 Alle zusammen, meine Seite, bei mir auf der Bühne ist Pascal, er ist bei der Digital-Gesellschaft aktiver dran über die Swiss Privacy-Mundition dazu und Pascal studiert an der ASR und beschäftigt sich dort mit verschiedenen Aspekten in der angewandten IT-Security und Privacy in besonderen Bereichen. Heute bestätten wir uns die Transportverschlüsselung für DNS vor. Er macht eine kleine Einführung, wie das Domainnetzmusik funktioniert und zeigt uns dann diese zwei neuen Technologien oder Standards. Es gibt, wie die funktionieren, DNS over TLS und DNS over HTTPS. Kann man mich gut verstehen, denke ich. Wer hat DNS over TLS schon benutzt? Weniger. Wer hat DNS over HTTPS schon verwendet? Vielleicht ganz kurz zu meiner Person, ich studiere Informatik, ich unterrichte einen Röhrfachschirm in Zürich auch bei der Informationssicherheit. Ich interessiere mich für das Kommunikationssystem und kümmere mich bei der Digital-Gesellschaft tatsächlich um die technischen Fragestellungen. Wer mit mir in Kontakt zu treten möchte, kann das am besten über Mail tun oder abladen. Ganz rudimentär, generell verburten schnell durch, objektiert es ist, wollen wir, wo man eigentlich Namen und Auflösen hat. Das Ganze geschieht üblicherweise im Weihstaats-Trausungsvolumen, also ein Weihhaus. In diesem Fall möchte ich auf die Digital-Gesellschaft aufbauen. Die IP-Adresse geht übers Betriebssystem, die viel für den Hamptaflösung selbst wiederum ein DNS-Resolver verwendet, welcher konfiguriert wurde. Sie verdauert die IP-Adresse also zurück bis zum Browser, wo dann die Soctverbindungen aufgebaut werden. So eine grundlegende Kommunikation, eine Applikation. Ein DNS-Resolver hat eigentlich ein Resolversystem und ein bisschen folgendem Aufbau. Diese Slides habe ich drin an Kraftzeichen, um kurz zu der Museumi werden und dann in diesem Vortrag diese Kommunikation für diese Kommunikation interessieren. Also zwischen dem lokalen System und dem eigentlichen Resolver, den wir verwendeten möchten. Üblicherweise gibt es so drei typische Setups, welche wir vorfinden für diese Thematik in diesem Bezug. Es ist ein bisschen das Zuhaussetup, wo ich ihn eröffnet habe und eigentlich dann direkt den Resolver, den DNS-Resolver und den Namens-Auflösungspies verwendet. Also ich halte es da durch, welcher die Auflösung macht. Im Führblutwerk habe ich dann öfter so ein Setup, das sich den Namens-Auflösenden-Auflösung bereits in Netzwerken nimmt habe. Das sind Arkti, die Namens-Auflösung macht seine Vorteile, zum Beispiel für Internet Namens-Auflösungen. Und wenn ich das als externen Resolver, also beispielsweise jenes von Google oder Cloud Player verwendet, dann habe ich den Resolver dann eigentlich wieder in Internet draußen und verbinde mich vom Kleint direkt auf diesen Server, welcher für mich dann effektiver Auflösung den Namen hat. Das Ganze hat zwei typische Angriffspektoren, die wir haben. Wir haben zu meiner Kommunikation einfach mitgehört, die werden kann von einem passiven Angreifer. Jetzt sind wir vorallem die Kommunikation von Kleinen zu Existoren, allenfalls, oder uns die Kommunikation von meinem Internetanschluss bis zum ISB, zum Resolver, wo ich auf Klirtext meine Namen nicht mehr aufgerüst haben möchte, schicke und die Alpes zurückbekommen. Und für einen aktiven Angreifer haben wir natürlich die selten Problematiken, aber hier haben wir den Umstand, dass effektiv ein Modest oder einen anderen umgeschrieben werden, um beispielsweise auf einer Scan-Seite weiterzuleiten. Das ist so ein bisschen dies. Situationen, die wir haben, dazu ein Wort zum Deresec. Das spielt uns bei NARC mit einer Rolle, weil wir auch grundsätzlich die Kommunikation schlüssend und sicher machen möchten. Deresec ist und auch nur kompatibel mit D.o.T. und T.o.A., betrifft aber eigentlich nur, einfach gesagt, die Kommunikation von Resolver zu den einzelnen Namen und Server, nicht auf die Kommunikation von Kleinen bis zum Beispiel. Das jetzt, ja, kurz ein Überblick, was haben wir mit DNS, also wir haben es seit den 80ern, hat sich bewährt, ist schon, ja, gut gehalten. Wir haben das Problem in der Vertraglichkeit, also das Clear Text, sprich kann mitgehört werden und im Dach zwischen sitzt. Wir haben einen Schenken in den Integrity Act, dieses Schutzziel, haben wir halt mit Deresec in Teilweise gegeben, nicht alle Domaine verwendet, aber das ist ein bisschen die Diskussion dazu. Und was wir auch zusagen können ist, die Ideen des Konfigurationen, das ist ein System von Konfigurationen, sprich mein Not- oder mein Betriebsdebat entsprechend Adressen x-manuell konfiguriert, oder hast du per DLCT bekommen, nicht als User, hat eigentlich relativ wenig Einflussmöglichkeiten. Dieser Auf- und Setup erlaubt uns ein Split, den es set up, was wir ja mehr und mehr in die Firmung haben, und die Auflösen von internem Block haben, und haben, was wir auch eher Power-Is zu Hause in der Firma haben möchten. Und jetzt so die Grundidee, was wir eigentlich wollen, ist die Kommunikation zwischen dem Klein- und dem Risotto zu sichern. Das ist ein solterer Punkt, wo mitgehört und beschrieben werden kann, der so oder deres und deres, wo er kaltet, er ist, hat man eigentlich das gleiche, das gleiche Ziel, dass sie ihn erreichen möchten zu machen, das ist ein bisschen unterschiedlich, aber schliesslich geht es genau in diese Kommunikation, das ist die Verschlüssung, das gibt uns natürlich dann die Vertraulichkeit, dass der Verkehr verschlüsselt ist, und auch der Bundgebindende, der DLCT, das kann nicht mehr verändern, weil er von einem anderen Teil, der da in einem guten Verkehr über sich übertakt. Deres, ob deres oder das erste Thema, das wir dazu anschauen, ist drei Jahre alt mittlerweile fast, wir sind schon länger, ist rudimentär und einfach gesagt eigentlich nichts anderes, als dass die Kommunikation hier über den UDP haben, jetzt noch über TCP läuft, über das DLST-Kanal, auch die Messages, die wir verschicken, sind eigentlich auch die gleichen wie vor, bei denen es ist UDP. Wir haben uns schandalisiert, die wurde dazu davor gekocht, um zu treiben, um zu treiben, um zu treiben, um zu treiben, um zu treiben, um das jetzt so nicht, um das jetzt so nicht zu benutzen. Und, implementiertes hat die zwei Betriebs-Modes. Ich als klein rangingeresin iv. möchte u.s. oder kann mich entscheiden, ob ich das ganze journalistisch betreiben, man muss entwickeln, was eigentlich so bedeutet, wie soll ich keine Kommunikation aufbauen können zu meiner devotees W Doca ESS above, über den verschlüsselten Kanal. Und weil ich zurück auf ein Hall weg, was wiederum ein Teil ist, dann habe ich einfach denes umschlüsselt, die bisher über die Bete 51. Oder aber, wenn ich mich dafür entscheide, dass ich einen Heart Fail haben möchte, also sprich, wissen möchte, wenn ich mir 12 Hörer schlüsseln möchte für meine Auflösung zu nahmen, dann habe ich eine Situation, dass, sobald ich das Video nicht aufbauen kann, zu meinem Resultat auf Bord 800-550tcp, das ist gar kein denes umschlüsselt. Denes heißt eigentlich kein Internet, kein Webprozess in dem Fall. Das sind so die Zeitfliegsmodi, die man da hat. Und wenn ich DOT konfiguriere, muss ich mich in der Regel für leines und leines entscheiden. Das kann man bewillentlich machen oder hat einfach ignorieren, indem man die Autokonfiguration verwendet, und die ist dann eigentlich immer griffenlos. Ja, DOT auf einen Blick. Wir machen das ganz normaler denes über Tissippitis. Wir haben noch Möglichkeiten zum Pipeline, was ein bisschen vor uns betrifft. Die Frühbarkeit ist ein bisschen ein Thema, sprich, wenn ich in den Angreiferbinden zwischen klein und zu stahl ist und ob das Resultat versorgen sitzt, dann kann ich eigentlich einfach auf Bord 800-550tcp blockieren und hoffen, dass der klein und prognistisch konfiguriert wurde, was dann passiert, das ist einfach gar nicht klirtextual, ja, aber zurückfällt. Ich als Nutzer dieser DOT-Konfiguration auf meine Feinde bekomme dann eigentlich gar nichts, mit dem es funktioniert. Und ich sehe dann eigentlich nirgends in mir, dass es jetzt nicht mehr verschlüsselt ist, sondern nur noch klirtextual, und es läuft einfach um das Angreifer, für mich dann halt wieder in der Position, um da mitzulesen und zu beenden. Wenn ich das jetzt richtig mache, dann habe ich da Internet, das merke ich im Weltbild. Auch hier haben wir seine typische Systemkonfiguration, sprich, ich konfiguree den Dienen oder ich konfiguree mit einem Betriebssystem, entsprechend, oder es geht für mich, konfiguriert sich das Nutze, das Ganze macht man eigentlich mit einem Aufall über den Postnamen oder über die Alpefesse. Wieso Postnamen, zusätzlich, das ist einfach wie der Lungschlag mit der Teresschlüssel, die wir haben in den Zertifikaten zusammengezeigt werden möchte, und wir möchten ja auch gerne validieren, dass das Zertifikat korrekt ist. Sprich, heißt aber auch, wenn wir den Postnamen konfiguriert haben, dann müssen wir diesen erst in eine Alpefesse aufhöschen, und das machen wir dann auch mit Repetriertext. Das ist so ein bisschen, was DOT macht und bietet, ist eigentlich wirklich übersichtlich, denke ich, und hat durchaus seine Anwendungszwecke. Bei DOH ist sehr neu, der Schandal ist erst kurz nicht verabschiedet worden, macht mir erst genau gleiche, dann kann ich über einen Alt-S-Kanal, sprich, wir packen die, das Ideen des Messages, also die queries und Answers in eine wahlartete Beantragung, schicken die sozusagen einen Web-Service, der uns dann die Antwort auflöst und die Alpefesse auflöst. Das ist insofern interessant, weil es uns eigentlich neue Anwendungsmöglichkeiten bietet. Also wir haben dadurch eigentlich die Möglichkeit, dass die Applikation, zum Beispiel, wenn ihr schaut, was krebt, die Namensauflößen erledigen können, indem sie halt einfach einen Web-Request an einen Service machen. Wir sind also aus der Web-Plikation nicht mehr so effekt angewiesen, dass wir über das Betriebssystem die Namensauflöße machen können und müssen. Web-Service oder Resol überhalten die Möglichkeit, Busch-Nachrichten, sprich, selbstinitiierte Nachrichten im kleinsten Fall wegzuschicken. Das kann hinzuwählen und interessant sein, wenn ich eine Web-Regation habe, oder eine News-Seite, die auf verschiedene Anräte der Zeiten verlängte, sich hat schon die Auflösung, die den Kleinen zukünftig sowieso oder evtl. machen, und wir einfach schon mitschicken können, dass das Ganze beschleunigt wird. Und bei den Programmiersprachen und Freiburgs geht es auch wieder in die Möglichkeit, dass es relativ simpel ist oder häufig an zu treffen ist, dass wir in die Halte beantragen, machen können oder eine Halte befinden und aufbauen können. Aber da sind wir dann nicht mehr angewiesen, dass man auch die Namensauflösung des Betriebs, der Klare-Übungsbetriebs, der Gehensmüssen, so ein kleines Selbstständig verleten kann. Ich denke, das ist dann so ein interessantes Aspekt, dass wir da eine neue Möglichkeit haben, Namen aufzulösen mit DOA, was das Ganze wirklich ein bisschen verändernden geht, um zu deodorieren. Aber kurz auf einen Blick, was wir haben, wir haben auch der SMS selbst zum Einsatz, die wir schicken über tisibitäre SVTTP, also sprich, HTT-S. Wir haben Muti-Baxing, aber hier die Beschleunigung muss es mehrere Anfragen auf einem Kanal quasi krumper anfordern können. Zum Schutz zu der Verfügbarkeit haben wir jetzt eigentlich den Umstands sehr schwierig zu blockieren, wie es als Betreiber ans Expoil oder als sonstige Instanz, die in die Internetanbietung beide verkehrende Mal HTTPS gleich wie durftraglich ist. Ich kann nicht unterscheiden, dass ich jetzt eine Ansatzlösung mache oder einfach eine Webseite besuche. Da haben wir einen sehr interessanten Aspekt dazu gewählt. Uns in die ganze Konfiguration ist es eigentlich weg vom System, hin zur Applikation, hin zum User-Sicherheit. Sie muss einfach die Möglichkeit verstehen. Ich möchte einen eigenen HTTPS Resolver-Friend, sein DOA Resolver-Friend. Und ich den nutze beispielsweise meine Firmware, die mir vorgegeben hat. Das Ganze geschieht dann über eine hohe Konfiguration. Auch hier haben wir mit einem Umstand, dass wir zuerst, dass der Urlaub die eigentlich in eine Art Presse bekommen müssen, bevor die Firmware brauchen werden. Also sprich, es wird auch je nachdem, je nachdem, wie man es konfiguriert, erst die drei Nummern am Samstag für so ein Firmware-Text gemacht. Sobald ich die Art Presse habe, wird nur noch ein Firmware-Defesse konfiguriert. Gut, ja, es gibt, wie wahrscheinlich auch die meisten schon wissen, einige Kooperationen, respektive große kommerzielle Anbieter, die bereits der Sovolteras anbieten und auch der Sovolatete-Pässe, die die Schnittmenge ist da eigentlich gegeben, mittlerweile wird man ihn dann betrieben und wird angeboten. Und ja, das hat so seine Möglichkeit. Wir möchten eigentlich als digitale Gesellschaft hier ansetzen und eine Art Umliebe zu vermerzenden Anbieten, die deshalb an uns eigentlich ein bisschen zusammensetzen und uns außen auch wie ein Sobsetter aussehen könnte und haben das entsprechend aufgewähnt und entsprechen, bleiben wir jetzt seit Anfang des Jahres an Delos oder Delos, Resolverinfrastruktur und Delos oder HTT-S, Resolverinfrastruktur unter diesen Appressen, also diesen dürfen nicht zum Nutzbarn und Können verwendet werden. Wäre das so? Warum tun wir das? Ja, wir betreiben ja verschiedene Services für die Öffentlichkeit, die die Anonymität und die Privatsphäre jetzt erhöhen. Denes, die wir auch haben, hat dazu und möchte permanent eine alternative zu größeren Konzernen machen. Die Eigenschaften, also was wir haben hier uns selbst abkonfiguriert, ist relativ naheliegend, wir möchten eigentlich nicht groß, da irgendwie nicht mehr machen, wir machen keine Locking, wir machen keine Traffic Anonyms, sondern Dinge, die auch von Anfang an und die werden benutzt werden. Es besteht kein Locking, also im Namen werden aufgelöst, wir haben kein sperrnissen oder ähnliches. Wir versuchen auch von der klo- tografischen Konfiguration durchs Aktuellen zu sein, also haben wir momentan nur die RS1-2 zur Verfügung und die HTS-1-2 natürlich den Anliegen. Wir machen die erste Koordinierung, den es mit dem Station ist auch konfiguriert und die Standorte sind in der Schweiz. Hat mehr damit zu tun, wer wieder reist oder nächstes Mal in Australien ist, in der Naseeland muss halt wissen, dass seine Anfrage nämlich geschneizt wird und da kehren und hat nicht den wie über Anycast weltweit auf uns reserven vor Ort. Ja, die Konfiguration für die, die es noch nicht gesehen hat, ist in zweierlei selbstabsuell die Vereinigung seines, in Firefox, da gibt es die Network Settings, die neue Konfigurationsmöglichkeit einen DOH URL zu konfigurieren. Es ist defaultmäßig ausgeschaltet und kann über einem Custom URL um die Brut werden. Wer es default lässt, der geht einfach über Cloudflare. Die andere Möglichkeit und einzige einfache Möglichkeit ist von Google Android Version 9, wo auch da eine Konfiguration von DOT möglich ist, kapiert, wenn man unsere Service nutzen, indem man das entsprechend konfiguriert. Vielleicht da eine wichtige Anmerkung, Google hat in der aktuellen Konfiguration den strict mode, also sprich, wer diesen Server verwendet und an einem Ort ist, an dem diese Keyboard auch unter 1,50 blockiert ist, dieser auf immer, der hat keinen Brett, das man merkt, das ist relativ schnell, hingegen, wenn man den automatischen Modus verwendet, der natürlich auf Google zeigt, da haben wir dann ein problemistisches Deal, da geht es nach dem Fall weg, das ist eigentlich noch interessant. Ja, gut, jetzt ist die Frage, soll ich jetzt ein Resolversystem nutzen, eine Inzidenz, die ich verbraue, oder soll ich vielleicht das Ganze doch selbst aufbauen? Inzidenz dann auch, wenn ich vielleicht im größten Netzwerk betreue, kann es doch auch interessant sein, die Infrastruktur auch einfach selbst aufbauen zu stellen. Wir möchten das, was unsere Erfahrungen und Teilen gemacht haben, bei uns im Setup und kommunizieren wir es eigentlich relativ offen, wie wir das Ganze aufgebaut haben. Wir haben uns selbst für Anbaut, also eigentlich im Hans-Server Resolver entschieden. Wir haben einen Setup mit einem Enginix Reverse-Trucksitz, wenn man weiß, wie das alles aufgebaut ist, welche die ganze Kommunikation umgegenimmt und in dem Fall auch das ganze Telesof-Loboting, also die Hand-Check-Plätze-Krypto befindet sich eigentlich an diesem Enginix-Klub und kommt und hintenrum verwenden wir da noch einen Deo-Proxy, der die ganze Kommunikation für Deo macht. Jetzt unser System, also ihrer Verbundung, wir haben ein Krypto-Label natürlich, wir haben als erster Instands-Demand von unserem Anbau, der die ganze Neuanzaufflössung macht, also sprich die Name eingefressen und weiß besser, um zu schreiben, wir haben den Deo-Proxy, welcher normal in Unromo oder Intherm über UDP 53, wie er hat, konfiziert. Und wir haben den Enginix als Einstiegspunkt eigentlich über den Aussen als Anfragen werden, entweder via DOT, also 853, an den Enginix gleitet, welcher dann direkt anbaut, als Einstiegspunkt hat für die Namesau-Flössung, die kommt also mit in die Zooschaft und der Enginix-Klub über HTTPS-Support, wie viel breit ist, wie viel gilt, über Enginix und den Deo-Proxy. Die ganze Logik für Deo-Haar ist eigentlich in dieser blauen Komponente ausgelagert und ist auch auch aus Zahnstrafik. Wir haben uns bis jetzt aber entschieden, weil das ganze, der ganze Standart, der Beinstand sind relativ neu. Es wird uns jetzt ein bisschen zeigen, welche Software sich da wirklich an den Wert tut, sitzt auch längerfristig. Insbesondere Deo-Haar ist wie noch ein bisschen experimentär. Gut, wir haben zwei Systeme, die irgendwann sind und die lassen wir teilen, sondern es ist weit möglich, das ist den S1-Digitalgesellschaft.ch und den S2-Digitalgesellschaft.ch. Erreichbar auch natürlich auch Galaxy-IP, natürlich IP für 6. Die Zusammenarbeit haben wir mit den Vereinen Community-Rack und diese Stelle möchte ich mich auch da bedanken, also unsere Säure werden von diesen netten Menschen gehaustet. Ja, eigentlich so abschließend möchte ich noch ein, zwei Fragen, ein bisschen offen in dem Raum stellen. Ich denke, das sind Fragen, die wir auch noch diskutieren müssen, aber sonst gesellschaftlich hat es nicht einmal gemeint, weil die ganze Umwelt der Mutung schaut findet, und die Möglichkeit, die wir da bieten, haben auch die ein oder andere Tücke. Was wir also prinzipiell haben, ist, wir haben verschiedene Anbieter, ganz viele in dem Fall. Wir können aber immer noch einen gleichzeitig konfigurieren, als wir uns eigentlich ziemlich genau wissen, welchen Anbieter es wird auch möchten. Einer der kritischsten von der Hauptfragstellung ist das Fürst-12-Zentazierung, von der es die Spritzen von anderen Personen im Internet anbieten. Alle, die verwendet werden, hat alle Anfragen nur noch von einigen wenigen Anbietern gemacht. Ist das ein Problem? Was sind die Freiheiten, die ein User gewählt, in dem er das andere DOA als Toolbekommt und sich konfigurieren möchte? Das ist ein Problem für die App-Inns, die vielleicht gar nicht cool sind, dass die User in der Lage sind, eigene Namens-Aufregungen zu machen. Insbesondere ist da vielleicht ein Problem, dass sich als Admin internen Namen auflösen möchte, wenn die Systeme auch im Internet nicht erreichbar sind. Auf der anderen Seite möchte ich auch als Admin vielleicht nicht unbedingt, dass meine User internen Namen gegen Außen kommunizieren. Das ist sicher eine Thematik, und dann ist weiter so, wie konfiguriere ich die Systeme mit Menschen? Ich nehme ein bisschen deren Entscheidungsmöglichkeit, wenn ich einfach hingehe und sage, gut, du musst uns nur hier klicken und da denes eingeben und dann bist du sicher, ist das wirklich sicher? Und ich muss mich genau wissen, welchen Anbieter sich da in den Fehler konfigurieren. Weil denes ist gemittelte Systeme, das läuft im Hintergrund, ist nicht wirklich sexy, und wenn plötzlich kein Internet mehr da ist, dann muss man uns erst mal darauf kommen, dass es vielleicht ein Thea sehen könnte, dass man vor allem die Arten konfiguriert. Und schließlich weiß er nicht, was er konfiguriert. Ist es wirklich klar, wenn man eine Theas-Konfiguration anpasst, dass die Namen selbstlösen für diese Instanz gemacht werden? Was bedeutet das? Ist es der Preisgelust? Oder bin ich etwas? Es sind so Fragen, wo ich denke, sind beide Technologien, und noch nicht abschließend erklärt, oder muss jeder Besucher für sich selbst mal im Kopf mit sein Storch geben. Abschließend möchte ich mit einem Ausblick, dass wir haben, deres geht in Richtung Kryptografie, das grundsätzlich unterschützt wird und begrüßt wird, ist der Wohlenthalt mehr. Die Konfiguration hat sicher, die Grundlage bleibt aber eigentlich gleich. Wir haben ein normales DNS, wir haben nicht ein komplett neues System, wir haben nicht mehr komplett neue Ansätze, wir haben eine Auffrosung mit Verizon Answers verpacken, die hat einfach Ansatzwoche. Ich betrachte es eher als eine Art Revolution, oder revolutionärer Ansatz, nicht die Revolution. Wir haben die Grundlage, die wir erreichen, ist kompatibel. Und ja, wir werden sehen, was sich von meinen Durchsetzen, was sich in welchen Reichen wir unterdurchsetzen möchten. Und auch unsere Sales sind primär einfach da, für die, die sie verwenden möchten. Wir möchten nur ein Auto kippen und einfach bereit sein, wie das im Auto ein halbes Jahr aussieht. Das wäre es von meiner Seite, ich bedanke mich für das Interesse. Ja, das haben wir noch in der Zeit für Fragen. Gerne. Schnelle Frage. Wie profitieren nicht Web-Service-basierte ein Netzwerk von dem DOH, von der Verschlüsselung? Mein Verständnis ist ja eigentlich gar nicht. Nicht Web-Service-basierte Funktionalitäten. E-Mail, Haar. Ja. Jetzt seht ihr auch pp, die auch auf Rehendes aufsetzen. Ja. Also primär ist es nämlich so schlussendlich, muss sich als, muss ja eine Möglichkeit haben, so sprich, ich kann durchaus einen, bei mir lokal einen Diemen oder einen App verwenden, die DOH spricht und das den System eigentlich zu fügen stellt. Das ist nämlich auch eine Nicht-Wehr-Applikation, der nicht gar nichts gibt. Essen für PLZ Beispiel, ihr habt einfach den lokalen Self-Perfekt, der mit Romant DOH verwendet kann, was man zitieren kann. Das heißt, der E-Mail klein muss in diesem Fall, sondern auf die lokalen Konfiguration, die DOH unterstützt. Ja, aber nur im Firefox folglich. Firefox ist die einzige Applikation, die momentan DOH nativ unterstützt. Ja. Aber es gibt jetzt übrigens oft die DOH-Nachrüsten für das eigentliche System und dann eigentlich als den es wieso lokal hört und dann per DOH dann auch sprechen kann. Oder nicht? Sammelsport und die Zetralisierung können jetzt ein Problem werden. Und insbesondere mit DOH sehe ich das Problem, dass die Abfragen, die nicht mehr vom System-Wide-Besorgen kommen, sondern wirklich von den User, vom Browser. Und bei HTTP hat man ja die schönen Möglichkeiten mit Browser-Finger-Prenting und mit Cookies auch über langer Zeit festzustellen, wer ist der User. Und ich denke, das ist dann schon ein größtes Problem, wenn der Namesaw über mich identifizieren kann und sehen kann, was für Abfragen ich mache. Sehr guter Punkt. Da habe ich genau, was ich mit HTTP machen kann vor und nach, weil ich insbesondere Cookies das habe ich bei DOH. Wie ist das eigentlich mit der DOH und dem Geldspiel, Geld-Sperren-Innen-Gesetz und so was. Es gab ja auch mal eine Diskussion bei Firefox, das standardmäßig einzuschalten und haben wir euch auch direkt gleich schon die socken Menschen eingebaut, die drüben. Also bei Firefox auf DOH, weil sie uns 62 angeboten, ist auch defaultmäßig noch ausgeschaltet. Da gab es ja auch ganz im Grund, weil Sie dann in dem Fall eigentlich einen Vertrag mit Cloudflare abgeschlossen haben im Sinne, dass Cloudflare da nicht mit schreibt. Würde noch Sie, dass sich entschließend bei Firefox defaultmäßig ein Service auszustellen und konfigurieren, dann werden eigentlich lokale Zensur oder Blockiermechanismen automatisch ausgehebt. Ob sich Mozilla so weit, wie gesagt, aus dem Fenster lehnt und eine Defokonfiguration auf einem amerikanischen Konzernanbieter macht, denke ich jetzt eher weniger. Weiterfahren. In der guten alten Zeit, da konnte ich noch schauen, DNS-Ampfragen von meinem lokalen Knet auslaufen, indem ich einfach in die ITC Resolve konfigurieren und lokalen Resolver tun, indem sie ein Loks anschauen. Wenn jetzt der einzelnen Jarvis gibt, taufen, selber solche Abfragen machen, stimme ich mir das ein bisschen schwierig vor. Kannst du mir dazu vielleicht ein paar gute Tipps geben? Ja. Es wird genau diese Möglichkeit gegeben und natürlich entsprechend wie, das muss so sagen, es gibt momentan meines Wissens noch keine, nicht ein Standort oder eine Funktionalität in die Transcript-Standorte, das einfach klar ist, die Anfrage darf man auch, was aber nicht ein Hindernisum bringt, ist, wenn das ein Anbieter in der Webseite machen möchte, dann kann er das momentan tun. Das ganze geschieht dann halt wie dieses Pausers, wenn man nicht zuständig ist, mitzulocken, wenn sie noch ein Loks fahren. Da verliert man effektiv am Übersicht. Das ganze ist dann halt auch, wenn ich das jetzt mitschreiten möchte, verschlüsseln. Da wird man ein bisschen gelindert. Ja, bestens, mit dem Hardblock und so, da trage ich es einfach selber, was machen kann. Und wenn da die Zeitung und dasselbe was, also sieht der Paus oder nur den Host oder die Alibi und wie geht das dann? Ja, auch die Frage, ich weiß nicht in Detailie Adblocker davor gehen, prinzipiell, aber wenn ich als Adon eigentlich im Pausen trainieren, dann habe ich unbedingt schon die Möglichkeit, die Request-Finanz auflösen im Mittelmeiz zu bekommen. Ich denke einfach nur, dass es in die Art möglich ist, wenn ich das über die Ohio entlastet löse, dann habe ich das nicht mehr, dann sehe ich da nicht die Dinge. Was auch immer die Vorschau findet, ist ja eigentlich, der Request ist zu holen, da passiert immer noch ein Adblocker, die eine Möglichkeit zu unterbinden, dass ich halt eine Verbindung auf diesen, die ich auch jetzt blockieren möchte. Dann sieht ja Jumatrix noch dns.seit.de und dieser dns.seit.de Ja, aber auch nicht, wenn es so geht. Wüsste man. Eine letzte Frage mit uns. Durch DOH gibt es die Möglichkeit, dass jeder Webse aber auch die dns.seit.de zur Verfügung stellen kann. Gibt es da auch Interesse, dass man durch DOH eben die Zetralisierung wieder dezentralisieren kann? Das ist ein Punkt, der momentan mit dem Standort eben geschrieben, noch eben in der Gesellschaft der Community groß besprochen oder auch fertig gedacht ist. Prinzipiell mittelt sich DOH an, auf jedem Webse, einfach mitzulaufen in einem sprechenden Pfad. Und da hat es gesagt, wenn ich ein Verbindung zu einem Webseuber habe, dann kann ich irgendwie die Verbindung und zu dem nächsten Ziel, das ich anserven möchte, jedenfalls schon darüber auflösen. Ich denke, aus der aktuellen Perspektive wäre das eine Möglichkeit, die welche sich DOH betrinken könnte, ist momentan aber nicht so angedacht. So wie jetzt DOH konfiguriert wird, also wie wir es jetzt anbinden, ist es wirklich als 1 zu 1 als wir es vorhin auch schon waren und einbinden, das wäre eigentlich nur das. Könnt ihr mir in Zukunft nur raus, in eine solche Richtung gehen, wie Fossi oder Leblay auf einem Webseuber haben? Dankeschön.