tak ho vykecá SNI u TLS).
No a pak tu máme HTTP. Ať chcete nebo ne, tomuto archaickému protokolu, který už měl být dávno pohřbený, se jen těžko vyhnete, pokud chcete chodit na všechny své oblíbené stránky.
Právě tady začíná ta pravá legrace. Do HTTP vám může kdokoli přidat cokoli a vy si ničeho nemusíte všimnout. V USA přidávají někteří provadeři reklamu, v Číně dokonce škodlivý kód... U nás si to naštěstí většina ISP nedovolí.
Proto zastávám názor, že na veřejných WiFi je nutné používat VPN a o tom také byla původní debata, než jste mi začal podsouvat názory, které jsem nikde nevyslovil.

První hop, aha, jasně. Za první "hop" lze považovat i spojení VPN, protože co je za ním, taky nemáte pod kontrolou, pokud tedy nejde o připojení do izolované sítě. Takže ano, článek i ostatní píší o voze, vy o koze. Podepisovat se nebudu, na věci to nic nezmění.

Michal Kubeček stále nechápe.

Souhlas s panem xxx.... Jediná otázka je balance penez co dostanu VS kolik peněz a úsilí to nakonec stoji. Prosím vás, je to jen o tom jak moc zajimava data pres vás tecou či jsou.

Bolo to 22 minut (do Venezuely). A cez BGP je mozne uniest cokolvek. Nie je to prvy ani posledny pripad. Google tomu mohol tazko zabranit

Nechápe a chápat nechce...

"Internet není je web"

Kde tvrdím opak?

"VPN není nástroj umožňující HTTP(S) requesty odtunelovat k nějaké proxy, aby se tvářily, že jsou z ní; to je jen jeden naprosto podružný způsob využití"

Co má proxy spolećného s VPN?

"bezpečnost síťové komunikace je mnohem širší a zajímavější problematika než pouhé pozérské šílení nad tím, kdo mne "šmíruje""?

Definujte pozérské šílení a nepozérské šílení. Hrozba buď je a nebo není.
Také nejde jen o to šmírování, ale třeba o modifikaci HTTP obsahu.

Jistě, může to dělat i ISP, ale ten si to nejspíš netroufne. Daleko větší riziko je na veřejné WiFi.
Také se asi nebudete procházet v noci po cikánském sídlišti, kde je riziko nějakého konfliktu daleko vyšší.

"Ale začíná mi být jasné marnost mé snahy něco vysvětlovat lidem, kteří tyhle věci nechápou."

Mé nic vysvětlovat nemusíte, já od vás ani žádné rady nepotřebuji. Myslím, že v oboru bezpečnosti počítačových sítí mám větší kvalifikaci než vy.

Poblém je v tom DNS forwarderu, co je v Mikrotikách, v jejich RouerOS. Je těžce zprasen a pomalý. Pokud běží na domácím orutereu pro 5 uživatleů, tak řekněme OK, Ale jak na něj nasměřuji větší provoz a nejlépe několika zřetězených, tak začne brzdit provoz a u řady lidí pak dochází i k timeoutům na DNS dotazy. Takže pokud místo toho Mikrotik forwarderu to pošle ISPík přes DSTNAT dál, tak i když si tím udělá větší provoz na uplinku, tak uživatle má dopovědi svožněji.
Obvkyle tak dojde u těch garážovek k nasazneí toho DNS, v prvotním hurá to pustí na nějakém Mikrotiku, když to po čase začne kravit, tak neví co s tím a v panice místo něj provedou DSTNAT na 8.8.8.8/8.8.4.4a najednou vše zase funguje, tak to tak nechají být. Těch co dospěje k vlasntímu plnotučnému rekurzivnímu resolveru je pár....
A to u toho Mikrotik firwarderu pomíjím občasné podivnosti při práci s UDP pakety nad 512 bajtů, měli nějak pomotané EDNS0, ale to snad už opravili, taktéž některé atypické DNS záznamy občas podivně snášel.

Takže máme tady nový soft, který mi nepokrytě říká, že můj provoz bude směrovat přes cizí sít, kde si to někdo po cestě může ukládat a dělat si s tím co chce. najít všechna hesla do služeb asi pak už nebude takový problém. asi si to nechám ujít.

Jestli to nebude tim, jak moc jste naivni. Na vasi domaci wifi se muze pripojit naprosto kdokoli, kdo i jen treba tusi, jak na to. Nemusi ani vedet, jak to funguje.

Win 10 pak prinaseji nove vymozenosti ... sdileni s vasimi "prateli", takze zabezpeceni vsech (nejen) wifi siti je presne 0. Pokud si doma neprovozujete od internetu fyzicky oddelenou LAN, tak ani takovou sit nelze povazovat za bezpecnou.

"Na tenhle pořád dokola opakovaný nesmysl už začínám být alergický. Jaký je podle autora rozdíl mezi "nějakou veřejnou Wi-Fi" a připojením, které má doma (nebo třeba na svém mobilu)?"

V počtu lidí kteří se můžou chtít dostat do tvého pc/telefonu?
Když je pentrace 1 kvalitní hakr/pět debilních idiotů s jednotlačítkovým aircrackem/10000 lidí, a doma je v dosahu tvého wifi 20 lidí a na Florenci 2000, jaká je pravděpodobnost?

Mohl byste vysvetlit, jak si takove zneuziti predstavujete? Pokud vim, tak DNS je nizkourovnovy protokol. Kdy se posle pozadavek treba 'host lupa.cz' a jako odpoved se vam vrati 91.213.160.123. To by teoreticky mohl Google zjistit, ze se zajimate o server lupa. Jenze problem je, ze vetsina lidi nema verejnou IP adresu. Tzn. je schovana za NATem sveho providera spolecne s 0-n dalsima lidma. Takze podle me akorat zjistil, ze nekdo, kdo ma pripojeni od O2 nebo UPC, se chce podivat na server Lupa.cz. Presne tak, jak to zobrazuje Lupa v nadpisu vaseho prispevku.

Zneuziti samozrejme muze byt, pokud vas zacne presmerovavat nekam jinam, nez chcete. Ale to je zatim minimalne silne neeticke a ve vetsine statu asi i nelegalni (a google by si tim kopal vlastni hrob).

Popripade vas provider by toho mohl zneuzit, ale google podle me nema jak.

Windows 10 nepoužívám... Jako autentizaci na domácí WiFi mám EAP-TLS. Chtěl bych viděl, jak to někdo prolamuje.

P. uvádí, že používá na wifi EAP-TLS, tam žádné heslo není, ale klient se proti AP ověřuje certifikátem.
Myslím, že ani Win10 neodešle všem sociálním přátelům certifikát i s tajným klíčem ze svého systémového úložiště. Stejně jak by neměl odesílat nic ani při dalších EAP metodách.
U domácí sítě použití EAP místo prostého sdíleného PSK "hesla" je trochu exotické, ale ve firemním prostředí je to trochu častější.

Nebojte, nespikli jsme se proti Win10, jen se ony spikly proti nám :)

"The updated terms also state that Microsoft will collect information “from you and your devices, including for example ‘app use data for apps that run on Windows’ and ‘data about the networks you connect to.'”"
- http://thenextweb.com/microsoft/2015/07/29/wind-nos/

Dobrá analýza aj poetickými vsuvkami :) S dovolením som naklikal pár zlých zlých reklám.

Berou zpět, máte oba pravdu, Opeří VPN má s vpn pramálo společného,ne­dostatečně jsem si to prostudoval a omlouvám se za desinformaci, příklad s gmailem je orpavdu nesmyslný.

subsítí na L2 jsem měl na mysli bgp/ldp based VPN (l2 mpls). U toho aplikačního se nemusí jednat o dělení, ale upřesnění, l7 je prostě pro mě už hodně vysoko a pro některé je i webdav síť.

V případě zabezpečené domácí WiFi mohou moji komunikaci dešifrovat jen lidé se znalostí klíče (a to jen v případě PSK autentizace).

A co se tím řeší? Nic. Ta vaše zabezpečená domácí Wi-Fi, i v případě, že opravdu bezpečná je, řeší přesně jen ten kousek k AP, maximálně k vašemu přístupovému routeru. Pokud ale nemáte pod kontrolou celou cestu mezi oběma koncovými body, pak je komunikace a priori nedůvěryhodná a je potřeba použít nějakou formu šifrování a autentizace (což ale nemusí být nutně hned VPN). To, jak moc nedůvěryhodná je last mile, je naprosto irelevantní; pokud nemůžu věřit celé cestě, je to spojení a priori nedůvěryhodné a musím se podle toho zařídit.

Takže když budu chtít spravovat svůj server, použiju SSH (s ověřeným klíčem), když budu chtít přistupovat do e-bankingu, použiju HTTPS (s ověřeným klíčem banky). Když budu potřebovat vzdáleně udělat něco v práci, pustím si na to VPN. Ale co je důležité, úplně stejně budu postupovat bez ohledu na to, jestli sedím doma, v práci nebo na nějaké té podezřelé veřejné Wi-Fi. (Na rozdíl od většiny lidí nic z toho ale zásadně nedělám z cizího počítače.) Věřit tomu, že domácí připojení je bezpečné a veřejná Wi-Fi ne, to je z bezpečnostního hlediska naprostý nesmysl. Stejně jako

No a pak tu máme protokoly, které měly už dávno skončit v propadlišti dějin - HTTP a FTP. A tady jsou sakra dobré důvody použít VPN, pokud jste na veřejné WiFi.

I tady platí, že pokud je problémem prozrazení citlivých dat nebo podvržení falešných, můžu nezabezpečené protokoly použít jen tam, kde můžu věřit celé cestě mezi mnou a serverem. A opět je úplně jedno, jestli sedím doma, v práci nebo někde v obchoďáku.

Jeden o voze, druhý o koze... Vy pořád zarputile řešíte jen ten první hop, mne zajímá celá cesta. Pro mne nemá smysl řešit, jestli je první kousek cesty "bezpečný" nebo "nebezpečný", když celý zbytek stejně vede přes sítě, o kterých nevím nic a kterým důvěřovat nemůžu.

Rozdíl je zcela fatální, pokud to někdo nevidí, měl by dělat třeba grafiku.

Urážky od lidí, kteří se pod své názory stydí podepsat, mne nerozhodí. Bez ohledu na to, jak velkými čísly machrují.

Konstatování skutečnosti není urážka, ať už se někdo podepsal nebo ne.

Opeře určitě držím palce, minimálně je její krok výbornou nálepkou na ústa všem těm rádoby "expertům na všechno okolo počítačů", co tvrdí, že VPN je něco, co používají jen lumpové a kdo nědělá nic špatného, nemá se čeho bát, ani proč se chránit. Vím o čem mluvím, také provozujeme VPN a HTTP2/SPDY proxy servery a z některých lidí padají opravdu neskutečná moudra. Jen doufám, že to nezabalí dříve, než pořádně začnou, na základě osobních zkušeností bych už do poskytování VPN zdarma nešel.

S DNS servery 8.8.8.8/8.8.4.4 počítejte také tak u poloviny místních menších ISP, kteří nejsou ochotni/schopni ani provozovat svůj DNS resolver. Tak sice Vám dají jejich IP adresy DNS serverů, ale v lepším případě z těch svých DNS IP adres jen udělají DSTNAT na 8.8.8.8/8.8.4.4 (v horším na to použijí DNS forwarder v Mikrotiku a jsou specialisti, co těch forwarderů ve své síti mezí zákazníka a DNS google včlení klidně i 5).

Teda oni už to stejně věděj.

Je videt, ze netusite o cem je rec. Staci kdyz jeden jediny clovek do win 10 da heslo vasi wifi, a muze jej ziskat kdokoli. A jak pise MK, zabezpeceni metru trasy ze 100km je nanic.

Pokud ma nekdo pristup k obsahu (napr. reklamnimu) a zaroven DNS, tak muze delat velka kouzla

Presne k tomu smeruji. Zvlaste v pripade firmy, pro kterou je prodej reklamy hlavni, vicemene jediny, dlouhodoby zdroj prijmu. Ale to mame stejne jako s Androidem a Chrome ...

Pokud jste si myslel, že výkřikem "blábol" zamaskujete skutečnost, že jste vlastně nedokázal zpochybnit vůbec nic z toho, co jsem napsal, musím vás upozornit, že se vám to nepodařilo.

To jako myslíte s těmi DNS servery od UPC Vážně ?? (ROFL)

prakticky nic, ale triviální to není a člověk na to musí dát velký pozor.

Windows ve výchozím nastavení posílá DNS dotaz na všechny interfacy.

Mac se připojuje k síti poměrně dost brzo po spuštění. Systemd má vlastní network stack a nebojí se ho použít při bootu.

A u všech systémů dělají problém dynamické routy a přepisování tý defaultní kdekým.

Zajistit to spolehlivě znamená buď mít na routeru další terminaci VPN nebo si poladit a pohlídat systém.